拒绝服务攻击(DoS)是利用伪造服务数据以及伪造用户的服务请求来拥塞提供服务的设备,使服务降速、忽略用户、合法请求被丢失、失效。本文是以对DDoS攻击检测方法以及检测过程中DDoS在攻击后所造成的响应作为本文研究的主要目的,通过构建将DDoS检测和DDoS响应集成在一起所搭建的系统,来完成对网络中所出现的攻击流的发现,并尽可能的对攻击进行阻断以免发生攻击。


  1DDoS防御思路简述


  本次设计是以DDoS防御为主,因此为了能够更好的完成本次对攻击行为的防御以及达到较好的防御效果,对网络节点中的数据流速率及其分布做如下假设:


  (1)在近似于和等于的时间间隔内,在节点中的数据流速率大小和概率分布基本不会产生剧烈波动;


  (2)相邻时间间隔内如果间隔时间较短,针对大型网络中的网络节点通过的网络数据流在其速率和概率分布上应该保持其基本不变。


  基于这两点假设,当特征数据包异常升高时,可能发生了DDoS攻击。本设计主要是通过统计的方法,识别出是否处于被DDoS攻击的状态,区分攻击者的IP与正常使用者的IP,通过多种的方法阻止攻击。


  2插件实现


  2.1网络数据流统计模块


  该模块的主要功能是进行数据包特征值的记录和运算,使系统能够提取到包含特征标志位的数据包异常升高的信号,将网络数据流数据包的统计属性值信息利用相应转换公式或转换方法将其转换为具有一定信息的记值,然后将转换后的记值信息存入到主机的内存中进行保存,并且在以后对模块分析过程中再将其从内存中调出以备使用。


  2.2运算分析模块


  运算分析模块是针对数据流的相关信息进行的一系列操作,由于该模块是进行分析和运算,所以对于运算分析模块所起到的功能进行分析,其主要有以下几种功能:


  (1)数据流的区分。


  (2)创建TimeThread线程。


  (3)对UDP数据包的数据载荷字段进行hash。


  2.3响应模块


  进行日志记录和阻断分别通过Snort本身的日志输出插件和Guardian防火墙合作完成。Guardian是基于iptables+Snort而设计的一种防火墙,其功能是利用Snort入侵检测系统所提供的日志文件进行分析,然后根据分析结果将某些恶意IP加入iptables的输入链,达到阻断目的。


  2.4模块间通信说明


  插件是完成模块间通信的主要手段,采用多线程、利用信号多少,互斥锁等机制实现线程之间的同步,通过共享内存实现线程之间的数据共享。TimeThread线程在设定的时间间隔内将会发出相应的触发信号,然后由该信号来触发ComputingThread线程,利用ComputingThread线程功能来获取目前的总流量与当前时间间隔的分流量值,从而在数据分类中获得正常数据流在发送总数据流中所占的特征比例。


  3部分测试结果


  3.1对UDPFlood攻击的防御测试


  进行UDP攻击前,查看主机B防火墙状态信息:


  root@bt:/etc/snort#iptables-L-n


  ChainINPUT(policyACCEPT)targetprotoptsourcedestination


  ChainFORWARD(policyACCEPT)targetprotoptsourcedestination


  ChainOUTPUT(policyACCEPT)targetprotoptsourcedestination


  Youhavenewmailin/var/mail/root


  攻击后:


  root@bt:~#iptables-L-n


  ChainINPUT(policyACCEPT)targetprotoptsourcedestination


  DROPall--192.168.40.40.0.0.0/0


  ChainFORWARD(policyACCEPT)targetprotoptsourcedestination


  ChainOUTPUT(policyACCEPT)targetprotoptsourcedestination


  攻击者的IP被加入到防火墙中。


  4总结


  DDoS攻击被称为是网络中的“核武器”,Flood攻击在DDoS攻击中是最为常见的一种攻击行为。本论文以Flood所存在的两种攻击行为进行了较为详细的分析和总结,并以此作为基础对当前网络上的各种各样的攻击行为所采用的防御方法进行分析,以及攻擊过程中对协议栈内容的修改和其他缺陷所呈现的现状,从防御终端的角度,结合基于数据流统计方法,提出了以防御Flood攻击方案的具体设计和实现,同时在该方案的设计过程中为了更好的实现防御方案,在整个系统设计中采用了Snort插件技术。


  参考文献


  [1]刘文涛.网络安全开发包详解[M].电子工业出版社,2005.

  [2]李瑞民.网络扫描技术揭秘[M].机械工业出版社,2011.

  [3]韩东海.入侵检测系统及实例剖析[M].清华大学出版社,2002.

  [4]曹元大.入侵检测技术[M].北京:人民邮电出版社,2007.


  • 大成 :
  • 1426479642
  • 小文 :
  • 1426479642

移动办公:17161073700

鹏程论文网提供MBA/MPA、经济管理、工商管理、教育管理、法律硕士、医学硕士、软件工程、在职硕士以及电子信息技术、计算机等各专业的硕士论文代写服务,还包括开题报告的撰写。 无需定金,信誉保证,当面交易,安全可靠 .

杂志库 更多>>
  • 官方微信