1、一種改進(jìn)的DDOS攻擊檢測與防御系統(tǒng)設(shè)計(jì)摘要摘要：提出一種檢測與防御的路由器架構(gòu)，即在服務(wù)器與外界輸入之間放置具有檢測與過濾功能的路由器以防范攻擊。檢測中，運(yùn)用報(bào)文差檢測算法，對網(wǎng)絡(luò)中當(dāng)前數(shù)據(jù)流量進(jìn)行監(jiān)測與分析，實(shí)現(xiàn)攻擊檢測。防御中，將路由器作為外界與服務(wù)器之間的TCP握手代理，通過對網(wǎng)絡(luò)中TCP數(shù)據(jù)包進(jìn)行分析篩選保證服務(wù)器的正常工作。關(guān)鍵詞：報(bào)文差檢測算法；TCP握手代理；NetFPGA;路由器架構(gòu)1實(shí)現(xiàn)方案1.1 設(shè)計(jì)原理在正常的服務(wù)器通信中，路由器主要發(fā)揮流量監(jiān)測的功能即對網(wǎng)絡(luò)中存在的數(shù)據(jù)流量進(jìn)行實(shí)時(shí)監(jiān)測，并采用報(bào)文差檢驗(yàn)算法對得到的數(shù)據(jù)流量進(jìn)行實(shí)時(shí)處理與分析，以判斷當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)是否存在

2、異常。當(dāng)發(fā)現(xiàn)異常時(shí)，會認(rèn)為有攻擊產(chǎn)生，并自動切換到防御狀態(tài)。在防御狀態(tài)中，對于每個(gè)由外界發(fā)起的TCP連接都會在路由器處進(jìn)行TCP三次握手的預(yù)處理即將路由器作為服務(wù)器的代理，確認(rèn)客戶端是否可完成完整的TCP三次握手。對于通過認(rèn)證的TCP連接請求，路由器會再作為客戶端代理與服務(wù)器進(jìn)行TCP握手，如此等價(jià)實(shí)現(xiàn)客戶端與服務(wù)器的TCP的握手連接，之后客戶端便可與服務(wù)器進(jìn)行正常的TCP通信了。在此過程中，路由器會開辟出一塊空間作為TCP信息存儲隊(duì)列，該系統(tǒng)共用到了兩個(gè)隊(duì)列分別為外界TCP申請隊(duì)列、確認(rèn)正常的TCP信息隊(duì)列，其功能將在中提到。下圖1對整個(gè)設(shè)計(jì)原理進(jìn)行了簡要描述。圖1系統(tǒng)設(shè)計(jì)原理1.2 模塊化

3、設(shè)計(jì)攻擊源產(chǎn)生無論對于系統(tǒng)的設(shè)計(jì)還是測試，合理的DDOS攻擊源都必不可少即要能在短時(shí)間內(nèi)產(chǎn)生大量的具有虛假源地址的TCP/IP數(shù)據(jù)包，并將這些數(shù)據(jù)包同時(shí)發(fā)送至同一服務(wù)器主機(jī)。對此，實(shí)驗(yàn)中以TCP/IP包發(fā)送工具HPING為基礎(chǔ)上設(shè)計(jì)出一個(gè)能夠采用虛假源地址發(fā)送TCP包的DDOS攻擊器。其設(shè)計(jì)原理是通過更改IP包頭設(shè)置中的對應(yīng)字節(jié)，得到需要類型的數(shù)據(jù)包包括IP包的源地址，目的地址以及通信協(xié)議等，然后將其從對應(yīng)網(wǎng)絡(luò)端口發(fā)出。1.2.2 網(wǎng)絡(luò)數(shù)據(jù)流量監(jiān)測模塊該模塊用于實(shí)現(xiàn)將網(wǎng)絡(luò)中流過服務(wù)器的TCP包數(shù)量，以圖形方式動態(tài)顯示，從而便于人員觀測當(dāng)前網(wǎng)絡(luò)流量狀態(tài)，其設(shè)計(jì)原理主要分為數(shù)據(jù)包的獲取解析與流量圖

4、的繪制。在設(shè)計(jì)中，通過編寫接口程序，對經(jīng)過網(wǎng)絡(luò)端口的IP包包頭進(jìn)行校驗(yàn)，以此判斷包的類型。當(dāng)檢測到TCP的SYN包、數(shù)據(jù)包等特殊包后，響應(yīng)計(jì)數(shù)器記錄加一，并將此記錄反饋至繪圖模塊，實(shí)現(xiàn)對網(wǎng)絡(luò)TCP流量的圖形觀測。攻擊檢測模塊在SYNFlooding攻擊中,攻擊者向服務(wù)器發(fā)送大量偽造源IP地址的SYN請求包，服務(wù)器返回SYN/ACK應(yīng)答包后得不到確認(rèn)，就會不斷地對偽造的IP地址進(jìn)行重試直至超時(shí)丟棄,由于SYN連接請求的速度遠(yuǎn)大于服務(wù)器超時(shí)丟棄的處理速度。因此,服務(wù)器的半連接列表很快就被塞滿,致使客戶的正常請求得不到響應(yīng),以實(shí)現(xiàn)拒絕服務(wù)的目的。介于DDOS這種攻擊特性，系統(tǒng)運(yùn)用正確建立連接數(shù)的差別

5、實(shí)現(xiàn)對DDOS攻擊檢測報(bào)警。首先對TCP連接信號SYN進(jìn)行抽樣，設(shè)d為檢測周期，SYN_n為抽樣間隔內(nèi)源端網(wǎng)絡(luò)中SYN包的數(shù)量，F(xiàn)IN_n為FIN包的數(shù)量。記：det_n二SYN_n-FIN_n一般情況下，det_n與網(wǎng)絡(luò)的規(guī)模、抽樣間隔相關(guān)，為減少上述因素的影響,提高算法的通用性,對det_n進(jìn)行歸一化處理：記：det_n二det_n/SYN_n二(SYN_n-FIN_n)/SYN_nn=1,2實(shí)驗(yàn)中給出一個(gè)門限值h,當(dāng)_n>h,則報(bào)警。連接代理模塊當(dāng)路由器檢測到流量異常時(shí),會自動進(jìn)入智能防御方式。在此階段,路由器會接受到分別來自服務(wù)器與外界輸入兩個(gè)方向的TCP數(shù)據(jù)包,因此需要在路由器

6、上建立兩個(gè)緩存隊(duì)列,分別為外界TCP隊(duì)列以及確認(rèn)正常的TCP信息隊(duì)列。外界TCP隊(duì)列(隊(duì)列1)主要用于記錄外界向服務(wù)器發(fā)起的TCP連接信息，其中主要包括該TCP連接的MAC源地址、IP源地址、IP源端口、IP目的端口、路由器向外部提供的序列號SEQ、連接狀態(tài)標(biāo)志位States通過此隊(duì)列所記錄的信息，路由器實(shí)現(xiàn)了與外界輸入的模擬TCP三次握手過程。表1外界TCP隊(duì)列的數(shù)據(jù)單元存儲信息MAC源地址(48bits)IP源地址(32bits)IP源端口(16bits)IP目的端口(16bits)向外界提供的序列號SEQ(32bits)表1描述了外界TCP隊(duì)列存儲單元信息，經(jīng)計(jì)算，一個(gè)數(shù)據(jù)單元所占空間為

7、144bits=18Byte確認(rèn)正常的TCP信息隊(duì)列(隊(duì)列2)，主要用來完成對TCP數(shù)據(jù)包過濾即符合條件的TCP包可以直接通過，否則丟棄，以緩解服務(wù)器壓力。下面主要討論了TCP包有外界發(fā)起與TCP包有服務(wù)器發(fā)起兩個(gè)過程中，路由器的工作流程。當(dāng)TCP包由外界發(fā)起時(shí)，工作流程如圖2所示。圖2外界發(fā)起TCP時(shí)路由器工作流程當(dāng)TCP包由服務(wù)器發(fā)起時(shí)，工作流程如圖3所示：圖3服務(wù)器發(fā)起TCP時(shí)路由器工作流程1.3系統(tǒng)的功能與指標(biāo)實(shí)驗(yàn)中分別從路由器所能承受的Syn攻擊速度與隊(duì)列占用空間容量兩個(gè)指標(biāo)對其進(jìn)行分析，下面是理論計(jì)算中用到的符號:Syn_speed表示DDOS的攻擊速度T表示正常TCP握手連接中第

8、一次握手與第三次握手的時(shí)間間隔即TCP建立時(shí)間L表示路由器中用來存儲外界TCP信息的隊(duì)列長度速度指標(biāo):根據(jù)分析，要想保證一個(gè)正常的TCP連接信號不會因隊(duì)列過滿而擠掉，要求L>Syn_speed*T(1)查詢數(shù)據(jù)手冊，路由器(以NETFPGA為例)的工作頻率為125MHZ,并且假設(shè)掃描一個(gè)數(shù)據(jù)單元需要4個(gè)時(shí)鐘信號，則要想保證每個(gè)SYN包到來時(shí)，路由器能夠?qū)φ麄€(gè)數(shù)據(jù)隊(duì)列進(jìn)行一次完整掃描，要求1Syn_speed>1125M(2)容量指標(biāo):查詢數(shù)據(jù)手冊，NETFPGA可用于存儲數(shù)據(jù)的空間有4.5MB,假設(shè)開辟的數(shù)據(jù)隊(duì)列空間為2MB，對于外界TCP隊(duì)列中每一個(gè)數(shù)據(jù)單元根據(jù)之前所述其長度為1

9、8B，因此從容量角度考慮要求：L*18V2*106(3)指標(biāo)分析：結(jié)合以上3式，可以得到Syn_speed*T*18w2*106路由器本身容量限制Syn_speed2*T<1254*106路由器主頻限制以上兩式反應(yīng)出DDOS攻擊速度Syn_speed與握手間隔T之間的制約關(guān)系。同時(shí)通過對比計(jì)算，發(fā)現(xiàn)在T<105s時(shí)，主頻限制占主導(dǎo)因素，且時(shí)間越小其影響作用越大。考慮到實(shí)際情況只需分析主頻限制條件下，SYN極限速率與建立時(shí)間T的關(guān)系情況。圖4SYN攻擊速率、隊(duì)列空間與TCP建立時(shí)間關(guān)系圖4所示兩圖中，左圖描述的是Syn_speed極限速率與TCP建立時(shí)間的關(guān)系示意圖，可以發(fā)現(xiàn)在TCP

10、建立時(shí)間增大時(shí)，SYN_speed明顯減小，受到嚴(yán)重制約。當(dāng)T=0.1sSyn_speed=17000當(dāng)T=1sSyn_speed=5500當(dāng)T=30sSyn_speed=1000右圖描述了隊(duì)列所占空間隨TCP建立時(shí)間變化。經(jīng)計(jì)算得，當(dāng)T<30s時(shí)，隊(duì)列空間均小于600K，完全不受硬件空間限制。經(jīng)過分析：（1）在硬件設(shè)施中，運(yùn)算速度成為制約Syn_speed的主要因素。要想提高路由器抗DDOS攻擊能力，需要提高運(yùn)算速度；（2）硬件條件一定的情況下，Syn_speed主要受TCP建立時(shí)間的制約。在網(wǎng)絡(luò)狀況不佳時(shí)（設(shè)建立TCP所需時(shí)間為1s）,Syn_speed的極限為5500；在網(wǎng)絡(luò)狀況良

11、好時(shí)（建立TCP所需時(shí)間為0.1s）,Syn_speed的極限為17000;（3）在硬件狀況不變的情況下，要想提高服務(wù)器的抗擊能力，可嘗試路由器級聯(lián)結(jié)構(gòu)，將網(wǎng)絡(luò)流量分割給多個(gè)路由器處理。2性能測試2.1測試環(huán)境在測試中共需要4臺電腦，完成整個(gè)過程測試。4臺電腦的要求及其作用分別為：一臺要求是裝有NefFPGA開發(fā)板的臺式電腦，其系統(tǒng)為CentOS5.0。該電腦主要用于與NetFPGA進(jìn)行通信；另外3臺電腦對系統(tǒng)無明顯限制，正常WindowsXP及其以上的操作系統(tǒng)均可。在測試中，使用一臺作為服務(wù)器用于接收外界發(fā)送的數(shù)據(jù)，剩余兩臺作為數(shù)據(jù)的發(fā)送源，其中一臺正常發(fā)送TCP數(shù)據(jù)包，另一臺對服務(wù)器進(jìn)行D

12、DOS攻擊。將4臺電腦連成局域網(wǎng)模擬整個(gè)過程。2.2 系統(tǒng)測試流程無DDOS攻擊正常情況測試測試目的：得出正常情況下的TCP鏈接情況，便于和DDOS攻擊的情況比較。 操作描述：設(shè)定發(fā)送信息（A）和接收信息（B）主機(jī)的IP;由主機(jī)Aping主機(jī)B，在終端里輸入：hping192.168.0.1-iu1000;抓取TCP鏈接的SEQ，ACK等信息，觀察是否完成了三次握手。結(jié)果分析：圖5正常情況下抓包程序顯示結(jié)果圖5中可以看到主機(jī)A的IP為，主機(jī)B的IP為。首先由主機(jī)A向B發(fā)送SYN請求連接信號，然后主機(jī)B回復(fù)A一個(gè)SYN/ACK，表明已經(jīng)接到請求，并且將ACK至1，主機(jī)A在接到返回信號后再向B發(fā)送

13、一個(gè)ACK信號，這樣主機(jī)A與B的連接就建立了。測試結(jié)果與預(yù)期相同。遭受DDOS攻擊下的測試測試目的：觀察DDOS攻擊下的TCP鏈接情況，便于數(shù)據(jù)包的篩選。操作描述：設(shè)定發(fā)送信息（A）和接收信息（B）主機(jī)的IP;主機(jī)A通過設(shè)定虛假IP（），向主機(jī)B發(fā)送DDOS攻擊，在終端里輸入hping-iu1000；比較DDOS攻擊下的TCP鏈接與正常情況下的區(qū)別。結(jié)果分析：圖6遭受攻擊境況下抓包程序顯示結(jié)果主機(jī)A的IP為，主機(jī)B的IP為。從圖中可以看出，在遭受DDOS攻擊時(shí)，由主機(jī)B向A發(fā)送SYN請求連接信號，且使用的是虛假源地址，且該地址在動態(tài)變化中，然后主機(jī)A回復(fù)B一個(gè)SYN/ACK，但之后主機(jī)B不會在

14、給A發(fā)ACK確認(rèn)信號，也就是TCP三次握手連接并沒有真正建立。針對DDOS攻擊的檢測測試本文采用2000年DARPA第5周第2天的檢測評估數(shù)據(jù)作為實(shí)驗(yàn)背景數(shù)據(jù)圖7描述了正常情況中，SYN與FIN包的變化關(guān)系在此基礎(chǔ)上，通過hping由主機(jī)A對主機(jī)B進(jìn)行DDOS攻擊，以50packets/s的速率發(fā)送SYNflooding，攻擊檢測算法在發(fā)包3分鐘后開始檢測，我們以10s為檢測周期，連續(xù)抽樣200次，測量在不同的門限值的條件下，算法的誤警率。表3給出了該過程的計(jì)算結(jié)果：圖7正常情況下SYN與FIN包關(guān)系表2DDOS攻擊檢測結(jié)果攻擊次數(shù)判決門限正確判斷次數(shù)誤警次數(shù)誤警率2000.751574321

15、.5%2000.651643618%2000.551722814%2000.451663417%由此得到當(dāng)門限值取0.55時(shí)，誤警率最低，正確判斷率達(dá)到86%，與其余門限值相比已經(jīng)足夠高，基本上能夠?qū)DOS攻擊做出檢測。224針對DDOS攻擊的防御測試測試目的：通過比較一臺遭遇攻擊的主機(jī)和一臺加上了防御模塊的主機(jī)遭受攻擊程度，得出該防御系統(tǒng)的性能。操作描述：設(shè)定發(fā)送信息主機(jī)（A和C）和接收信息主機(jī)（B和D）的IP;讓主機(jī)A擬造虛假IP發(fā)送DDOS攻擊，主機(jī)C發(fā)送正常的TCP數(shù)據(jù)包；主機(jī)B和主機(jī)C同時(shí)接收來自主機(jī)A和主機(jī)C的數(shù)據(jù)包，其中主機(jī)B加上了防御模塊，而主機(jī)D是直接接受;分別檢測兩種情況

16、下的數(shù)據(jù)流量，通過流量圖顯示差別。結(jié)果分析：圖8正常情況下的發(fā)包量上圖為正常TCP包的累計(jì)量，主機(jī)C以每秒2個(gè)包的速度進(jìn)行發(fā)包。圖9遭受DDOS攻擊時(shí)的發(fā)包量在上圖中主機(jī)A以每秒400包左右的速度發(fā)送DDOS攻擊。從主機(jī)B上接收到得數(shù)據(jù)流量如上圖所示，從中可以看出其中DDOS攻擊的數(shù)據(jù)包基本被濾除，留下的數(shù)據(jù)包基本上是有主機(jī)C發(fā)送的正確的數(shù)據(jù)包。測試結(jié)果與預(yù)期相同。圖10路由器過濾后數(shù)據(jù)流量3結(jié)束語防范DDOS攻擊是一個(gè)系統(tǒng)工程，本系統(tǒng)也僅能做到防御SYNFLOOD類的DDOS攻擊，防范總類繁多的DDOS攻擊僅依靠某一種技術(shù)是不現(xiàn)實(shí)的。只有事先增強(qiáng)對DDOS攻擊的防御能力，DDOS攻擊時(shí)及時(shí)對其進(jìn)行檢測，受到DDOS攻擊后及時(shí)進(jìn)行可靠的防御，綜合運(yùn)用各種技術(shù)，對DDOS攻擊進(jìn)行抵抗，從而增加攻擊者的攻擊成本，使絕大多數(shù)攻擊因成本開銷過大而放棄。本文的探究僅僅只是一個(gè)開始，因?yàn)闀r(shí)間和知識儲備的不足，仍然有待改進(jìn)。參考文獻(xiàn)：劉志雷基于變動和式累積檢驗(yàn)算法的DDOS攻擊檢測J.計(jì)算機(jī)仿真,2009(8).ALBERTOLEONGARCIA,INDRAWIDJAJA.