DDOS攻擊檢測相關問題分析

何瀟銳，常 明

國網(wǎng)山西省電力公司長治供電公司，山西長治 046000

當前信息環(huán)境之下，企業(yè)對于數(shù)據(jù)傳輸?shù)囊蕾嚦潭扰c日俱增，與之對應的網(wǎng)絡安全問題也成為了當前社會所共同關注的重點。而分布式拒絕服務（DDoS，Distributed Denial of Service）作為網(wǎng)絡環(huán)境中較為常見的攻擊形式，已經(jīng)成為當前網(wǎng)絡安全的重要隱患來源，因此對其展開深入的分析和討論，對于切實提升整體網(wǎng)絡安全水平有著積極價值。

1 DDos攻擊檢測技術(shù)淺論

從概念的角度看，DDos攻擊指借助于客戶/服務器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。對于DDos攻擊而言，最為常見的攻擊方式即利用合理的服務請求來占用過多的服務資源，從而使得正常的用戶服務請求無法得到相應。傳統(tǒng)的Dos攻擊在面向單一主機的時候效果顯著，可以迅速影響到主機的運算速度，但是隨著網(wǎng)絡技術(shù)的發(fā)展，分布式系統(tǒng)開始得到越來越多的應用，因此單獨面向單個主機的攻擊從總體上開始變得無效，DDos攻擊方式隨之登上舞臺。從實現(xiàn)的角度看，通常攻擊者使用一個偷竊賬號將DDoS主控程序安裝在一個計算機上，并且在設定時間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在網(wǎng)絡上的許多計算機上。控制人員通過網(wǎng)絡遠程控制代理程序發(fā)動攻擊，并且利用客戶機/服務器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行，其威脅不容忽視。

對于DDos攻擊而言，其檢測方法多樣，對于不同的應用環(huán)境表現(xiàn)出各自不同的額檢測工作特征。依據(jù)檢測模式進行分類，可以分為基于誤用的DDos檢測、基于異常的DDos檢測以及混合模式DDos檢測三種。其中基于誤用的DDos檢測即指在針對DDos攻擊行為特征進行采集和整理的基礎之上，以其作為參照對于網(wǎng)絡中數(shù)據(jù)包的特征展開檢查，從而發(fā)現(xiàn)異常的數(shù)據(jù)包，確定DDos攻擊行為的發(fā)生。而基于異常的DDos檢測則是通過監(jiān)視系統(tǒng)審計記錄上系統(tǒng)使用的異常情況，對系統(tǒng)中存在的違反安全的時間進行檢測。這是當前大多數(shù)DDos攻擊檢測的常見工作方式，此種檢測方式的效果在很大程度上依賴于異常判斷模型的建立，不同的模型會對傳輸行為有不同的判斷，因此只有面向?qū)嶋H網(wǎng)絡工作特征的模型才能行之有效地擔負起DDos檢測職責。最后對于混合模式DDos檢測，則是將基于誤用的DDos檢測以及基于異常的DDos檢測加以結(jié)合的檢測工作方式，通常使用數(shù)據(jù)挖掘的方法，由異常檢測發(fā)現(xiàn)攻擊，從發(fā)現(xiàn)的攻擊中摘錄特征放入誤用模式特征庫中，再利用誤用檢測的方法來檢測DDoS攻擊。

除此以外，還可以按照算法部署的位置對DDos檢測工作模式加以劃分，則可以劃分為數(shù)據(jù)源端檢測、中間網(wǎng)絡檢測以及數(shù)據(jù)目的端檢測三種。其中數(shù)據(jù)源端檢測是將DDoS檢測算法布置在發(fā)出攻擊數(shù)據(jù)包的主機所處網(wǎng)絡環(huán)境的邊界路由器上，此種工作方式可以在攻擊流入網(wǎng)絡環(huán)境之前對其及時發(fā)現(xiàn)并且攔截。而中間網(wǎng)絡DDoS攻擊檢測是指將攻擊檢測算法部署在整個網(wǎng)絡上，包括路由器、交換機或其他網(wǎng)絡設備。在無法明確攻擊來源的情況之下，采用中間網(wǎng)絡檢測的工作方式能夠?qū)崿F(xiàn)更均衡的檢測工作。而數(shù)據(jù)目的端檢測，即將DDoS攻擊檢測算法部署在攻擊端的主機以及相關網(wǎng)絡設備上，主要用于重點保護網(wǎng)絡環(huán)境中相對珍貴的數(shù)據(jù)節(jié)點。

2 DDoS攻擊檢測技術(shù)的發(fā)展分析

在面對企業(yè)網(wǎng)絡環(huán)境展開DDoS攻擊檢測系統(tǒng)部署的時候，將DDoS檢測核心部署在數(shù)據(jù)傳輸?shù)哪膫€位置，能夠?qū)崿F(xiàn)對于攻擊的最為有效檢測，是當前共同關注的問題。對于數(shù)據(jù)源端檢測控制而言，常見的檢測方法包括依據(jù)數(shù)據(jù)包子網(wǎng)地址進行過濾，或者要求客戶端在發(fā)送數(shù)據(jù)的時候提交一個發(fā)送請求給認真服務器，在認證服務器許可的情況下才能展開數(shù)據(jù)發(fā)送。此種工作方式能夠在攻擊進入骨干網(wǎng)之前就實現(xiàn)控制，因此對于網(wǎng)絡環(huán)境內(nèi)部安全水平的提升有著積極意義，但是同時由于需要邊界路由器的配合，而ISP無法從這種控制過程中獲益，因此基于數(shù)據(jù)源端的控制常常無法得到實施，進一步影響到此種策略在面對復雜供給的時候檢測效果整體不足。

而基于中間骨干網(wǎng)絡的檢測控制，是面向網(wǎng)絡環(huán)境中的數(shù)據(jù)流量展開梳理和清洗，并且實現(xiàn)對應的限制和過濾。此種檢測方式有多種具體的展開模式，可以由被攻擊端將流量信息發(fā)送至路由器，并且進一步由路由器作出判斷和限制，此種模式能夠?qū)崿F(xiàn)對于服務器負載的緩解，但是對于攻擊流量和合法流量的區(qū)分不足，判斷模型還有待于進一步完善。實際工作中還存在基于清洗中心的策略，即在攻擊發(fā)生之后，由骨干網(wǎng)路由器將流量諸如清洗中心，經(jīng)過清洗之后回注網(wǎng)絡環(huán)境，此種工作方式能夠有效面對大流量攻擊，但是實現(xiàn)機制比較復雜，成為部署的難點之一。而pushback策略，則是在檢測到攻擊之后，由靠近攻擊目標的路由器面向上游路由器發(fā)出流量控制請求，一直回溯到攻擊源端附近實現(xiàn)流量控制。這三種工作模式在靈敏度和部署難度方面都呈現(xiàn)出不同特征，在實際工作中必須妥善依據(jù)不同工作模式的特征和實際情況進行選擇，才能獲取到良好效果。尤其是在不同工作模式的不足方面應當加強重視，例如對于攻擊源端檢測方式而言，其較低的靈敏度和難以實現(xiàn)廣泛部署的特征都不容忽視，而對于骨干層過濾模式而言，其部署難度高奮勇高，同時需要ISP配合的特點必須得到重視，而對于攻擊終端過濾方式而言，其處理能力則相對有限。

就DDoS攻擊檢測未來的發(fā)展狀況而言，如何在靈敏度、準確性以及大流量處理能力等幾個關鍵方面實現(xiàn)均衡選擇，成為未來發(fā)展的關鍵。在DDoS攻擊類型識別方面，雖然已經(jīng)能夠針對類似于Syn flood等攻擊展開識別，但是相關方面的研究仍然有待進一步深入。同時考慮到骨干網(wǎng)絡環(huán)境中攻擊檢測的工作特征，通過骨干網(wǎng)流量變化實現(xiàn)對于DDoS攻擊的有效發(fā)現(xiàn)，是解決無固定檢測目標DDoS過濾的基本前提，而在實現(xiàn)檢測之后，如何通過骨干網(wǎng)流量分布發(fā)現(xiàn)DDoS攻擊目標，同樣是骨干網(wǎng)檢測技術(shù)未來的工作重點。

3 結(jié)論

DDoS攻擊是當前網(wǎng)絡環(huán)境所面臨的重要問題之一，只有不斷的鉆研和學習，緊跟技術(shù)發(fā)展步伐，才能切實依據(jù)實際環(huán)境展開對于DDoS攻擊檢測技術(shù)的有效部署，也才能切實實現(xiàn)對于網(wǎng)絡環(huán)境安全水平的提升。

[1]陳偉，何炎祥，彭文靈，等.一種輕量級的拒絕服務攻擊檢測方法[J].計算機學報，2006，29（8）.

[2]邵立松，張鶴穎，竇文華.基于窗口的端到端擁塞控制：網(wǎng)絡穩(wěn)定性與效率[J].計算機學報，2006，29（3）.

[3]何慧，張宏莉，張偉哲，等.一種基于相似度的DDoS攻擊檢測方法[J].通信學報，2004，25（7）.