分布式拒绝服务攻击(distributed denial of service attack,简称DDOS)是通过控制互连网上多台安全防御比较薄弱的服务器同时攻击目标系统,造成受害服务器系统或网络负荷过重,无法及时接收或回应外界请求,从而达到拒绝服务攻击的目的。
一般在宽带网上,DDOS攻击的具体表现形式是制造高流量无用数据,造成网络拥塞,使网络服务中断。目前互联网上的网站大多是高带宽的服务器,从原理上来讲,单纯的通过直接发包攻击,几乎不可能引起任何阻塞。因为发起攻击的服务器带宽可能远远低于这些服务器,发出的攻击包对于被攻击服务器而言并不构成为攻击。但DDOS技术的出现使得从低带宽服务器向高带宽服务器发起攻击变得非常容易。但在移动网络中,受限于无线带宽瓶颈,在核心网链路上显示这些攻击的流量不大,属于正常的小流量,但由于移动用户并发数量大,移动性等特点,通过大量并发可产生对目标系统的资源消耗,产生拒绝服务攻击。
| 序列号 | CPU | RAM | HDD | 带宽 | 售价(美元) | 免费试用 |
|---|---|---|---|---|---|---|
| 香港服务器1 | E5-2620 | 32G | 1T HDD | 50M/无限流量 | $196.00 | 立即申请 |
| 香港服务器2 | E5-2650 | 32G | 1T HDD | 50M/无限流量 | $256.00 | 立即申请 |
| 香港服务器3 | E5-2680 | 32G | 1T HDD | 50M/无限流量 | $316.00 | 立即申请 |
| 香港服务器4 | E5-2690 | 32G | 1T HDD | 50M/无限流量 | $336.00 | 立即申请 |
| 香港服务器5 | E5-2697 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器6 | E5-2620*2 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器7 | E5-2650*2 | 32G | 1T HDD | 50M/无限流量 | $436.00 | 立即申请 |
| 香港服务器8 | E5-2680*2 | 32G | 1T HDD | 50M/无限流量 | $476.00 | 立即申请 |
| 香港服务器9 | E5-2690*2 | 32G | 1T HDD | 50M/无限流量 | $556.00 | 立即申请 |
| 香港服务器10 | E5-2697*2 | 32G | 1T HDD | 50M/无限流量 | $596.00 | 立即申请 |
| 香港服务器11 | E5-2680v4*2 | 32G | 1T HDD | 50M/无限流量 | $696.00 | 立即申请 |
| 香港服务器12 | E5-2698v4*2 | 32G | 1T HDD | 50M/无限流量 | $796.00 | 立即申请 |
近年来,攻击者们又利用僵尸网络(Botnet)作为攻击平台,形成规模更庞大的DDoS攻击,使得攻击流的分布程度更广、危害更大,DDoS攻击的检测更难,给当前的网络和网络上的计算机带来了不容忽视的威胁。网络安全的社会化要求网络上的每一个人都有义务保障互连网的安全,这一点在防范DDOS攻击上体现的尤为明显。
电信运营商移动互联网用户数量多,随着智能手机的普及,手机终端上应用日益丰富且有可能常在线,容易成为“肉机”。DDoS攻击导致的网络安全问题时有发生,移动互联网与宽带网络共用IP核心网络,导致IP网络整体服务质量下降,电信运营商必须加强网络的监视和控制能力,减轻拒绝服务攻击对网络造成的影响,保障其用户的权益。
现有的DDOS攻击监测方法主要有以下两种:
(一)在靠近用户侧部署IDS(Invasion Detect System,入侵检测系统)服务器,它通过检测网络和系统内部的数据和活动,发现可能的入侵活动,并进行报警。但在面临DDoS攻击时,IDS系统往往不能满足要求,主要原因为:
第一,入侵检测系统虽然能够检测应用层的攻击,但是基本机制都是基于规则,需要对协议会话进行还原,而目前DDoS攻击大部分都是采用基于合法数据包的攻击流量,所以IDS系统很难对这些攻击有效检测。虽然某些IDS系统本身也具备某些协议异常检测的能力,但这都需要安全专家手工配置才能真正生效,其实施成本高、易用性极低;
第二,由于IDS高居不下的误报率可能形成新的拒绝服务,造成合法用户无法访问网络资源。
(二)在城域网出口部署NetFlow服务器进行监测,其原理是利用NetFlow根据采样比采集数据信息,对采集数据的种类、流向、产生后果、数据包类型、地址、端口等多个方面进行分析,监测异常流量。产生异常后可通过清洗服务器自动下发引流策略到核心路由服务器,将异常流量引入清洗服务器进行清洗,通过报表系统上报攻击事件和清洗情况。目前大部分的DDOS监测采用该种方式,主要问题在于:
第一,NetFlow数据格式不能提供精细的L4-L7层信息,无法针对那些瞄准应用层的DDoS作出响应;
第二,由于考虑到出口路由器的CPU和内存负荷,通常NetFlow的采样率都会调得比较高,如3000 : I或5000 : 1,由于抽样误差,只能针对是否存在超出预设阈值的大流量网络层攻击做出判断,因而无法检测低速率的DDoS攻击,无法实现精细颗粒的安全防护。
通过以上分析,业界对小流量DDOS攻击监测还缺乏有效的方法。
鉴于以上,本方法提出监测小流量DDOS攻击的方法和系统。 [0015] 监测小流量DDOS攻击的方法,包括以下步骤:
在城域网的出口部署DDOS监测系统,对访问设定系统的流量进行I : I的4-7层采样,根据采样数据计算流量阈值曲线,判断时间S内流量是否持续超过流量阈值曲线;
当时间S内流量是否持续超过流量阈值曲线时,读取IP包载荷的内容,计算成分占比阈值曲线,判断在时间S内当前成分占比超过成分占比阈值曲线次数是否大于N次,N为大于等于I的整数;
当前成分占比超过成分占比阈值曲线次数大于N次,提取访问设定系统的IP源地址,根据IP源地址从AAA获取用户所连接的基站信息,计算基站之间距离总和阈值,判断当前基站之间的距离总和是否小于基站之间距离总和阈值,如果是,判定为发生DDOS攻击。
监测小流量DDOS攻击的DDOS监测系统,包括:
基线分析过滤器,对访问设定系统的流量进行I : I的4-7层采样,根据采样数据计算流量阈值曲线,判断时间S内流量是否持续超过流量阈值曲线,如果是,通知成分分析过滤器;
成分分析过滤器,读取IP包载荷的内容,计算成分占比阈值曲线,判断在时间S内当前成分占比超过成分占比阈值曲线次数是否大于N次,N为大于等于I的整数,如果是,通知相似度分析过滤器;
相似度分析过滤器,提取访问设定系统的IP源地址,根据IP源地址从AAA获取用户所连接的基站信息,计算基站之间距离总和阈值;判断当前基站之间的距离总和是否小于基站之间距离总和阈值,如果是,认为发生DDOS攻击。
本方法利用DPI (Deep packet inspection,深度包检测)技术获取4-7层数据,弥补NetFlow技术无法检测低速率DDoS攻击的不足;
采用基线分析+成分分析+相似度分析的启发式检测方法,弥补IDS的高误报率,实现精细颗粒的安全防护,有效预防未知方法的拒绝服务攻击,提高运营商网络的安全级别;
可操作性强,与AAA进行联动控制,及时发现异常流量并进行清洗,弥补了专用系统部署成本高、实施复杂的不足,可实现一点部署全网覆盖,具有大规模部署的潜力,提高防御效率。
下一篇: 访问服务器日志数据的统计方法
