DDOS攻擊檢測相關問題分析

何瀟銳，常 明

國網山西省電力公司長治供電公司，山西長治 046000

當前信息環境之下，企業對于數據傳輸的依賴程度與日俱增，與之對應的網絡安全問題也成為了當前社會所共同關注的重點。而分布式拒絕服務（DDoS，Distributed Denial of Service）作為網絡環境中較為常見的攻擊形式，已經成為當前網絡安全的重要隱患來源，因此對其展開深入的分析和討論，對于切實提升整體網絡安全水平有著積極價值。

1 DDos攻擊檢測技術淺論

從概念的角度看，DDos攻擊指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。對于DDos攻擊而言，最為常見的攻擊方式即利用合理的服務請求來占用過多的服務資源，從而使得正常的用戶服務請求無法得到相應。傳統的Dos攻擊在面向單一主機的時候效果顯著，可以迅速影響到主機的運算速度，但是隨著網絡技術的發展，分布式系統開始得到越來越多的應用，因此單獨面向單個主機的攻擊從總體上開始變得無效，DDos攻擊方式隨之登上舞臺。從實現的角度看，通常攻擊者使用一個偷竊賬號將DDoS主控程序安裝在一個計算機上，并且在設定時間主控程序將與大量代理程序通訊，代理程序已經被安裝在網絡上的許多計算機上。控制人員通過網絡遠程控制代理程序發動攻擊，并且利用客戶機/服務器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行，其威脅不容忽視。

對于DDos攻擊而言，其檢測方法多樣，對于不同的應用環境表現出各自不同的額檢測工作特征。依據檢測模式進行分類，可以分為基于誤用的DDos檢測、基于異常的DDos檢測以及混合模式DDos檢測三種。其中基于誤用的DDos檢測即指在針對DDos攻擊行為特征進行采集和整理的基礎之上，以其作為參照對于網絡中數據包的特征展開檢查，從而發現異常的數據包，確定DDos攻擊行為的發生。而基于異常的DDos檢測則是通過監視系統審計記錄上系統使用的異常情況，對系統中存在的違反安全的時間進行檢測。這是當前大多數DDos攻擊檢測的常見工作方式，此種檢測方式的效果在很大程度上依賴于異常判斷模型的建立，不同的模型會對傳輸行為有不同的判斷，因此只有面向實際網絡工作特征的模型才能行之有效地擔負起DDos檢測職責。最后對于混合模式DDos檢測，則是將基于誤用的DDos檢測以及基于異常的DDos檢測加以結合的檢測工作方式，通常使用數據挖掘的方法，由異常檢測發現攻擊，從發現的攻擊中摘錄特征放入誤用模式特征庫中，再利用誤用檢測的方法來檢測DDoS攻擊。

除此以外，還可以按照算法部署的位置對DDos檢測工作模式加以劃分，則可以劃分為數據源端檢測、中間網絡檢測以及數據目的端檢測三種。其中數據源端檢測是將DDoS檢測算法布置在發出攻擊數據包的主機所處網絡環境的邊界路由器上，此種工作方式可以在攻擊流入網絡環境之前對其及時發現并且攔截。而中間網絡DDoS攻擊檢測是指將攻擊檢測算法部署在整個網絡上，包括路由器、交換機或其他網絡設備。在無法明確攻擊來源的情況之下，采用中間網絡檢測的工作方式能夠實現更均衡的檢測工作。而數據目的端檢測，即將DDoS攻擊檢測算法部署在攻擊端的主機以及相關網絡設備上，主要用于重點保護網絡環境中相對珍貴的數據節點。

2 DDoS攻擊檢測技術的發展分析

在面對企業網絡環境展開DDoS攻擊檢測系統部署的時候，將DDoS檢測核心部署在數據傳輸的哪個位置，能夠實現對于攻擊的最為有效檢測，是當前共同關注的問題。對于數據源端檢測控制而言，常見的檢測方法包括依據數據包子網地址進行過濾，或者要求客戶端在發送數據的時候提交一個發送請求給認真服務器，在認證服務器許可的情況下才能展開數據發送。此種工作方式能夠在攻擊進入骨干網之前就實現控制，因此對于網絡環境內部安全水平的提升有著積極意義，但是同時由于需要邊界路由器的配合，而ISP無法從這種控制過程中獲益，因此基于數據源端的控制常常無法得到實施，進一步影響到此種策略在面對復雜供給的時候檢測效果整體不足。

而基于中間骨干網絡的檢測控制，是面向網絡環境中的數據流量展開梳理和清洗，并且實現對應的限制和過濾。此種檢測方式有多種具體的展開模式，可以由被攻擊端將流量信息發送至路由器，并且進一步由路由器作出判斷和限制，此種模式能夠實現對于服務器負載的緩解，但是對于攻擊流量和合法流量的區分不足，判斷模型還有待于進一步完善。實際工作中還存在基于清洗中心的策略，即在攻擊發生之后，由骨干網路由器將流量諸如清洗中心，經過清洗之后回注網絡環境，此種工作方式能夠有效面對大流量攻擊，但是實現機制比較復雜，成為部署的難點之一。而pushback策略，則是在檢測到攻擊之后，由靠近攻擊目標的路由器面向上游路由器發出流量控制請求，一直回溯到攻擊源端附近實現流量控制。這三種工作模式在靈敏度和部署難度方面都呈現出不同特征，在實際工作中必須妥善依據不同工作模式的特征和實際情況進行選擇，才能獲取到良好效果。尤其是在不同工作模式的不足方面應當加強重視，例如對于攻擊源端檢測方式而言，其較低的靈敏度和難以實現廣泛部署的特征都不容忽視，而對于骨干層過濾模式而言，其部署難度高奮勇高，同時需要ISP配合的特點必須得到重視，而對于攻擊終端過濾方式而言，其處理能力則相對有限。

就DDoS攻擊檢測未來的發展狀況而言，如何在靈敏度、準確性以及大流量處理能力等幾個關鍵方面實現均衡選擇，成為未來發展的關鍵。在DDoS攻擊類型識別方面，雖然已經能夠針對類似于Syn flood等攻擊展開識別，但是相關方面的研究仍然有待進一步深入。同時考慮到骨干網絡環境中攻擊檢測的工作特征，通過骨干網流量變化實現對于DDoS攻擊的有效發現，是解決無固定檢測目標DDoS過濾的基本前提，而在實現檢測之后，如何通過骨干網流量分布發現DDoS攻擊目標，同樣是骨干網檢測技術未來的工作重點。

3 結論

DDoS攻擊是當前網絡環境所面臨的重要問題之一，只有不斷的鉆研和學習，緊跟技術發展步伐，才能切實依據實際環境展開對于DDoS攻擊檢測技術的有效部署，也才能切實實現對于網絡環境安全水平的提升。

[1]陳偉，何炎祥，彭文靈，等.一種輕量級的拒絕服務攻擊檢測方法[J].計算機學報，2006，29（8）.

[2]邵立松，張鶴穎，竇文華.基于窗口的端到端擁塞控制：網絡穩定性與效率[J].計算機學報，2006，29（3）.

[3]何慧，張宏莉，張偉哲，等.一種基于相似度的DDoS攻擊檢測方法[J].通信學報，2004，25（7）.