DDoS是英文DistributedDenialofService的缩写,意即“分布式拒绝服务”,那么什么又是拒绝服务(DenialofService)呢可以这么理解,凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。分布式拒绝服务攻击一旦被实施,攻击网络包就会从很多DOS攻击源(俗称肉鸡)犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为“洪水式攻击”,常见的DDOS攻击手段有SYNFlood、ACKFlood、UDPFlood、ICMPFlood、TCPFlood、ConnectionsFlood、ScriptFlood、ProxyFlood等。
目前而言,黑客甚至对攻击进行明码标价,打1G的流量到一个网站一小时,只需50块钱。DDoS的成本如此之低,而且攻击了也没人管。
关于DDos攻击的常见方法
1.SYNFlood:利用TCP协议的原理,这种攻击方法是经典最有效的DDOS方法,可通杀各种系统的网络服务,主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务。TCP通道在建立以前,需要三次握手:
a.客户端发送一个包含SYN标志的TCP报文,同步报文指明客户端所需要的端口号和TCP连接的初始序列号
b.服务器收到SYN报文之后,返回一个SYN+ACK报文,表示客户端请求被接受,TCP初始序列号加1
c.客户端也返回一个确认报文ACK给服务器,同样TCP序列号加1
d.如果服务器端没有收到客户端的确认报文ACK,则处于等待状态,将该客户IP加入等待队列,然后轮训发送SYN+ACK报文
所以攻击者可以通过伪造大量的TCP握手请求,耗尽服务器端的资源。
3.慢速攻击:Http协议中规定,HttpRequest以\r\n\r\n结尾来表示客户端发送结束。攻击者打开一个Http1.1的连接,将Connection设置为Keep-Alive,保持和服务器的TCP长连接。然后始终不发送\r\n\r\n,每隔几分钟写入一些无意义的数据流,拖死机器。
DDOS攻击现象判定方法
1.SYN类攻击判断:A.CPU占用很高;B.网络连接状态:netstat–na,若观察到大量的SYN_RECEIVED的连接状态;C.网线插上后,服务器立即凝固无法操作,拔出后有时可以恢复,有时候需要重新启动机器才可恢复。
2.CC类攻击判断:A.网站出现serviceunavailable提示;B.CPU占用率很高;C.网络连接状态:netstat–na,若观察到大量的ESTABLISHED的连接状态单个IP高达几十条甚至上百条;D.用户无法访问网站页面或打开过程非常缓慢,软重启后短期内恢复正常,几分钟后又无法访问。
3.UDP类攻击判断:A.观察网卡状况每秒接受大量的数据包;B.网络状态:netstat–naTCP信息正常。
4.TCP洪水攻击判断:A.CPU占用很高;B.netstat–na,若观察到大量的ESTABLISHED的连接状态单个IP高达几十条甚至上百条
DDoS攻击防御方法
1.过滤不必要的服务和端口:可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口,即在路由器上过滤假IP。比如Cisco公司的CEF(CiscoExpressForwarding)可以针对封包SourceIP和RoutingTable做比较,并加以过滤。只开放服务端口成为目前很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。2.异常流量的清洗过滤:通过DDOS硬件防火墙对异常流量的清洗过滤,通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常,进一步将异常流量禁止过滤。单台负载每秒可防御800-927万个syn攻击包。
3.分布式集群防御:这是目前网络安全界防御大规模DDOS攻击的最有效办法。分布式集群防御的特点是在每个节点服务器配置多个IP地址(负载均衡),并且每个节点能承受不低于10G的DDOS攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。
4.高防智能DNS解析:高智能DNS解析系统与DDOS防御系统的完美结合,为企业提供对抗新兴安全威胁的超级检测功能。它颠覆了传统一个域名对应一个镜像的做法,智能根据用户的上网路线将DNS解析请求解析到用户所属网络的服务器。同时智能DNS解析系统还有宕机检测功能,随时可将瘫痪的服务器IP智能更换成正常服务器IP,为企业的网络保持一个永不宕机的服务状态。
DDoS攻击的网络流量清洗
采用云DDoS清洗方式,可以为企业用户带来诸多好处。其表现在不仅可以提升综合防护能力,用户能够按需付费,可弹性扩展,而且还能够基于大数据来分析预测攻击,同时能够免费升级。对于企业用户来说,则可实现零运维、零改造。
第一种:内部服务器监控软件
市场上监控软件有很多种,站长们往往都不知道如何去选择,小编觉得选择的标准便是能够帮您监控服务器、操作系统、内部设施、应用程序、网络协议等全部内容。
监控软件的工作原理不止一种,例如,通过监视HTTP服务器来确保网站和服务器的正常运行,如果发现服务器不能正常运作,监控软件便会发出通知。
但监控软件也会判断失误的时候,DDoS攻击的目标大部分是一个WEB服务器或应用客户端,有时监控软件发现HTTP服务器速度变慢、CPU高负荷工作或者彻底奔溃等问题,但其实这些问题是不能完全确定是DDoS攻击引起的,具体情况还需要管理员的判断。
第二种:外部性能监控
和安装在用户网络内部的监控工具不同,外部性能监控的解决方案往往会由第三方提供,通过位于世界各地的监控节点对网站或应用程序进行性持续性探测。管理员可以使用外部性能监控方案来评估一个潜在发生的DDoS攻击。
外部性能监控一般有以下三个方案:
1、监控如DNS、FTP和电子邮件的等的网络服务。
3、使用真实浏览器检查网站或者应用程序的降级性能、错误和服务。
外部第三方监控解决方案对监控DDoS攻击意义重大,这一类型解决方案的目标是持续监控网站、服务器或者应用程序端,当发生机器故障、反应缓慢以及其他的问题,都会是DDoS攻击的前兆。不过外部解决方案只能告诉管理员服务器性能降低或者崩溃,但是仍然不能确定原因。
第三种:物理设备监控
首先说以下这一种监控方案是最贵的,所以了解之前需要我们考虑一下价格的因素。
物理设备监控方案是要在网络或数据中心机房内部安装DDoS专业检测设备,有些防DDoS攻击的服务商会提供这样的解决方案:本地监测和防护设备处理在可用带宽内的DDoS攻击,如果攻击超过带宽,就切换到云防护。
检测分类
1)误用检测
误用检测主要是根据已知的攻击特征直接检测入侵行为。首先对异常信息源建模分析提取特征向量,根据特征设计针对性的特征检测算法,若新数据样本检测出相应的特征值,则发布预警或进行反应。
优点:特异性,检测速度快,误报率低,能迅速发现已知的安全威胁。
缺点:需要人为更新特征库,提取特征码,而攻击者可以针对某一特征码进行绕过。
2)异常检测
异常检测主要是检测偏离正常数据的行为。首先对信息源进行建模分析,创建正常的系统或者网络的基准轮廓。若新数据样本偏离或者超出当前正常模式轮廓,异常检测系统就发布预警或进行反应。由于检测系统是根据正常情况定制描绘出系统或网络的正常轮廓,对于外部攻击,攻击者很难在攻击时不偏离正常轮廓,因此很容易被异常检测系统侦测到;同理,异常检测系统也可以检测来自内部的攻击。另外,异常检测系统还有能力检测以前未知的攻击。
缺点:首先只有对初始系统进行训练,才能创建正常的轮廓模型;其次,调整和维护轮廓模型也较为复杂和耗时,创建错误的轮廓模型可能导致较高的误报率。最后,一些精心构造恶意攻击,可利用异常检测训练系统使其逐渐接受恶意行为,造成漏报。
优点:异常检测旨在发现偏离,而不是具体入侵特征,因而通用性较强,对突发的新型异常事件有很好的预警作用,利于人们宏观防御,目前大部分网络异常流量检测系统均采用异常检测系统
异常流量检测算法
1)基于统计学的异常流量检测
基于统计学的异常流量检测,会假设当前网络环境处于一个似稳态的状态中。算法会在前期收集和整理大量正常流量数据,通过对历史流量数据进行统计分析或者数据变换设置初始阈值,然后对当前网络流量数据进行计算,通过与初始阈值进行对比,判断当前网络是否发生异常。如果当前网络流量数据某一统计信息超出相应阈值,则代表出现了异常流量
常用的网络流量特征有字节数分组数流计数审计记录数据审计事件的数量、间隔事件、五元组(协议源IP地址目的IP地址目的端口以及目的IP地址)以及资源消耗事件等。
缺点:1意攻击者可通过逐渐增大恶意流量,来欺骗自适应阈值算法,使其接受恶意流量不发生报警。2基于统计的方法还需要假定当前网络环境变化情况是一个似稳态的过程,而网络的访问具有突发性,算法还不能很好地应对目前分布式网络精心构造的攻击流量,无法满足低速攻击LDOS等异常流量的识别要求。3基于统计方法的异常检测无法应对0day漏洞攻击和一些较新颖的攻击
2)基于数据挖掘的异常检测
目前常用的如生成归纳规则、模糊逻辑、遗传算法、神经网络、深度学习等。
3)基于机器学习的异常检测
贝叶斯网络、聚类、支持向量机、马尔可夫模型等都已经广泛应用。
目前,基于机器学习的异常流量检测还处在发展阶段,综合利用各种聚类、分类、深度学习等算法的优点,扬长避短,提高网络异常流量的识别率,已经成为一种潮流。
1.基于组合分类器的ddos攻击流量分布式检测模型
本研究提出了一种分布式攻击流量检测模型,该模型的核心检测部分采用的是机器学习中应用非常广泛的集成学习方法,即组合分类器的随机森林方法。该方法拓展性好,能够适应网络环境中异常监测的动态调整与部署。DDos攻击分布式检测模型共分为数据采集模块、数据预处理模块、分布式分类检测模块和报警响应模块四部分。
a.数据采集模块。主要是在真实网络环境中采集到可供检测的数据包或者数据流;
b.数据预处理模块。由于现网中采集到的网络数据都是一些“裸”数据,这些数据往往从统计分析和数据挖掘等细粒度层面无法进行有效分析和攻击检测,这就需要一些数据预处理方法对数据包或者数据流进行预处理;
c.分布式分类检测模块。在每个从结点上分别部署正常流量与攻击流量的分类检测子模块,并将检测结果汇总到主结点上,再通过一种简单投票法得到最终的分类结果。
【出处】:华中科技大学学报
2.基于SDN的DDoS攻击检测采用跨平台协作和轻量流量监测
分布式拒绝服务(DDoS)攻击是安全专业人员最关心的问题之一。传统的DDoS攻击检测机制是基于中间设备或SDN控制器,缺乏全网监控信息,或者存在严重的南向通信开销和检测延迟。一种基于SDN的跨平台协作的DDoS攻击检测框架,称为OverWatch,它在粗粒度检测数据平面和细粒度检测控制平面之间对异常流进行两阶段粒度滤波。它利用当前在OpenFlow交换机上未充分利用的计算能力来缩小细粒度DDoS攻击检测的检测范围。在OverWatch中,我们提出了一种轻量级流量监测算法,通过轮询OpenFlow交换机中计数器的值来捕获数据平面上DDoS攻击流量的关键特征。在一个基于FPGA的OpenFlow交换机原型和Ryu控制器的评估网络中进行实验,揭示了我们提出的OverWatch框架和流量监测算法可以大大提高检测效率,同时减少检测时延和南向通信开销。
【出处】:IEEE
3.利用雾计算的DDoS攻击防御框架
云是当今竞争激烈的世界的要求,需要灵活,敏捷和适应性强的技术,以应对瞬息万变的IT行业。云为企业提供了可扩展的按需付费服务,因此成为组织IT服务模式日益增长的趋势的一部分。随着云端兴起的趋势,安全问题进一步加剧,与云有关的最大问题之一就是DDoS攻击。DDoS攻击往往耗尽所有可用的资源,导致云中的服务无法提供给合法用户。在本文中,雾计算的概念被使用,它不过是云计算在网络边缘执行分析的一个扩展,即在网络边缘带来智能,以实现快速的实时决策,并减少转发到云端的数据量。我们提出了一个使用不同的工具来生成DDoS攻击流量的框架,这些工具是通过雾防御者进入云端的。此外,规则应用在雾防御者检测和过滤针对云的DDoS攻击流量。
4.基于深度学习的实时DDoS攻击检测
分布式拒绝服务(DDoS)攻击是一种分布式、协作式的大规模网络攻击方式,提出了一种基于深度学习的DDoS攻击检测方法,该方法包含特征处理和模型检测两个阶段:特征处理阶段对输入的数据分组进行特征提取、格式转换和维度重构;模型检测阶段将处理后的特征输入深度学习网络模型进行检测,判断输入的数据分组是否为DDoS攻击分组.通过ISCX2012数据集训练模型,并通过实时的DDoS攻击对模型进行验证.结果表明,基于深度学习的DDoS攻击检测方法具有高检测精度、对软硬件设备依赖小、深度学习网络模型易于更新等优点.
【出处】:电信科学
5.基于改进Logistic回归算法的抗WebDDoS攻击模型的设计与实现
【出处】:网络信息安全
6.SDN中基于多维条件熵的DDoS攻击检测与防护研究
【出处】:南昌航空大学
7.基于随机森林分类模型的DDoS攻击检测方法
本文提出一种基于随机森林的DDoS攻击检测方法,将数据流信息熵作为分类标准,令sourceIP、destinationIP、destinationPort分别代表数据流的源地址、目的地址、目的端口,采用SIDI(sourceIP-destinationIP)、SIDP(sourceIP-destinationPort)和DPDI(destinationPort-destinationIP)三个信息熵来分别表征三种多对一的特征,对TCP洪水攻击、UDP洪水攻击、ICMP洪水攻击等三种常见的攻击方式进行特征分析,在此基础上使用基于随机森林分类模型分别对三类DDoS攻击方式进行分类检测,实验结果表明该模型能够较为准确地区分正常流量和攻击流量,与HMM、SVM方法相比,基于RFC模型的DDoS检测方法有较高的检测率和较低的误报率。
【出处】:计算机应用研究
8.应用层DDoS攻击的用户行为异常检测
本文提出了一种基于用户行为异常检测的应用层DDoS攻击检测方法。我们从HTTPWeb服务器日志中提取请求资源的用户行为实例。我们应用主成分分析(PCA)子空间异常检测方法来检测异常行为实例。收集来自托管学生资源门户的Web服务器的Web服务器日志作为实验数据。我们还通过渗透测试产生了九种不同的HTTPDDoS攻击。我们在收集的数据上的性能结果表明,使用PCAsubspace异常检测用户行为数据,可以检测应用层DDoS攻击,即使他们试图模仿一定程度上的正常用户的行为。
9.基于流量和IP熵特性的DDoS攻击检测方法
针对现有DDoS(distributeddenyofservice)攻击检测率低、误报率较高等问题进行了深入研究。根据DDoS攻击发生时网络中的流量特性和IP熵特性,建立了相应的流量隶属函数和IP熵隶属函数,隶属函数的上下限参数通过对真实网络环境仿真得到。提出了基于流量和IP熵特性的DDoS攻击检测算法,先判断流量是否异常,再判断熵是否异常,进而判断是否发生了DDoS攻击。由仿真结果可以看出,单独依靠流量或IP熵都不能很好地检测出DDoS攻击。该算法将流量和IP熵特性综合考虑,准确地检测出了DDoS攻击,降低了误报率,提高了检测率。
10.基于区块链技术的网络DDoS联合防御方法研究
【出处】:网络安全技术与应用
11.基于RDF-SVM的DDoS攻击检测研究
本文通过考虑特征选择在DDoS攻击检测中的重要性,设计了RDF-SVM算法,利用随机森林计算特征重要性和SVM对特征进行重新筛选,避免了特征的错误消除。最后得到最优的特征子集,达到较高的检测率和召回率。本文采用两种数据集进行训练和测试。实验结果表明,RDF-SVM算法可以在KDD99数据集上选择最优特征子集,并且还可以区分DDoS攻击流量和正常流量(FlashCrowd)在真实环境下采集的DDoS数据集。与CART,神经网络,Logistic回归,AdaBoost和SVM方法相比,RDF-SVM算法具有较高的检出率和召回率。