linux系统ddos攻击防护技术研究.docx

linux系统ddos攻击防护技术研究.docx:..DDoS攻击检测技术研究张明猛I赵天福彳(1江南计算技术研究所江苏无锡214083)(2江南计算技术研究所江苏无锡214083)扌商要:分布式拒绝服务攻击是网络安全的重大威胁Z-o传统的根据流量特征来检测拒绝服务攻击的方法,无法适用于分布式拒绝服务攻击的检测。文章介绍了一种基于CUSUM算法的检测技术,这种检测方法可以有效识别分布式拒绝服务攻击。关键词:分布式拒绝服务攻击;检测;CUSUM算法中图分类号::AResearchontheDetectionTechniqueofDistributedDenyofServiceAttackZHANGMingmeng,ZHAOTianfu(putingTechnology,WuxiJiangsu214083,China)Abstract:DistributedDenyofService(DDoS)(CUMSUM),workflow・Keywords:DistributedDenyofService;Detecting;CumulativeSumalgorithm1引言拒绝服务攻击(DenyofService,DoS)曾经使得世界上几家著名电子商务提供商的站点(如雅虎、eBay、亚马逊等)陷入瘫痪长达数小时英至数天,造成了巨大的经济损失。拒绝服务攻击非常容易发起,并不像其它攻击一样需要有一定技术基础。拒绝服务攻击容易实施的根木原因是TCP/IP协议的脆弱性。TCP/IP协议是因特网的基石,它是按照在开放和彼此信任的群体屮使用来设计的,在实现上力求效率,而没有考虑安全因素(如数据认证、完整性、保密性服务等)。例如,网络拥塞控制在TCP层实现,并且只能在终端结点实施控制,这就使得大最报文可以不受约束地到达终端结点;路由器可以只根据目的地址决定路由,用户可以任意改变源IP地址,造成地址欺骗攻击(IPSpoofing)容易实施,DoS攻击正是利用这个弱点,使得DoS攻击的真实源头难以追踪、DoS攻击报文的识别异常困难⑴。传统的拒绝服务攻击从一个攻击源攻击一个H标,可以很容易地根据流量来识别⑺。但近年来,拒绝服务攻击已经演变为同时从多个攻击源攻击一个目标的形式,即分布式拒绝服务攻击(DistributedDenyofService,DDoS)。DDoS呈现的特征与正常的网络访问高峰非常相似,特别是攻击者采用伪造、随机变化报文源IP地址、随机变化攻击报文内容等办法,使得DDoS的攻击特征难以提取,攻击源的位置难以确定。木文将介绍一种可以有效识别DDoS攻击的算法,这种算法通过计算新IP地址数量的变化情况,能较准确地检测出DDoS攻击。2拒绝服务攻击的原理及特征从攻击原理分,拒绝服务攻击可分为两类⑶:一类是基于漏洞的攻击,又称为逻辑攻击(LogicAttack),而另一类是基于流量