攻击基于双向流量的ddos检测

ABSTRACT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .I I

1绪论

1 .1研究背景和意义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

1 .2网络流量分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2

1 .3 DDoS攻击现状研究. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

2 分布式拒绝服务攻击. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

2.1 DDoS攻击简介. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

2.2 DDoS攻击及过程. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

2.3 DDoS攻击的分类. . . . . . . . . . . . . . . . . . . .8

2.4 DDos攻击的流量. . . . . . . . . . . . . . . . . . . . . .12

3 流量分析模型. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

3.1分析与讨论. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

3.2网络模型. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

4 实验平台的建立. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

4.1 NS2平台的搭建. . . . . . . . . . . . . . . . . . . . . . . .16

4.2AWI数据分析工具. . . . . . . . . . . . . . . . . . . . .17

4.3 XGrpah绘图工具简介. . . . . . . . . . . . . .18

5 双向流量的仿真实验. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

5.1仿真实验. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

5.2实验数据分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

5.3结论. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

致谢. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

参考文献. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

本文系统介绍了DDoS攻击的基本原理、攻击类型和攻击特点研究了DDoS攻击的发生对于网络流量的相关性的影响。 鉴于传统的用单向流量分析、检测异常流量的方法无法正确区分突发的正常流量和 DDoS攻击流量本文提出了一种基于双向流量的分析检测机制通过对网络节点的输入、输出流量的关系分析从而区分异常流量和正常的突发流量。在此基础上提出了对研究 In ternet实际网络异常流量检测有重要意义的8种状态模型并在NS2平台上进行了仿真验证了这种检测机制的有效性和可行性。

关键字 双向流量 DDoS正常突发流量 异常检测

ABSTRACT

This article systematical ly in troduce the basic prin ciple of DDoS attack, theattack type and the attack characteristic.Wealso study the occurre nee of

DDoSattack regard ing the in flue nee to the releva nee of the networkflow. In view ofthe fact that the method with traditional uni directi on flow an alysis, abnormal flowexamination arebothunabletodiffere ntiate the outburst of no rmal traffic and the DDoS attack traffic. In thearticle,we propose one detect ion mecha nism that based on the an alysis of two-way traffic.With theinput of networknodesandanalysis of theoutput trafficrelati on ship, the n we can differe ntiate the abno rmal traffic and the no rmal outbursttraffic.On this basis,we propose the eight conditional models,which has important meaning whenstudi ng the detect ion of abno rmal traffic of the Internet actual n etwork. It has been carried on thesimulation in the NS2 platform,which verifies theval idity and the feasibi l ity of the detect ion mecha ni sm.

Keywords: two-way traffic,DDoS normal outburst traffic,detecti on of abno rmal traffic

1绪论

1 .1 研究背景和意义

近年来 In ternet得到了飞速发展 网络规模急剧膨胀 In ternet己经成整个社会基础设施的重要组成部分。然而高速互连的计算机网络给人们的工作与生活带来很大便利的同时也为一些攻击提供了有利的条件。 网络安全事件也开始频繁的发生各种攻击手段层出不穷计算机网络的保密性、完整性、可用受到了严峻的考验。每年全球因计算机网络的安全系统被破坏而造成的经济损失高达数百亿美元。 网络安全问题已经成为严重制约网络发展的主要问题尤其是电子商务等商业活动在网络中显现给人们的生活带来了极大的不便甚至威胁到了家和社会的安全。

目前In ternet安全的威胁主要来自黑客(Hacker)入侵、计算机病毒(Viru)和拒绝服务(Denies of Service) 攻击三个方面。特别是近年来在拒绝服务攻DoS攻击的基础上发展起来的分布式拒绝服务攻击 DDoS(Distributed Denial ofService)无疑是最大的安全威胁之一。

DoS攻击是以一台接入互联网的单机向目标发动攻击消耗目标主机或目的网络的资源从而干扰或完全阻止为合法用户提供服务。而 DDoS攻击通常采用几百台甚至几千台分布的主机并发地对单个或多个目标进行攻击 以大量的非法数据耗尽网络带宽和服务器资源致使被攻击的服务器或者网络不能提供服务。 DDos由于分布式攻击的源头分布广泛且攻击时使用伪造的虚假源IP地址使这种危害性极大的攻击具有难以检测、难以追查和难以抵挡的特点。而且这种攻击可以非常容易地实现因为任何普通用户都能从网上下载 DDos攻击工具成功地发动DDOSi击。

DDoS攻击易发动但难检测的特点导致了 DDoS攻击的广泛发生。 国外很多著名的网站都遭受过DDoS的攻击 1999年8月一种叫Trinoo的DDoS攻击程序攻击了美国明尼苏达州大学的一台机器 使这台机器关闭了两天 2000年2月7日至9日美国的Yahoo! 、 Buy.eom、 eBay、 Amazon Datek、 E一trade、新闻网站CNN等众多网站相继受到身份不明的黑客发动的 DDoS攻击系统瘫痪达几十小时之久造成了高达12亿美元的经济损失I ;2002年10月21日互联网的核心位于美国、瑞典、英国、 日本的 13台肩负互联网数据传输重任的根服务器遭到来历不明的网络攻击攻击者发送了数百万条虚假信息请求 使服务器淹没在这些请求中造成其中9台根服务器瘫痪服务中断1小时;2003年12月15日攻击者采用了一种新型的DDos攻击手段对北美、欧洲、亚洲等地的互联网发动了攻击据估计至少有2.2万台网络服务器和25万台计算机遭受到了攻击。受灾最严重的韩

国甚至举国网络瘫痪了整整24小时造成了难以挽回的巨大损失。

在我国随着宽带业务的不断推广宽带用户数量大幅度的增加。根据第21次中国互联网络发展状况统计调查结果显示 中国网民人数、上网计算机数、注册网站数量己经分别达到了2.1亿人、 5940万台、 150万。网站遭到DDoS攻击的情况也变得较为严重绝大多数的ISP和ICP、 电信公司、知名的新闻站点、 商业网站、大型学术论坛等等都遭受过 DDoS攻击致使很多网站长时间响应速度极慢甚至无法访问。 2003年7月 以虚拟主机性价比享誉的商务中国

(www.bizcn.com)—连遭受几波极其猛烈的DDoS黑客攻击在攻击过程中商务中国托管在某地方电信级IDC机房的服务器无一幸免 2004年10月腾迅公司的QQ服务器被DDos攻击对方甚至提出经济要求来作为“修复费用”并且这次攻击更加狡滑先是进行一段高速攻击然后再进行低速攻击使得

DDoS攻击的检测变得异常困难 2005年1月21日晚我国国内知名的商业网站

8848.net和8848.com被几千万个来自百度搜索联盟成员的IP地址在短时间内同时访问8848首页造成分布式拒绝服务攻击使8848主页突然无法被正常的访问。

上述攻击事件表明 即使是具有雄厚技术支持的高性能网站在 DDoS攻击下也不能幸免。而对于那些规模较小没有报道的 DDoS攻击更是不计其数。 由此可见DDoS攻击己经对In ternet安全构成了巨大威胁 己成为网络发展的头号公敌。如何防范DDoS攻击己经成为了一个亟待待解决的全球性问题在这种背景下 DDo敦击的检测和防御的研究具有很强的应用价值和现实意义。

1 .2 网络流量分析

网络流量分析是对模拟的或真实的网络流量进行测量分析和建模的技术是用来观察并预测网络流量。 网络In ternet是由众多能转发IP数据包的路由器互接而成要想管理如此构建复杂、规模庞大的网络必须掌握网络运行状况 了解负载运营状态、发现异常活动、排除网络故障等这些都要求我们能实时地测量和分析网络流量。流量测量是指利用报文捕获工具、边缘路由器所生成的流级别的流量统计表等软硬件被动地监测网络上的“流”的情况。这种测量方式可以在不增加和修改网络的数据负载的前提下完成对单个连接或节点的性能描述达到在一个特殊点观察整个网络行为的目的。

网络流量由高速、持续不断的海量TCP/IP包数据流构成。每个IP数据包都含有源IP地址、 目的IP地址、包长、发送字节数、启动时间、结束时间等属性信息.而数据流是指具有相同属性值的若干数据包的集合这些属性值可以是源IP地址、 目的IP地址、发送字节数、发包个数、协议类型等。 网络流量分析的研究对象正是这些数据流的属性值。

网络流量模型是流量工程领域的重要研究方向也是网络流量分析的关键技术。前人在这方面做了众多研究提出了几个经典的流量模型  柏松(Poisson)分布模型和马尔可夫(Markov)模型两者考察较短网络时间尺度下的网络流量的相关性因而也称之为短相关模型。直到 90年代 Leia nd等人分析了Bel leore莫里森研究和工程中(Bel leore Morristow n Research and Engin eeri ng Cen tre)几个以太网上的数百万实际网络数据包。他们的研究表明 实际环境中的网络流量在不同的分析尺度上体现出了不同的行为特征聚合的数据包流量过程在大时间或空间尺度上具有渐近自相似特性。 网络流量过程所蕴含的这种自相似特征己经无法用传统的泊松模型或者马尔可夫模型来描述。 网络流量在任意时间尺度上或者大范围时间尺度上表现在统计上自相似突出表现为突发流量没有明确的长度不可能将它们平滑掉。他们提出的自相似模型至今仍是网络流量分析领域最经典应用最广泛的模型。

1 .3 DDoS攻击现状研究

对DDoS攻击的防御主要集中以下几个方面:DDoS攻击源追踪技术、DDoS攻击检测技术以及DDoS攻击包过滤技术。其中 DDoS攻击检测技术是攻击源追踪技术与DDoS攻击包过滤技术的基础只有快速准确地检测到 DDo敦击的发生才能及时实施DDoS攻击源追踪与DDoS攻击包过滤。因此对DDoS攻击检测技术的研究显得尤为重要。

与其它的攻击相比 DDos攻击有以下特点采取分布式攻击手段改变了传统的点对点攻击模工使得攻击数据流呈无规律状态 通常使用常见的协议与服务所以仅从协议与服务型方面难以区分正常连接请求与恶意请求 攻击数据包通常经过伪装使用伪造源IP地址无法识别来源。 以上特点使得对 DDoS攻击的检测十分困难。

目前DDoS攻击检测研究方法大多以对网络流量统计分析为主即对正常网络数据进行建模根据历史数据建立一个正常的参数基线在一个闽值容许范围内(这个容许范围是两个或三个标准差)表示流量正常一旦超出此范围就判定为异常。

2分布式拒绝服务攻击

2.1 DDoS攻击简介

DDoS攻击是由DoS演化而来 因为在分析DDoS之前我们先介绍DoS拒绝服务(DoS)攻击是指通过恶意的网络访问制造大量的数据包流入目标主机来消耗系统资源致使流向目标主机的服务请求极度拥塞 而造成被攻击的目标主机无法提供正常的网络服务。基攻击原理比较简单一般是利用网络协议(TCP、 UDP

ICMP等)漏洞发送特殊数据包从而消耗目标主机的系统资源和网络资源。其中以SYNFlood攻击最为常见利用了TCP/IP协议的三次握手过程的漏洞。下面以SYN Flood为例来解释DOS攻击原理。

分布式拒绝服务攻击(DDOs)是指采用分布式的/协作的大规模的拒绝服务攻击DDO攻击者通过扫描网络或协议的漏洞侵入大量的计算机来组建 DDoS攻击网络然后向这些被捕获的攻击从机发出攻击指令 集中向目标主机发出数以百万计的数据包导致受害主机无法响应合法用户的请求严重者导致网络瘫痪。

2.2 DDoS攻击及过程

2.2.1 DDoS攻击方法

因为DDoS攻击是从DoS攻击演化而来的所以先介绍一下DoS的主要攻击方法。DoS的攻击方法主要包括

(1) 基于分片重组缓冲区溢出的攻击如Ping of Death  jolt2等攻击者发送一个长度超过接收者缓冲区的ICMP/UDP数据包从而使接收者在重组分片时造成缓冲区溢出导致系统崩溃或者挂起。该方法主要利用了早期操作

系统ICMP/UDP协议实现的漏洞 目前绝大多数操作系统都可以抵抗该攻击。

(2) 基于分片重组偏移量重叠的攻击例如Teard rop攻击攻击者一般发送两个UDP数据包其中第二个分片的偏移量小于第一个分片的结束位置 并且算上其数据部分也未超过第一个分片的尾部 即出现了“严重”的重叠(overl ap)现象一些早期的Linux系统在处理这类问题时存在错误所以可以导致系统的死机或者重启动。

(3) UDP Flood利用UDP协议的洪水攻击。攻击者通过伪造源IP地址的方法 向目的方发送大量的无用请求数据包(例如Chargen请求包) 占用目的方的网络和主机资源如果目的方提供此项服务那么还将产生大量的应答

包否则将产生ICMP端口不可达包进一步阻塞网络从而达到不能提供正常服务的目的。

(4) TCP Flood :禾I」用TCP协议的洪水攻击这是目前DoS以及DDoS攻击最常使用的方法主要包括TCPSYN TCPACK TCPDATATCPRST TCPNULL等等。其攻击过程与UDPFIood—样但需要特别说明的是TCPSYN攻击(见图2.1)该方法利用TCP的三握手协议通过伪造源IP的方式向服务器发送大量SYN连接请求服务器应答SYN/AC K勺同时还要为该连接分配内存 以保存该连接的内容和状态直到连接超时。因此TCPSYN攻击不仅需要消耗CPU资源还需要占用大量存储资源所以危害更大。因为目前大部分应用都建立在 TCP协议基础上所以使用TCP Flood的比例占DDoS攻击总数量的90%以上是检测和过

滤的重点。

(5) ICMP Flood:利用ICMP协议的洪水攻击。该方法和UDP Flood攻击一样向目的方发送大量的 ICMP请求包(如ICMP Echo Request、 ICMP TSRequest) 目的方就会向每个攻击包的伪造源IP发出一个应答包(ICMP ECHO Reply、ICMP TS Reply) 因此不能为正常请求提供服务。表 2-1具体给出了

(3) ,(4),(5)所涉及的攻击包类型以及受害者产生的应答包情况。

表2-1 各种洪水攻击典型的应答包

(6) Smurf利用广播Ping包的洪水攻击。攻击者向一个具有大量主机和网络连接的网络的广播地址发送一个欺骗性 Ping分组(echo请求)这个网络被称为反弹站点而欺骗性Ping分组的源地址就是攻击者希望攻击的系统。这种攻击能够成功的前提是路由器接收到这个发送给 IP广播地址(如

206.121.73.255)的分组后会认为这就是广播分组并且把以太网广播地址

FF:FF:FF:FF:FF:FF:映射过来对本地网段中的所有主机进行广播。因此这些主机会同时向受害者(Ping分组的源地址)发送应答包将其吞没达到拒绝服务的攻击目的。

(7) DRDoS分布式反射拒绝服务攻击(Distributed Reflection Denialof ServiceAttack)。该方法与Smurf攻击有些类似也是需要利用反射器

(Reflector)来攻击目标。不过和Smurf不同的是 DRDoS是向一些高效的服务器发送