DDoS攻击研究综述提纲DDoS研究的意义国内外研究的现状DOS问题的起因DoS攻击原理DoS防御方法DDoS研究的意义:(1)(2)UCBerkeley教授ShankarSastry于2003.7在众议院的国土安全委员会的听证会上指出DDoS及Worm攻击是当前主要的防卫任务。(3)国内外研究的现状1)DHS,NFS在2004年资助几个大学和公司启动了DETER(DefenseTechnologyExperimentalResearch)。这个项目的一个研究重点就是防御DDoS攻击。2)信息产业部在2005年公开向产业界招标防御DDoS攻击系统的设计方案TheUniversityofCaliforniaBerkeley,UniversityofCaliforniaDavis,UniversityofSouthernCalifornia-InformationSystemsInstitute,NetworkAssociatesLaboratories,SRI,thePennsylvaniaStateUniversity,PurdueUniversity,PrincetonUniversity,UniversityofUtah,andindustrialpartnersJuniperNetworks,CISCO,Intel,IBM,Microsoft,andHPDOS问题的起因面向目的地址进行路由Internet的无状态性Internet缺乏身份鉴别机制Internet协议的可预测性(例如,TCP连接建立过程和拥塞控制)(1)DoSDegradetheservicequalityorcompletelydisablethetargetservicebyoverloadingcriticalresourcesofthetargetsystemorbyexploitingsoftwarebugs.(2)DDoSTheobjectiveisthesamewithDoSattacksbutisaccomplishedbyaofcompromisedhostsdistributedovertheInternet.DoS攻击原理(3)基于反射器的DDoSDoS防御方法Ingress过滤tracebackpushback自动化模型(控制器-代理模型)基于代理网络的解决方案Ingress过滤主要目的:–过滤假冒源地址的IP数据包–为traceback提供帮助局限性:–影响路由器的性能–配置问题Traceback目的:证实IP数据包真正来源–从源头上阻断攻击–攻击取证方法:1)基于流量工程的方法2)基于数据包标记的方法3)基于数据包日志的方法基于流量工程的方法工作机制:首先使用UDPchargen服务产生短的突发流量,然后把突发流量注入到待测试的链路以观察链路是否是攻击路径的一部分。优点:1)花费相对较低2)容易配置缺点:1)不适用于多个攻击者参与攻击的情况2)整个追溯过程应该在攻击进行的时候执行,有时间上的约束基于数据包标记的方法工作原理:基于数据包标记的IP追溯方案使用了一个简单的概念。当IP数据包经过Internet路由器,路由器为数据包增加追溯信息。一旦受害者检测到攻击,受害者从攻击数据包中提取追溯信息,使用这些信息重建攻击数据包所经过的路径。因此,基于数据包标记的IP追溯方案通常由两个算法组成。一个是运行在Internet路由器上的包标记算法。另一个是受害者发起的追溯算法,这个算法使用在接收到的攻击数据包里发现的标记信息追溯攻击者。问题为了重建攻击路径或攻击树,需要大量的攻击数据包在重建攻击树的过程中,可能给受害者带来巨大的花费负担;如果多个攻击者参与攻击,那么会产生高的误报率。路由器CPU花费基于数据包日志的方法工作原理:与在IP数据包写入路由器的信息不同,数据包日志方案是在路由器的内存中写入数据包的信息(摘要、签名或者数据包自身)。一旦受害者检测到攻击,受害者就会查询上游(upstream)路由器以检查它们的内存中是否包含攻击数据包的信息。如果在某个路由器中发现了攻击数据包的信息,那么该路由器被认为是攻击路径的一部分。问题路由器存储花费从网络路由器获取数据包信息使用的方法是效率低的pushback自动化模型(控制器-代理模型)优点:当攻击没发生时,代理和普通路由器一样运行。受害者能容易地确定来自不同攻击系统的攻击签名。一旦受害者通过了鉴别,那么识别、阻止和跟踪攻击流量的过程完全是自动化的。因此,响应非常迅速。可以动态地配置过滤器。一旦确定了攻击签名,就可以在接近攻击源的位置阻止攻击流量。每个代理仅需要检查和阻止流经它的攻击签名。这样,攻击签名更有针对性,因此延迟更小。由于代理和控制器没必要确定攻击签名,因此与集中拥塞控制(ACC)相比它们的实施花费更少。不足:被丢弃的包中也许包括一些非攻击流量。控制器可能也是DDoS攻击的受害者。控制器与代理、受害者之间的通信安全也值得关注。基于代理网络的解决方案WangJu等人研究得出了下列结论:通过代理网络间接地访问应用程序能够提高性能:减少响应时间,增加可利用的带宽。间接地访问降低性能的直觉是不正确的。代理网络能有效地减轻大规模DDoS攻击所造成的影响,从而证明了代理网络方法的有效性。代理网络提供了可扩展的DoS-弹性——弹性能被扩展以应对更大的攻击,从而保持应用程序的性能。弹性与代理网络的大小成正比例关系,也就是说,在保持应用程序性能的前提下,一个给定代理网络所能承受的攻击流量随代理网络的大小线性增长。防御DOS攻击所面临的研究挑战准确地区分攻击流量和合法流量在高速Internet上处理高流量DOS攻击检测和应对精密复杂的DOS攻击确认攻击者的数量缺乏DDoS防御系统的测试基准问题?