防御模仿正常用戶服務(wù)請求的DDoS攻擊的方法研究及實(shí)現(xiàn).pdf

1、信息技術(shù)的發(fā)展和因特網(wǎng)的普及，改進(jìn)了我們的工作方式，提高了我們的工作效率，但針對(duì)網(wǎng)絡(luò)實(shí)體的攻擊所產(chǎn)生一系列問題已引起人們的廣泛關(guān)注。在各種攻擊網(wǎng)絡(luò)系統(tǒng)的方法中，拒絕服務(wù)攻擊DoS作為主要的攻擊手段，破壞力強(qiáng)且難于防范，也正因?yàn)檫@一點(diǎn)，針對(duì)此類攻擊的防護(hù)一直是網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)研究重點(diǎn)。 在被動(dòng)防護(hù)方面，圍繞著DoS攻擊的檢測、返回跟蹤、應(yīng)對(duì)，提出了各類新的算法和體系結(jié)構(gòu)，如基于隨機(jī)模型的序列檢測，頻譜分析，泛洪探測，IP數(shù)據(jù)包標(biāo)

2、記算法，隨機(jī)丟棄數(shù)據(jù)包等等。在主動(dòng)防護(hù)方面，開發(fā)了多種安全防護(hù)系統(tǒng)保護(hù)一些易受攻擊的協(xié)議，如使用防火墻技術(shù)防御TCP SYN洪水攻擊等，同時(shí)，在設(shè)計(jì)新協(xié)議時(shí)引入各類認(rèn)證技術(shù)如cookie、client puzzle等來增強(qiáng)協(xié)議對(duì)DoS攻擊的防御能力。 針對(duì)以上的種種防御手段，DoS攻擊者亦發(fā)展出相應(yīng)對(duì)策，從原先的帶寬洪水攻擊轉(zhuǎn)向以消耗服務(wù)器應(yīng)用層資源的為目標(biāo)的攻擊。攻擊者利用事先攻占的傀儡主機(jī)向應(yīng)用服務(wù)器發(fā)出服務(wù)請求，消耗其各

3、類高層資源如CPU，數(shù)據(jù)庫，磁盤帶寬等，由于這類攻擊模仿正常用戶的操作，所以很難將兩者區(qū)分開來，通常的防御手段使用起來往往效果不佳。 通過對(duì)已有防御方法的研究和分析，并結(jié)合服務(wù)器備份和負(fù)載均衡技術(shù)，我們提出了一種新的解決方案SURVIVE來防御這類新出現(xiàn)的DoS攻擊。利用Cookie技術(shù)以防御IP欺騙，利用CAPTCHA和IP地址hash表以識(shí)別和隔離傀儡主機(jī)，利用證書來實(shí)現(xiàn)TCP重定向以達(dá)到負(fù)載均衡的目的，從而進(jìn)一步提高服務(wù)器

4、系統(tǒng)的整體服務(wù)能力。在所有的認(rèn)證通過之前，服務(wù)器系統(tǒng)不會(huì)為用戶分配任何資源，通過認(rèn)證后我們的方案也能夠確保用戶不能無限制的占用資源，以上兩點(diǎn)保障了服務(wù)器系統(tǒng)在受到攻擊時(shí)的生存能力。 此外，我們還給出了一個(gè)針對(duì)SURVIVE而設(shè)計(jì)的負(fù)載均衡的方案，該方案能滿足對(duì)服務(wù)器地理位置和動(dòng)態(tài)負(fù)載狀況所提出的均衡要求，并且只消耗系統(tǒng)很少資源。 最后，我們以Windows平臺(tái)為基礎(chǔ)，利用防火墻技術(shù)，實(shí)現(xiàn)所提出的防御方案，并對(duì)實(shí)現(xiàn)過程中所