DDoS攻擊研究綜述-多目標(biāo)編批測(cè)量的研究ppt課件

1、DDoS攻擊研討綜述.提綱 DDoS研討的意義 國(guó)內(nèi)外研討的現(xiàn)狀 DOS問(wèn)題的原因 DoS攻擊原理 DoS防御方法.DDoS研討的意義：1.2. UC Berkeley 教授 Shankar Sastry 于 2003.7在眾議院的國(guó)土平安委員會(huì)的聽證會(huì)上指出DDoS及Worm攻擊是當(dāng)前主要的防衛(wèi)義務(wù)。3.國(guó)內(nèi)外研討的現(xiàn)狀 1 DHS , NFS在2004年資助幾個(gè)大學(xué)和公司啟動(dòng)了 DETERDefense Technology Experimental Research 。這個(gè)工程的一個(gè)研討重點(diǎn)就是防御DDoS攻擊。 2信息產(chǎn)業(yè)部在2005年公開向產(chǎn)業(yè)界招標(biāo)防御DDoS攻擊系統(tǒng)的設(shè)計(jì)方案.

2、The University of California Berkeley, University of California Davis, University of Southern California-Information Systems Institute , Network Associates Laboratories, SRI, the Pennsylvania State University, Purdue University, Princeton University, University of Utah, and industrial partners Junip

3、er Networks, CISCO, Intel, IBM, Microsoft, and HP .DOS問(wèn)題的原因 面向目的地址進(jìn)展路由Internet的無(wú)形狀性Internet缺乏身份鑒別機(jī)制Internet協(xié)議的可預(yù)測(cè)性例如，TCP銜接建立過(guò)程和擁塞控制.1DoSDegrade the service quality or completely disable the target service by overloading critical resources of the target system or by exploiting software bugs. (2) DDoS

4、The objective is the same with DoS attacks but is accomplished by a of compromised hosts distributed over the Internet. DoS攻擊原理.3基于反射器的DDoS.DoS防御方法Ingress 過(guò)濾 traceback pushback 自動(dòng)化模型(控制器-代理模型) 基于代理網(wǎng)絡(luò)的處理方案 .Ingress 過(guò)濾主要目的：過(guò)濾冒充源地址的IP數(shù)據(jù)包 為traceback提供協(xié)助局限性：影響路由器的性能配置問(wèn)題.Traceback目的：證明IP數(shù)據(jù)包真正來(lái)源 從源頭上阻斷攻擊攻擊

5、取證方法：1)基于流量工程的方法2)基于數(shù)據(jù)包標(biāo)志的方法3)基于數(shù)據(jù)包日志的方法.基于流量工程的方法 任務(wù)機(jī)制： 首先運(yùn)用UDP chargen效力產(chǎn)生短的突發(fā)流量，然后把突發(fā)流量注入到待測(cè)試的鏈路以察看鏈路能否是攻擊途徑的一部分。 .優(yōu)點(diǎn)： 1破費(fèi)相對(duì)較低 2容易配置 缺陷： 1不適用于多個(gè)攻擊者參與攻擊的情況 2整個(gè)追溯過(guò)程應(yīng)該在攻擊進(jìn)展的時(shí)候執(zhí)行，有時(shí) 間上的約束 .基于數(shù)據(jù)包標(biāo)志的方法任務(wù)原理： 基于數(shù)據(jù)包標(biāo)志的IP追溯方案運(yùn)用了一個(gè)簡(jiǎn)單的概念。當(dāng)IP數(shù)據(jù)包經(jīng)過(guò)Internet路由器，路由器為數(shù)據(jù)包添加追溯信息。一旦受害者檢測(cè)到攻擊，受害者從攻擊數(shù)據(jù)包中提取追溯信息，運(yùn)用這些信息重建攻

6、擊數(shù)據(jù)包所經(jīng)過(guò)的途徑。因此，基于數(shù)據(jù)包標(biāo)志的IP追溯方案通常由兩個(gè)算法組成。一個(gè)是運(yùn)轉(zhuǎn)在Internet路由器上的包標(biāo)志算法。另一個(gè)是受害者發(fā)起的追溯算法，這個(gè)算法運(yùn)用在接納到的攻擊數(shù)據(jù)包里發(fā)現(xiàn)的標(biāo)志信息追溯攻擊者。 .問(wèn)題為了重建攻擊途徑或攻擊樹，需求大量的攻擊數(shù)據(jù)包 在重建攻擊樹的過(guò)程中，能夠給受害者帶來(lái)宏大的破費(fèi)負(fù)擔(dān)；假設(shè)多個(gè)攻擊者參與攻擊，那么會(huì)產(chǎn)生高的誤報(bào)率。路由器CPU破費(fèi).基于數(shù)據(jù)包日志的方法任務(wù)原理： 與在IP數(shù)據(jù)包寫入路由器的信息不同，數(shù)據(jù)包日志方案是在路由器的內(nèi)存中寫入數(shù)據(jù)包的信息摘要、簽名或者數(shù)據(jù)包本身。一旦受害者檢測(cè)到攻擊，受害者就會(huì)查詢上游upstream路由器以檢查

7、它們的內(nèi)存中能否包含攻擊數(shù)據(jù)包的信息。假設(shè)在某個(gè)路由器中發(fā)現(xiàn)了攻擊數(shù)據(jù)包的信息，那么該路由器被以為是攻擊途徑的一部分。 .問(wèn)題路由器存儲(chǔ)破費(fèi)從網(wǎng)絡(luò)路由器獲取數(shù)據(jù)包信息運(yùn)用的方法是效率低的 .pushback.自動(dòng)化模型(控制器-代理模型).優(yōu)點(diǎn)：當(dāng)攻擊沒發(fā)生時(shí)，代理和普通路由器一樣運(yùn)轉(zhuǎn)。受害者能容易地確定來(lái)自不同攻擊系統(tǒng)的攻擊簽名。一旦受害者經(jīng)過(guò)了鑒別，那么識(shí)別、阻止和跟蹤攻擊流量的過(guò)程完全是自動(dòng)化的。因此，呼應(yīng)非常迅速?？梢詣?dòng)態(tài)地配置過(guò)濾器。一旦確定了攻擊簽名，就可以在接近攻擊源的位置阻止攻擊流量。每個(gè)代理僅需求檢查和阻止流經(jīng)它的攻擊簽名。這樣，攻擊簽名更有針對(duì)性，因此延遲更小。由于代理和控

8、制器沒必要確定攻擊簽名，因此與集中擁塞控制 ACC 相比它們的實(shí)施破費(fèi)更少。 缺乏：被丟棄的包中也許包括一些非攻擊流量?？刂破髂軌蛞彩荄DoS攻擊的受害者。控制器與代理、受害者之間的通訊平安也值得關(guān)注。 .基于代理網(wǎng)絡(luò)的處理方案.Wang Ju等人研討得出了以下結(jié)論：經(jīng)過(guò)代理網(wǎng)絡(luò)間接地訪問(wèn)運(yùn)用程序可以提高性能：減少呼應(yīng)時(shí)間，添加可利用的帶寬。間接地訪問(wèn)降低性能的直覺是不正確的。代理網(wǎng)絡(luò)能有效地減輕大規(guī)模DDoS攻擊所呵斥的影響，從而證明了代理網(wǎng)絡(luò)方法的有效性。代理網(wǎng)絡(luò)提供了可擴(kuò)展的DoS-彈性彈性能被擴(kuò)展以應(yīng)對(duì)更大的攻擊，從而堅(jiān)持運(yùn)用程序的性能。彈性與代理網(wǎng)絡(luò)的大小成正比例關(guān)系，也就是說(shuō)，在堅(jiān)持運(yùn)用程序性能的前提下，一個(gè)