攻击ddos攻击器

ddos攻击器  时间:2021-01-12  阅读:()

ISSN1000-9825,CODENRUXUEWE-mail:jos@iscas.
ac.
cnJournalofSoftware,Vol.
18,No.
10,October2007,pp.
26132623http://www.
jos.
org.
cnDOI:10.
1360/jos182613Tel/Fax:+86-10-625625632007byJournalofSoftware.
Allrightsreserved.
基于源目的IP地址对数据库的防范DDos攻击策略孙知信1,2+,李清东11(南京邮电大学计算机学院,江苏南京210003)2(南京邮电大学计算机技术研究所,江苏南京210003)DefendingDDosAttacksBasedontheSourceandDestinationIPAddressDatabaseSUNZhi-Xin1,2+,LIQing-Dong11(CollegeofComputer,NanjingUniversityofPostsandTelecommunications,Nanjing210003,China)2(InstituteofComputerTechnology,NanjingUniversityofPostsandTelecommunications,Nanjing210003,China)+Correspondingauthor:Phn:+86-25-85198095,Fax:+86-25-83492859,E-mail:sunzx@njupt.
edu.
cnSunZX,LiQD.
DefendingDDosattacksbasedonthesourceanddestinationIPaddressdatabase.
JournalofSoftware,2007,18(10):26132623.
http://www.
jos.
org.
cn/1000-9825/18/2613.
htmAbstract:Thispaperproposesaschemetodefenddistributeddenialofserviceattacks(DDos)basedonthesourceanddestinationIPaddressdatabase.
TheschemeestablishesthesourceanddestinationIPaddressdatabase(SDIAD)byobservingthenormaltrafficandstoragesSDIADinathreedimensionBloomFiltertable.
ThenthispapercumulatesandanalysesthenewpairofsourceanddestinationIPaddressbasedontheslidenon-parametriccumulativesum(CUSUM)algorithmtodetecttheDDosattacksquicklyandaccurately.
ThesechemeupdatesSDIADbyusingadelayedupdatepolicytokeepSDIADtimely,accurateandrobust.
ThissechemeismainlyappliedintheedgerouteranditcandetecttheDDosattacksefficientlyeithertheedgerouterorthelast-milerouteristhefirst-milerouter.
ThesimulationresultsdisplaythatthesechemedoagoodperformanceindetectingDDosattacks.
Keywords:Ddos(distributeddenialofserviceattacks);router;non-parametricCUSUM;bloomfilter摘要:提出了一种基于源目的IP地址对数据库的防范分布式拒绝服务攻击(distributeddenialofserviceattacks,简称DDos)攻击策略.
该策略建立正常流量的源目的IP地址对数据库(sourceanddestinationIPaddressdatabase,简称SDIAD),使用扩展的三维BloomFilter表存储SDIAD,并采用改进的滑动窗口无参数CUSUM(cumulativesum)算法对新的源目的IP地址对进行累积分析,以快速准确地检测出DDos攻击.
对于SDIAD的更新,采用延迟更新策略,以确保SDIAD的及时性、准确性和鲁棒性.
实验表明,该防范DDos攻击策略主要应用于边缘路由器,无论是靠近攻击源端还是靠近受害者端,都能够有效地检测出DDos攻击,并且有很好的检测准确率.
关键词:分布式拒绝服务攻击;路由器;无参数CUSUM算法;bloomfilter中图法分类号:TP393文献标识码:ASupportedbytheNationalNaturalScienceFoundationofChinaunderGrantNo.
60572131(国家自然科学基金);theKeyTechnologiesR&DProgramofJiangsuProvinceofChinaunderGrantNo.
BE2007058(江苏省科技攻关项目);theScientificResearchFoundationofZTEandHuaweiCorporationofChina(中兴及华为基金);theScientificDevelopmentFoundationofGovernmentofChina(南京市科技发展计划);theScientificResearchFoundationofNUPTofChinaunderGrantNos.
NY206008,NY206050(南京邮电大学攀登计划及青蓝计划)Received2006-06-05;Accepted2006-11-132614JournalofSoftware软件学报Vol.
18,No.
10,October2007分布式拒绝服务攻击(Dos/DDos)是指有人恶意地对网络进行干扰,使服务受到一定的影响,严重的可以造成巨大的经济损失.
Yahoo,eBay,Amazon.
com,E*Trade,ZDnet,Buy.
com,FBI,DoubleClickInc等网站都遭受过其攻击[13].
近年来,DDos(distributeddenialofserviceattacks)攻击的频率和方式都呈上升的趋势[4],并且出现了攻击强度更大的高分布式拒绝服务攻击(highlydistributeddenialofserviceattack,简称HDDos)和反射式拒绝服务攻击(distributedreflectiondenialofserviceattacks,简称DRDos)[5].
Gibson研究团体认为[6],目前,DDos攻击将大幅度增加(据Gibson估计为每星期4000次),这将使互联网因为成百上千的DDos攻击而降低速度.
DDos攻击一般有两个目的:消耗主机资源和恶意占用网络带宽.
目前的保护机制主要是根据协议类型和端口号等在网关进行丢包.
这种方式的致命缺点是区分正常流量和攻击流量的准确率不高.
还有另一种称为"flashcrowd"的流量,即很多合法用户同时访问一个网络服务,造成流量的突然增加,这与DDos攻击在流量统计上有相似的地方,更加难以区分.
目前,有很多文献研究如何防范DDos攻击.
但是,这些策略应用在HDDos和DRDos攻击上效果并不明显,并且容易混淆DDos攻击流量和"flashcrowd"流量.
DDos攻击一般采用假冒源IP地址的策略,对于DRDos攻击,虽然它使用合法的IP地址,但对于受害者来说,这些IP地址大多数都是"新"的,即受害者在以前并没有与该地址进行过通信.
基于这样的本质特征,就形成本文防范DDos攻击的一种新策略.
根据已建立好的合法源目的IP地址历史数据库,在路由器上对新出现的IP地址对采用滑动窗口无参数CUSUM(cumulativesum)算法进行累积和分析,达到检测和过滤DDos攻击的目的.
1相关性研究目前的绝大多数检测DDos攻击的策略[713]在靠近受害者端的网络比较容易实施,随着与受害者距离的增加,检测就变得比较困难,而且在准确率上都会有所降低.
当DDos攻击的分布式程度越高,上面所引用的方法在检测准确率上也就越低.
此外,基于流量分析的策略[11,14,15]在检测过程中无法准确地区分DDos攻击流量和"flashcrowd"流量.
而一种好的检测策略必须尽可能地靠近源端,靠近攻击流量发起的网络,尽早地检测出攻击并过滤掉攻击流量,以免造成网络带宽的浪费,并且,这种策略要能够准确地区分DDos攻击流量和"flashcrowd"流量.
文献[16]提出一种通过监测新的源IP地址在时间内出现的个数的机制来判断是否有攻击发生,在一次带宽攻击过程中,这些IP地址对于受害者来说大多是新的,这种特征与"flashcrowd"中表现出来的是不同的,这种策略也被用于过滤攻击流量.
BloomFilter算法[17]的最初目的是研究一组给定信息之间的关系,在20世纪80年代它被用于减少访问磁盘不同文件的次数[18,19].
文献[20]中发展BloomFilter算法为CountingBloomFilter,文献[21,22]做了一些将CountingBloomFilter算法应用到DDos防范方面的工作,它们对不同IP地址的流量数据使用CountingBloomFilter算法进行计数统计,以发现那些超出门限的流量,进而检测出DDos攻击.

CUSUM算法是在统计过程控制中常用的算法,它可以检测到一个统计过程均值的变化.
在文献[23]中,使用非参数CUSUM算法来检测DDos攻击,减少了漏报率和误报率,并且消耗较少的计算机资源.
文献[24]中提出了矩阵式的多统计量CUSUM算法,应用于核心路由器,有较高的检测准确率.
文献[25]提出了基于攻击流量特征聚类的特征提取算法,能够有效地进行过滤,减少攻击包传播的危害,保护有限的网络资源.
但这些算法在检测攻击结束时刻的延迟比较大.
综上所述,现有的防范DDos攻击方法做了很多有益的工作,但在检测准确率或检测速度等方面都存在一定的不足.
因此,本文提出了一种基于源目的IP地址对数据库的防范DDos攻击策略.
本文使用扩展的三维BloomFilter表存储SDIAD(sourceanddestinationIPaddressdatabase),以节省存储空间和提高查找效率,并采用改进的滑动窗口无参数CUSUM算法对新的源目的IP地址对进行累积分析,以快速而准确地检测出DDos攻击.
2策略描述研究表明,现在的DDos攻击都是高分布式和高源IP地址伪装的(通过随机函数产生IP地址)[26,27],在一次孙知信等:基于源目的IP地址对数据库的防范DDos攻击策略2615DDos攻击中,只有0.
6%~14%的IP地址是在以前出现过的[26].
Jung[26,27]发现,在一次正常的"flashcrowd"中,大约有82.
9%的IP曾经发送过请求.
对网络流量的统计发现,网络中出现的IP地址有很大的概率在一定时期内重复出现,这就隐含着可以根据历史IP来检测异常的出现,本文即基于这样的策略.

设Anormal,Aflash,Aattack分别代表正常情况下、发生"flashcrowd"情况下和发生DDos攻击情况下的数据包个数,Anormal,Bflash,Battack分别代表正常情况下、发生"flashcrowd"情况下和发生DDos攻击情况下的新出现的IP地址个数.
文献[6,27]指出,当观察点靠近受害者的网络时,有Anormal=j,SetRDIAD表示在一段时间内(第j天到第k天)所记录到的合法的源目的IP地址对的集合,SDIAD即用于存储这样的集合.
在定义2中提到"达到一定频率的合法源目的IP地址对"这一说法,对于频率大小的衡量标准,使用下面两个规则:规则1.
R1(d),表示在SDIAD中至少出现过d天的源目的IP地址对的集合.
规则2.
R2(u),表示在SDIAD中至少有过u个IP包数据交换的源目的IP地址对集合.
在本文中,联合使用规则1和规则2,记F=R1(d)∩R2(u),表示在规则1和规则2的约束下所得到的常用的合法的源目的IP地址对集合.
SDIAD的存储采用上面提到的BloomFilter表,BloomFilter算法设置一个由k个独立hash函数组成的k*m的表结构[17],每个hash函数独立地计算k位的hash值aij并映射到存储空间为m位的对应位置上去,如图2所示.
13a24a33a3ka.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
hash1hash2hash3hashkStoragecontentFig.
2Thek*mhashtable图2k*m的hash映射表这里,要存储的是源目的IP地址对,并且还要存储在一段时间间隔d天内所有合法的源目的IP地址对.
因此,在上面的二维k*mBloomFilter表的基础上,还要加上一维——时间,即三维的BloomFilter存储表k*m*d.
考虑IP孙知信等:基于源目的IP地址对数据库的防范DDos攻击策略2617地址本身的A,B,C类特征和源目的IP地址对,共64位,这里将其分成8位一组,即k=8,m0时就等于x,否则等于0.
当yn超越一定的门限N时,就表明检测到统计特性的变化,即发生了攻孙知信等:基于源目的IP地址对数据库的防范DDos攻击策略2619击,其值累积得越大,表明攻击越强.
如图8所示,N为攻击检测门限,m为攻击发起时刻,τm为检测到攻击的时刻.
ynmτmNOFig.
8Non-ParameticCUSUMsequenceyn图8无参数CUSUM算法序列yn上面描述的是一种检测随机序列{Zn}有没有统计特性变化的无参数CUSUM算法,在应用到本文中检测源目的IP地址对的统计特性变化时,在攻击结束的下延,由于开始累积了很高的yn值,导致在攻击停止之后yn值下降得很慢,这对于检测攻击停止的时刻会有很大的延迟,由图7可以明显地看出这一点.
另一方面,考虑到时间和统计特征的相关性,已经过去很久的参数Zk对当前统计特性的判断影响比较小.
例如,前一次攻击所统计的Zn值对新的一次攻击的yn值的累积效应应该移除.
尽管yn值随着时间的推迟也能回到一个正常值,但这是一个缓慢的过程,对于检测攻击的灵敏度有很大的影响.
因此,在本文中采用滑动窗口无参数CUSUM算法来检测统计特性的变化.
滑动窗口无参数CUSUM算法的yn值只累积一定窗口时间内的Zn值.

定义8.
窗口时间T,共包含有k个时间,则滑动窗口累积函数yn如下:(7)≥+≤+=+++knZZyknZyyknnnnnn,)()(,)(11y0=0,yn即表示在窗口时间T内出现的新的源目的IP地址对的个数.
如图9所示,其中,N为攻击检测门限,m为攻击发起时刻,τm为检测到攻击的时刻,从该图中也可以看出,在攻击停止之后,yn下降得很快.

ynmτmNOFig.
9Slidenon-parameticCUSUMsequenceyn图9滑动窗口无参数CUSUM算法序列yn定义9.
攻击检测判决函数:(9)>≤=NyNydnnN,1,0N为攻击检测的门限,当yn>N时表明攻击已经产生.
衡量一个攻击检测机制有几项指标:检测延迟时间、误检率和漏检率.
然而,这几项指标又是互相制约的,Slidenon-parameticCUSUM算法通过设置恰当的β,N和T参数值来达到它们之间的平衡.
设h为时间内攻击所发送的平均新的源目的IP地址对数,Slidenon-parameticCUSUM算法窗口滑动时间T=k*,则有:攻击开始检测延迟:β*=hND1(10)攻击结束检测延迟:2620JournalofSoftware软件学报Vol.
18,No.
10,October2007β*=hNkD2,其中,β>hNk(11)由上面的公式可知,攻击强度h越大,则攻击开始检测延迟越短,攻击结束检测延迟越长;检测门限N越大,则攻击开始检测延迟越长,攻击结束检测延迟越短.
此外,N值越大,误检率越小,漏检率越大,反之亦然.
另一方面,参数的选取是与实际的网络环境密切相关的.
若取β=0.
5,h=2,N=10,=1s,k=10,即T=k*=10s,则有:β*=hND1=6.
7(s),β*=hNkD2=3.
3(s).
6策略比较文献[16,29]提出的使用源IP地址检测DDos攻击策略,由于仅仅考虑到源IP地址,只能从单个网络的范围内来限定合法的访问.
即,就同一个网络来说,该网络中的两个目的IP地址拥有完全相同的合法源IP地址集.
这是不合理的,也在一定程度上降低了检测的准确率.
设IADs,IADd分别表示靠近攻击者端和受害者端的合法源IP地址数据库,则在靠近攻击者端检测的时候,只要是非伪造的源IP地址都会属于IADs,也就是合法的,这给HDDos和DRDos攻击的检测带来了困难;在靠近受害者端检测时,只要源IP地址属于IADd,而IADd的范围很大,这也会降低DDos检测的准确率.

而本文的策略基于源目的IP地址对,虽然也定位于边缘路由器,但它却在单个连接上来限定合法的访问,对不同的目的IP地址,它们有着不同的合法源目的IP地址对集,显然,这种机制提高了攻击检测的准确率.
设SDIADs,SDIADd分别表示靠近攻击者端和受害者端的合法源目的IP地址数据库,在检测时,无论靠近攻击者端还是受害者端,我们的策略都会同时检测源和目的IP地址在SDIADs或SDIADd中的合法性,这极大地缩小了IP地址合法性的检测范围,对于HDDos和DRDos的检测同样也有效,提高了检测的准确率.

RackNerd 黑色星期五5款年付套餐

RackNerd 商家从2019年上线以来争议也是比较大的,一直低价促销很多网友都认为坚持时间不长可能会跑路。不过,目前看到RackNerd还是在坚持且这次黑五活动也有发布,且活动促销也是比较多的,不过对于我们用户来说选择这些低价服务商尽量的不要将长远项目放在上面,低价年付套餐服务商一般都是用来临时业务的。RackNerd商家这次发布黑五促销活动,一共有五款年付套餐,涉及到多个机房。最低年付的套餐...

弘速云香港VPSVPS线路有CN2+BGP、CN2 GIA,KVM虚拟化架构,裸金属月付564元

弘速云怎么样?弘速云是创建于2021年的品牌,运营该品牌的公司HOSU LIMITED(中文名称弘速科技有限公司)公司成立于2021年国内公司注册于2019年。HOSU LIMITED主要从事出售香港vps、美国VPS、香港独立服务器、香港站群服务器等,目前在售VPS线路有CN2+BGP、CN2 GIA,该公司旗下产品均采用KVM虚拟化架构。可联系商家代安装iso系统。点击进入:弘速云官方网站地址...

ShockHosting日本机房VPS测试点评

这个月11号ShockHosting发了个新上日本东京机房的邮件,并且表示其他机房可以申请转移到日本,刚好赵容手里有个美国的也没数据就发工单申请新开了一个,这里做个简单的测试,方便大家参考。ShockHosting成立于2013年,目前提供的VPS主机可以选择11个数据中心,包括美国洛杉矶、芝加哥、达拉斯、杰克逊维尔、新泽西、澳大利亚、新加坡、日本、荷兰和英国等。官方网站:https://shoc...

ddos攻击器为你推荐
域名价格什么是域名的商业价值??海外虚拟主机空间国外虚拟主机空间为什么能这么大呢?域名注册申请域名怎么申请和注册免费com域名注册哪个网站注册COM域名不要钱?asp主机空间Asp空间是什么空间啊?跟有的网站提供的免费空间有什么区别吗?域名服务商如何更换域名服务商免费网站空间有没有免费的网站空间推荐香港虚拟主机想买一个香港虚拟主机,大家推荐一下吧虚拟主机系统什么是虚拟主机?淘宝虚拟主机淘宝买万网虚拟主机怎么变别真假
绍兴服务器租用 oneasiahost 搜狗抢票助手 网站实时监控 国内加速器 nerds tna官网 最好的qq空间 搜索引擎提交入口 卡巴斯基是免费的吗 网站加速软件 服务器托管价格 密钥索引 windowsserver2012r2 hosts文件 ddos是什么 电脑主机启动不了 suspended翻译 好看的空间图片 tftp服务器是什么 更多