網管秘籍 防御DDoS攻擊的實時監測模型

拒絕服務攻擊(DoS)和分布式拒絕服務攻擊(DDoS)已經成為網絡安全最大的威脅之一，如何防御DDoS攻擊是當前人們關注的熱點。然而目前的防御機制幾乎沒有實現DDoS攻擊的實時監測。闡述了一種基於徑向基函數的神經網絡的實時監測模型，能夠實時監測出DDoS攻擊，不用增加網絡流量，而且可以監測出目前所存在的所有類型的DDoS攻擊。

1、前言

隨著Internet的應用越來越廣泛，隨之而來的網絡安全問題成了Internet發展的主要障礙，特別是分布式拒絕服務攻擊對因特網構成了巨大的威脅。目前，由於黑客采用DDoS攻擊成功地攻擊了幾個著名的網站，如雅虎、微軟以及SCO，mazon.com、ebuy、CNN.com、BUY.com、ZDNet、Excite.com等國外知名網站，致使網絡服務中斷了數小時，造成的經濟損失達數百萬美元。DDoS攻擊由於破壞性大，而且難於防御，因此它已經引起了全世界的廣泛關注。闡述的DDoS實時監測模型，能夠快速監測出主機或服務器是否在遭受DDoS攻擊，如果監測出突然增加的數據流是攻擊流的話，能夠快速給網絡管理員發出警報，采取措施從而減輕DDoS攻擊所帶來的危害。

2、DoS攻擊原理

2.1、DoS攻擊概念與原理

WWW安全FAQ[1]給DoS攻擊下的定義為：有計劃的破壞一台計算機或者網絡，使得其不能夠提供正常服務的攻擊。DoS攻擊發生在訪問一台計算機時，或者網絡資源被有意的封鎖或者降級時。這類攻擊不需要直接或者永久的破壞數據，但是它們故意破壞資源的可用性。最普通的DoS攻擊的目標是計算機網絡帶寬或者是網絡的連通性。帶寬攻擊是用很大的流量來淹沒可用的網絡資源，從而合法用戶的請求得不到響應，導致可用性下降。網絡連通性攻擊是用大量的連接請求來耗盡計算機可用的操作系統資源，導致計算機不能夠再處理正常的用戶請求。

2.2、DDoS攻擊的概念與原理

WWW安全FAQ[1]給DDoS攻擊下的定義是：DDoS攻擊是用很多計算機發起協作性的DOS攻擊來攻擊一個或者多個目標。用客戶端/服務器模式，DDoS攻擊的攻擊者能夠獲得很好的效果，遠比用多個單一的DOS攻擊合起來的效果要好的多。它們利用很多有漏洞的計算機作為攻擊平台和幫凶來進行攻擊。DDoS攻擊是最先進的DOS攻擊形式，它區別於其它攻擊形式是它可以在Internet進行分布式的配置，從而加強了攻擊的能力給網絡以致命的打擊。DDoS攻擊從來不試圖去破壞受害者的系統，因此使得常規的安全防御機制對它來說是無效。DDoS攻擊的主要目的是對受害者的機器產生破壞，從而影響合法用戶的請求。

DDoS攻擊原理如圖1所示。

圖1 DDoS攻擊原理圖

從圖1可以看出，一個比較完善的DDoS攻擊體系包括以下四種角色：

(1)攻擊者：指黑客所用的機器，也叫做攻擊主控台。它控制著整個攻擊過程，向主控端發送攻擊命令。

(2)主控端：是攻擊者非法侵入並控制的一些機器，這些主機則控制大量的代理攻擊主機。並在這些主控端上面安裝特定的程序，以便使它可以接受攻擊者發來的特殊命令，並且能夠把這些命令發送到代理攻擊端主機上。

(3)代理攻擊端：同樣也是攻擊者侵入並控制的一批主機，其上面運行攻擊程序，接受和運行主控端發來的命令。代理攻擊端主機是攻擊的執行者，真正的向受害者主機發送攻擊。

(4)受害者：被攻擊的目標主機或者服務器。

為了發起DDoS攻擊，攻擊者首先在互聯網上掃描出有漏洞的主機，然後進入系統後在並在上面安裝後門程序。接著在攻擊者入侵的主機上安裝攻擊程序，其中的一部份主機充當攻擊的主控端，另一部份則充當攻擊的代理攻擊端。最後各部分主機在攻擊者操作下對攻擊目標發起攻擊。因為攻擊者在幕後操縱，所以在攻擊時攻擊者不會受到監控系統的跟蹤，攻擊者的身份更不易被發現。