DDOS攻击检测.doc

宁波工程学院学年论文- 1- 2000 年以来,网络遭受攻击事件频频发生,全球许多著名网站如 yahoo 、 cnn 、 、 ebay 、 fbi 等等,包括中国的新浪网也相继遭到不名身份的黑客攻击,值得注意的是, 在这些攻击行为中, 黑客摒弃了以往常常采用的更改主页这一对网站实际破坏性有限的做法, 取而代之的是, 在一定时间内, 彻底使受攻击的网站丧失正常服务功能, 这种攻击手法为 DDoS ,即分布式拒绝服务攻击(Distributed denial of service )。简单的讲, 拒绝服务就是用超出被攻击目标处理能力的海量数据包消耗可用系统, 带宽资源, 致使网络服务瘫痪的一种攻击手段。在早期, 拒绝服务攻击主要是针对处理能力比较弱的单机,如个人 pc 机,或是窄带宽连接的网站,对拥有高带宽连接,高性能设备的网站影响不大,但在 99 年底,伴随着 DDoS 的出现,这种高端网站高枕无忧的局面不复存在,与早期的 DoS 攻击由单台攻击主机发起,单兵作战相较, DDoS 实现是借助数百,甚至数千台被植入攻击守护进程的攻击主机同时发起的团战行为, 在这种几百, 几千对一的较量中,网络服务提供商所面对的破坏力是空前巨大的。分布式拒绝服务(DDoS) 攻击是目前严重威胁网络安全和影响网站服务质量的一种攻击手段 DDos 攻击就是利用多个分布式攻击源向攻击对象发送超出攻击目标处理能力的海量数据包,来消耗可用系统和带宽资源,从而导致网络服务瘫痪的一种攻击[1] 。目前有很多方法检测和防御 DDoS 攻击, 传统的检测和防范措施是基于特征匹配的检测往往要求有一定的先验知识难以区分突发正常流量与 DDoS 攻击[2], 至今没有一种有效的办法区分 DDoS 攻击流和正常的突发流, 因此,检测和防御 DDoS 攻击仍旧是一个艰巨的课题。而区分 DDoS 攻击流和正常的突发流就成了问题的关键。以上例子只是 DDoS 攻击的一个缩影,诸如此类的事件在网络或者电视、报纸上层出不穷。从 DDoS 攻击事件可以看出, 即使是具有雄厚技术支持的高性能网站也逃不过 DDoS 攻击的厄运。由此可见, DDoS 攻击已经对当今的因特网造成了巨大的威胁, 如何及早检测出 DDo S 攻击,采用有效的防御成为网络安全研究领域的重点和热点。 2. DDoS 攻击原理 DDoS 攻击是一种基于 DoS 攻击的分布式、协作的大规模攻击方式,它直接或间接通过互联网上其他受控主机攻击目标系统或者网络资源的可用性。一般而言, DDoS 攻击架构为三层:攻击者( Client )、主控端( Master )、代理端( Daemon )和被攻击者( Victim ), 它利用受控主机向攻击目标发起攻击,具有威力更大、更难防御、更难追随的特征。 DDo S 攻击原理图如图 2-1 所示。宁波工程学院学年论文- 2- 图 DDoS 攻击的体系结构各层分工不同,具体如下: 攻击者: 可以是网络上的任何一台主机, 甚至是一台便携机。在整个攻击过程中, 它是攻击主控台, 负责向主控端发送攻击命令, 控制整个过程。攻击者与主控端的通信一般不包括在 DDoS 工具中,可以通过多种连接方法完成,最常用的有“ ” TCP 终端会话,此外还有绑定到 TCP 端口的远程 shell ,基于 UD