一種改進(jìn)的DDOS攻擊檢測(cè)與防御系統(tǒng)設(shè)計(jì)摘要

1、一種改進(jìn)的DDOS攻擊檢測(cè)與防御系統(tǒng)設(shè)計(jì)摘要摘要：提出一種檢測(cè)與防御的路由器架構(gòu)，即在服務(wù)器與外界輸入之間放置具有檢測(cè)與過(guò)濾功能的路由器以防范攻擊。檢測(cè)中，運(yùn)用報(bào)文差檢測(cè)算法，對(duì)網(wǎng)絡(luò)中當(dāng)前數(shù)據(jù)流量進(jìn)行監(jiān)測(cè)與分析，實(shí)現(xiàn)攻擊檢測(cè)。防御中，將路由器作為外界與服務(wù)器之間的TCP握手代理，通過(guò)對(duì)網(wǎng)絡(luò)中TCP數(shù)據(jù)包進(jìn)行分析篩選保證服務(wù)器的正常工作。關(guān)鍵詞：報(bào)文差檢測(cè)算法；TCP握手代理；NetFPGA;路由器架構(gòu)1實(shí)現(xiàn)方案1.1 設(shè)計(jì)原理在正常的服務(wù)器通信中，路由器主要發(fā)揮流量監(jiān)測(cè)的功能即對(duì)網(wǎng)絡(luò)中存在的數(shù)據(jù)流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)，并采用報(bào)文差檢驗(yàn)算法對(duì)得到的數(shù)據(jù)流量進(jìn)行實(shí)時(shí)處理與分析，以判斷當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)是否存在

2、異常。當(dāng)發(fā)現(xiàn)異常時(shí)，會(huì)認(rèn)為有攻擊產(chǎn)生，并自動(dòng)切換到防御狀態(tài)。在防御狀態(tài)中，對(duì)于每個(gè)由外界發(fā)起的TCP連接都會(huì)在路由器處進(jìn)行TCP三次握手的預(yù)處理即將路由器作為服務(wù)器的代理，確認(rèn)客戶(hù)端是否可完成完整的TCP三次握手。對(duì)于通過(guò)認(rèn)證的TCP連接請(qǐng)求，路由器會(huì)再作為客戶(hù)端代理與服務(wù)器進(jìn)行TCP握手，如此等價(jià)實(shí)現(xiàn)客戶(hù)端與服務(wù)器的TCP的握手連接，之后客戶(hù)端便可與服務(wù)器進(jìn)行正常的TCP通信了。在此過(guò)程中，路由器會(huì)開(kāi)辟出一塊空間作為T(mén)CP信息存儲(chǔ)隊(duì)列，該系統(tǒng)共用到了兩個(gè)隊(duì)列分別為外界TCP申請(qǐng)隊(duì)列、確認(rèn)正常的TCP信息隊(duì)列，其功能將在中提到。下圖1對(duì)整個(gè)設(shè)計(jì)原理進(jìn)行了簡(jiǎn)要描述。圖1系統(tǒng)設(shè)計(jì)原理1.2 模塊化

3、設(shè)計(jì)攻擊源產(chǎn)生無(wú)論對(duì)于系統(tǒng)的設(shè)計(jì)還是測(cè)試，合理的DDOS攻擊源都必不可少即要能在短時(shí)間內(nèi)產(chǎn)生大量的具有虛假源地址的TCP/IP數(shù)據(jù)包，并將這些數(shù)據(jù)包同時(shí)發(fā)送至同一服務(wù)器主機(jī)。對(duì)此，實(shí)驗(yàn)中以TCP/IP包發(fā)送工具HPING為基礎(chǔ)上設(shè)計(jì)出一個(gè)能夠采用虛假源地址發(fā)送TCP包的DDOS攻擊器。其設(shè)計(jì)原理是通過(guò)更改IP包頭設(shè)置中的對(duì)應(yīng)字節(jié)，得到需要類(lèi)型的數(shù)據(jù)包包括IP包的源地址，目的地址以及通信協(xié)議等，然后將其從對(duì)應(yīng)網(wǎng)絡(luò)端口發(fā)出。1.2.2 網(wǎng)絡(luò)數(shù)據(jù)流量監(jiān)測(cè)模塊該模塊用于實(shí)現(xiàn)將網(wǎng)絡(luò)中流過(guò)服務(wù)器的TCP包數(shù)量，以圖形方式動(dòng)態(tài)顯示，從而便于人員觀測(cè)當(dāng)前網(wǎng)絡(luò)流量狀態(tài)，其設(shè)計(jì)原理主要分為數(shù)據(jù)包的獲取解析與流量圖

4、的繪制。在設(shè)計(jì)中，通過(guò)編寫(xiě)接口程序，對(duì)經(jīng)過(guò)網(wǎng)絡(luò)端口的IP包包頭進(jìn)行校驗(yàn)，以此判斷包的類(lèi)型。當(dāng)檢測(cè)到TCP的SYN包、數(shù)據(jù)包等特殊包后，響應(yīng)計(jì)數(shù)器記錄加一，并將此記錄反饋至繪圖模塊，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)TCP流量的圖形觀測(cè)。攻擊檢測(cè)模塊在SYNFlooding攻擊中,攻擊者向服務(wù)器發(fā)送大量偽造源IP地址的SYN請(qǐng)求包，服務(wù)器返回SYN/ACK應(yīng)答包后得不到確認(rèn)，就會(huì)不斷地對(duì)偽造的IP地址進(jìn)行重試直至超時(shí)丟棄,由于SYN連接請(qǐng)求的速度遠(yuǎn)大于服務(wù)器超時(shí)丟棄的處理速度。因此,服務(wù)器的半連接列表很快就被塞滿(mǎn),致使客戶(hù)的正常請(qǐng)求得不到響應(yīng),以實(shí)現(xiàn)拒絕服務(wù)的目的。介于DDOS這種攻擊特性，系統(tǒng)運(yùn)用正確建立連接數(shù)的差別

5、實(shí)現(xiàn)對(duì)DDOS攻擊檢測(cè)報(bào)警。首先對(duì)TCP連接信號(hào)SYN進(jìn)行抽樣，設(shè)d為檢測(cè)周期，SYN_n為抽樣間隔內(nèi)源端網(wǎng)絡(luò)中SYN包的數(shù)量，F(xiàn)IN_n為FIN包的數(shù)量。記：det_n二SYN_n-FIN_n一般情況下，det_n與網(wǎng)絡(luò)的規(guī)模、抽樣間隔相關(guān)，為減少上述因素的影響,提高算法的通用性,對(duì)det_n進(jìn)行歸一化處理：記：det_n二det_n/SYN_n二(SYN_n-FIN_n)/SYN_nn=1,2實(shí)驗(yàn)中給出一個(gè)門(mén)限值h,當(dāng)_n>h,則報(bào)警。連接代理模塊當(dāng)路由器檢測(cè)到流量異常時(shí),會(huì)自動(dòng)進(jìn)入智能防御方式。在此階段,路由器會(huì)接受到分別來(lái)自服務(wù)器與外界輸入兩個(gè)方向的TCP數(shù)據(jù)包,因此需要在路由器

6、上建立兩個(gè)緩存隊(duì)列,分別為外界TCP隊(duì)列以及確認(rèn)正常的TCP信息隊(duì)列。外界TCP隊(duì)列(隊(duì)列1)主要用于記錄外界向服務(wù)器發(fā)起的TCP連接信息，其中主要包括該TCP連接的MAC源地址、IP源地址、IP源端口、IP目的端口、路由器向外部提供的序列號(hào)SEQ、連接狀態(tài)標(biāo)志位States通過(guò)此隊(duì)列所記錄的信息，路由器實(shí)現(xiàn)了與外界輸入的模擬TCP三次握手過(guò)程。表1外界TCP隊(duì)列的數(shù)據(jù)單元存儲(chǔ)信息MAC源地址(48bits)IP源地址(32bits)IP源端口(16bits)IP目的端口(16bits)向外界提供的序列號(hào)SEQ(32bits)表1描述了外界TCP隊(duì)列存儲(chǔ)單元信息，經(jīng)計(jì)算，一個(gè)數(shù)據(jù)單元所占空間為

7、144bits=18Byte確認(rèn)正常的TCP信息隊(duì)列(隊(duì)列2)，主要用來(lái)完成對(duì)TCP數(shù)據(jù)包過(guò)濾即符合條件的TCP包可以直接通過(guò)，否則丟棄，以緩解服務(wù)器壓力。下面主要討論了TCP包有外界發(fā)起與TCP包有服務(wù)器發(fā)起兩個(gè)過(guò)程中，路由器的工作流程。當(dāng)TCP包由外界發(fā)起時(shí)，工作流程如圖2所示。圖2外界發(fā)起TCP時(shí)路由器工作流程當(dāng)TCP包由服務(wù)器發(fā)起時(shí)，工作流程如圖3所示：圖3服務(wù)器發(fā)起TCP時(shí)路由器工作流程1.3系統(tǒng)的功能與指標(biāo)實(shí)驗(yàn)中分別從路由器所能承受的Syn攻擊速度與隊(duì)列占用空間容量?jī)蓚€(gè)指標(biāo)對(duì)其進(jìn)行分析，下面是理論計(jì)算中用到的符號(hào):Syn_speed表示DDOS的攻擊速度T表示正常TCP握手連接中第

8、一次握手與第三次握手的時(shí)間間隔即TCP建立時(shí)間L表示路由器中用來(lái)存儲(chǔ)外界TCP信息的隊(duì)列長(zhǎng)度速度指標(biāo):根據(jù)分析，要想保證一個(gè)正常的TCP連接信號(hào)不會(huì)因隊(duì)列過(guò)滿(mǎn)而擠掉，要求L>Syn_speed*T(1)查詢(xún)數(shù)據(jù)手冊(cè)，路由器(以NETFPGA為例)的工作頻率為125MHZ,并且假設(shè)掃描一個(gè)數(shù)據(jù)單元需要4個(gè)時(shí)鐘信號(hào)，則要想保證每個(gè)SYN包到來(lái)時(shí)，路由器能夠?qū)φ麄€(gè)數(shù)據(jù)隊(duì)列進(jìn)行一次完整掃描，要求1Syn_speed>1125M(2)容量指標(biāo):查詢(xún)數(shù)據(jù)手冊(cè)，NETFPGA可用于存儲(chǔ)數(shù)據(jù)的空間有4.5MB,假設(shè)開(kāi)辟的數(shù)據(jù)隊(duì)列空間為2MB，對(duì)于外界TCP隊(duì)列中每一個(gè)數(shù)據(jù)單元根據(jù)之前所述其長(zhǎng)度為1

9、8B，因此從容量角度考慮要求：L*18V2*106(3)指標(biāo)分析：結(jié)合以上3式，可以得到Syn_speed*T*18w2*106路由器本身容量限制Syn_speed2*T<1254*106路由器主頻限制以上兩式反應(yīng)出DDOS攻擊速度Syn_speed與握手間隔T之間的制約關(guān)系。同時(shí)通過(guò)對(duì)比計(jì)算，發(fā)現(xiàn)在T<105s時(shí)，主頻限制占主導(dǎo)因素，且時(shí)間越小其影響作用越大?？紤]到實(shí)際情況只需分析主頻限制條件下，SYN極限速率與建立時(shí)間T的關(guān)系情況。圖4SYN攻擊速率、隊(duì)列空間與TCP建立時(shí)間關(guān)系圖4所示兩圖中，左圖描述的是Syn_speed極限速率與TCP建立時(shí)間的關(guān)系示意圖，可以發(fā)現(xiàn)在TCP

10、建立時(shí)間增大時(shí)，SYN_speed明顯減小，受到嚴(yán)重制約。當(dāng)T=0.1sSyn_speed=17000當(dāng)T=1sSyn_speed=5500當(dāng)T=30sSyn_speed=1000右圖描述了隊(duì)列所占空間隨TCP建立時(shí)間變化。經(jīng)計(jì)算得，當(dāng)T<30s時(shí)，隊(duì)列空間均小于600K，完全不受硬件空間限制。經(jīng)過(guò)分析：（1）在硬件設(shè)施中，運(yùn)算速度成為制約Syn_speed的主要因素。要想提高路由器抗DDOS攻擊能力，需要提高運(yùn)算速度；（2）硬件條件一定的情況下，Syn_speed主要受TCP建立時(shí)間的制約。在網(wǎng)絡(luò)狀況不佳時(shí)（設(shè)建立TCP所需時(shí)間為1s）,Syn_speed的極限為5500；在網(wǎng)絡(luò)狀況良

11、好時(shí)（建立TCP所需時(shí)間為0.1s）,Syn_speed的極限為17000;（3）在硬件狀況不變的情況下，要想提高服務(wù)器的抗擊能力，可嘗試路由器級(jí)聯(lián)結(jié)構(gòu)，將網(wǎng)絡(luò)流量分割給多個(gè)路由器處理。2性能測(cè)試2.1測(cè)試環(huán)境在測(cè)試中共需要4臺(tái)電腦，完成整個(gè)過(guò)程測(cè)試。4臺(tái)電腦的要求及其作用分別為：一臺(tái)要求是裝有NefFPGA開(kāi)發(fā)板的臺(tái)式電腦，其系統(tǒng)為CentOS5.0。該電腦主要用于與NetFPGA進(jìn)行通信；另外3臺(tái)電腦對(duì)系統(tǒng)無(wú)明顯限制，正常WindowsXP及其以上的操作系統(tǒng)均可。在測(cè)試中，使用一臺(tái)作為服務(wù)器用于接收外界發(fā)送的數(shù)據(jù)，剩余兩臺(tái)作為數(shù)據(jù)的發(fā)送源，其中一臺(tái)正常發(fā)送TCP數(shù)據(jù)包，另一臺(tái)對(duì)服務(wù)器進(jìn)行D

12、DOS攻擊。將4臺(tái)電腦連成局域網(wǎng)模擬整個(gè)過(guò)程。2.2 系統(tǒng)測(cè)試流程無(wú)DDOS攻擊正常情況測(cè)試測(cè)試目的：得出正常情況下的TCP鏈接情況，便于和DDOS攻擊的情況比較。 操作描述：設(shè)定發(fā)送信息（A）和接收信息（B）主機(jī)的IP;由主機(jī)Aping主機(jī)B，在終端里輸入：hping192.168.0.1-iu1000;抓取TCP鏈接的SEQ，ACK等信息，觀察是否完成了三次握手。結(jié)果分析：圖5正常情況下抓包程序顯示結(jié)果圖5中可以看到主機(jī)A的IP為，主機(jī)B的IP為。首先由主機(jī)A向B發(fā)送SYN請(qǐng)求連接信號(hào)，然后主機(jī)B回復(fù)A一個(gè)SYN/ACK，表明已經(jīng)接到請(qǐng)求，并且將ACK至1，主機(jī)A在接到返回信號(hào)后再向B發(fā)送

13、一個(gè)ACK信號(hào)，這樣主機(jī)A與B的連接就建立了。測(cè)試結(jié)果與預(yù)期相同。遭受DDOS攻擊下的測(cè)試測(cè)試目的：觀察DDOS攻擊下的TCP鏈接情況，便于數(shù)據(jù)包的篩選。操作描述：設(shè)定發(fā)送信息（A）和接收信息（B）主機(jī)的IP;主機(jī)A通過(guò)設(shè)定虛假I(mǎi)P（），向主機(jī)B發(fā)送DDOS攻擊，在終端里輸入hping-iu1000；比較DDOS攻擊下的TCP鏈接與正常情況下的區(qū)別。結(jié)果分析：圖6遭受攻擊境況下抓包程序顯示結(jié)果主機(jī)A的IP為，主機(jī)B的IP為。從圖中可以看出，在遭受DDOS攻擊時(shí)，由主機(jī)B向A發(fā)送SYN請(qǐng)求連接信號(hào)，且使用的是虛假源地址，且該地址在動(dòng)態(tài)變化中，然后主機(jī)A回復(fù)B一個(gè)SYN/ACK，但之后主機(jī)B不會(huì)在

14、給A發(fā)ACK確認(rèn)信號(hào)，也就是TCP三次握手連接并沒(méi)有真正建立。針對(duì)DDOS攻擊的檢測(cè)測(cè)試本文采用2000年DARPA第5周第2天的檢測(cè)評(píng)估數(shù)據(jù)作為實(shí)驗(yàn)背景數(shù)據(jù)圖7描述了正常情況中，SYN與FIN包的變化關(guān)系在此基礎(chǔ)上，通過(guò)hping由主機(jī)A對(duì)主機(jī)B進(jìn)行DDOS攻擊，以50packets/s的速率發(fā)送SYNflooding，攻擊檢測(cè)算法在發(fā)包3分鐘后開(kāi)始檢測(cè)，我們以10s為檢測(cè)周期，連續(xù)抽樣200次，測(cè)量在不同的門(mén)限值的條件下，算法的誤警率。表3給出了該過(guò)程的計(jì)算結(jié)果：圖7正常情況下SYN與FIN包關(guān)系表2DDOS攻擊檢測(cè)結(jié)果攻擊次數(shù)判決門(mén)限正確判斷次數(shù)誤警次數(shù)誤警率2000.751574321

15、.5%2000.651643618%2000.551722814%2000.451663417%由此得到當(dāng)門(mén)限值取0.55時(shí)，誤警率最低，正確判斷率達(dá)到86%，與其余門(mén)限值相比已經(jīng)足夠高，基本上能夠?qū)DOS攻擊做出檢測(cè)。224針對(duì)DDOS攻擊的防御測(cè)試測(cè)試目的：通過(guò)比較一臺(tái)遭遇攻擊的主機(jī)和一臺(tái)加上了防御模塊的主機(jī)遭受攻擊程度，得出該防御系統(tǒng)的性能。操作描述：設(shè)定發(fā)送信息主機(jī)（A和C）和接收信息主機(jī)（B和D）的IP;讓主機(jī)A擬造虛假I(mǎi)P發(fā)送DDOS攻擊，主機(jī)C發(fā)送正常的TCP數(shù)據(jù)包；主機(jī)B和主機(jī)C同時(shí)接收來(lái)自主機(jī)A和主機(jī)C的數(shù)據(jù)包，其中主機(jī)B加上了防御模塊，而主機(jī)D是直接接受;分別檢測(cè)兩種情況

16、下的數(shù)據(jù)流量，通過(guò)流量圖顯示差別。結(jié)果分析：圖8正常情況下的發(fā)包量上圖為正常TCP包的累計(jì)量，主機(jī)C以每秒2個(gè)包的速度進(jìn)行發(fā)包。圖9遭受DDOS攻擊時(shí)的發(fā)包量在上圖中主機(jī)A以每秒400包左右的速度發(fā)送DDOS攻擊。從主機(jī)B上接收到得數(shù)據(jù)流量如上圖所示，從中可以看出其中DDOS攻擊的數(shù)據(jù)包基本被濾除，留下的數(shù)據(jù)包基本上是有主機(jī)C發(fā)送的正確的數(shù)據(jù)包。測(cè)試結(jié)果與預(yù)期相同。圖10路由器過(guò)濾后數(shù)據(jù)流量3結(jié)束語(yǔ)防范DDOS攻擊是一個(gè)系統(tǒng)工程，本系統(tǒng)也僅能做到防御SYNFLOOD類(lèi)的DDOS攻擊，防范總類(lèi)繁多的DDOS攻擊僅依靠某一種技術(shù)是不現(xiàn)實(shí)的。只有事先增強(qiáng)對(duì)DDOS攻擊的防御能力，DDOS攻擊時(shí)及時(shí)對(duì)其進(jìn)行檢測(cè)，受到DDOS攻擊后及時(shí)進(jìn)行可靠的防御，綜合運(yùn)用各種技術(shù)，對(duì)DDOS攻擊進(jìn)行抵抗，從而增加攻擊者的攻擊成本，使絕大多數(shù)攻擊因成本開(kāi)銷(xiāo)過(guò)大而放棄。本文的探究?jī)H僅只是一個(gè)開(kāi)始，因?yàn)闀r(shí)間和知識(shí)儲(chǔ)備的不足，仍然有待改進(jìn)。參考文獻(xiàn)：劉志雷基于變動(dòng)和式累積檢驗(yàn)算法的DDOS攻擊檢測(cè)J.計(jì)算機(jī)仿真,2009(8).ALBERTOLEONGARCIA,INDRAWIDJAJA.