DDoS攻擊研究綜合概述課件

DDoS攻擊研究綜述

DDoS攻擊研究綜述1提綱DDoS研究的意義國內外研究的現(xiàn)狀DOS問題的起因DoS攻擊原理DoS防御方法提綱DDoS研究的意義2DDoS研究的意義：（1）DDoS研究的意義：（1）3（2）（2）4UCBerkeley教授ShankarSastry于2003.7在眾議院的國土安全委員會的聽證會上指出DDoS及Worm攻擊是當前主要的防衛(wèi)任務。（3）UCBerkeley教授S5國內外研究的現(xiàn)狀

1）DHS,NFS在2004年資助幾個大學和公司啟動了DETER（DefenseTechnologyExperimentalResearch）。這個項目的一個研究重點就是防御DDoS攻擊。2）信息產(chǎn)業(yè)部在2005年公開向產(chǎn)業(yè)界招標防御DDoS攻擊系統(tǒng)的設計方案國內外研究的現(xiàn)狀

1）DHS,NFS在2004年6TheUniversityofCaliforniaBerkeley,UniversityofCaliforniaDavis,UniversityofSouthernCalifornia-InformationSystemsInstitute,NetworkAssociatesLaboratories,SRI,thePennsylvaniaStateUniversity,PurdueUniversity,PrincetonUniversity,UniversityofUtah,andindustrialpartnersJuniperNetworks,CISCO,Intel,IBM,Microsoft,andHPTheUniversityofCalifor7DOS問題的起因

面向目的地址進行路由Internet的無狀態(tài)性Internet缺乏身份鑒別機制Internet協(xié)議的可預測性（例如，TCP連接建立過程和擁塞控制）DOS問題的起因 8（1）DoSDegradetheservicequalityorcompletelydisablethetargetservicebyoverloadingcriticalresourcesofthetargetsystemorbyexploitingsoftwarebugs.(2)DDoSTheobjectiveisthesamewithDoSattacksbutisaccomplishedbyaofcompromisedhostsdistributedovertheInternet.DoS攻擊原理（1）DoSDoS攻擊原理9（3）基于反射器的DDoS（3）基于反射器的DDoS10DoS防御方法

Ingress過濾tracebackpushback自動化模型(控制器-代理模型)基于代理網(wǎng)絡的解決方案DoS防御方法

Ingress過濾11Ingress過濾主要目的：過濾假冒源地址的IP數(shù)據(jù)包為traceback提供幫助局限性：影響路由器的性能配置問題Ingress過濾主要目的：12Traceback目的：證實IP數(shù)據(jù)包真正來源從源頭上阻斷攻擊攻擊取證方法：1)基于流量工程的方法2)基于數(shù)據(jù)包標記的方法3)基于數(shù)據(jù)包日志的方法Traceback目的：證實IP數(shù)據(jù)包真正來源13基于流量工程的方法工作機制：首先使用UDPchargen服務產(chǎn)生短的突發(fā)流量，然后把突發(fā)流量注入到待測試的鏈路以觀察鏈路是否是攻擊路徑的一部分。基于流量工程的方法工作機制：14優(yōu)點：1）花費相對較低2）容易配置

缺點：1）不適用于多個攻擊者參與攻擊的情況2）整個追溯過程應該在攻擊進行的時候執(zhí)行，有時間上的約束

優(yōu)點：15基于數(shù)據(jù)包標記的方法工作原理：基于數(shù)據(jù)包標記的IP追溯方案使用了一個簡單的概念。當IP數(shù)據(jù)包經(jīng)過Internet路由器，路由器為數(shù)據(jù)包增加追溯信息。一旦受害者檢測到攻擊，受害者從攻擊數(shù)據(jù)包中提取追溯信息，使用這些信息重建攻擊數(shù)據(jù)包所經(jīng)過的路徑。因此，基于數(shù)據(jù)包標記的IP追溯方案通常由兩個算法組成。一個是運行在Internet路由器上的包標記算法。另一個是受害者發(fā)起的追溯算法，這個算法使用在接收到的攻擊數(shù)據(jù)包里發(fā)現(xiàn)的標記信息追溯攻擊者?；跀?shù)據(jù)包標記的方法工作原理：16問題為了重建攻擊路徑或攻擊樹，需要大量的攻擊數(shù)據(jù)包在重建攻擊樹的過程中，可能給受害者帶來巨大的花費負擔；如果多個攻擊者參與攻擊，那么會產(chǎn)生高的誤報率。路由器CPU花費問題17基于數(shù)據(jù)包日志的方法工作原理：與在IP數(shù)據(jù)包寫入路由器的信息不同，數(shù)據(jù)包日志方案是在路由器的內存中寫入數(shù)據(jù)包的信息（摘要、簽名或者數(shù)據(jù)包自身）。一旦受害者檢測到攻擊，受害者就會查詢上游（upstream）路由器以檢查它們的內存中是否包含攻擊數(shù)據(jù)包的信息。如果在某個路由器中發(fā)現(xiàn)了攻擊數(shù)據(jù)包的信息，那么該路由器被認為是攻擊路徑的一部分?；跀?shù)據(jù)包日志的方法工作原理：18問題路由器存儲花費從網(wǎng)絡路由器獲取數(shù)據(jù)包信息使用的方法是效率低的問題19pushbackpushback20自動化模型(控制器-代理模型)自動化模型(控制器-代理模型)21優(yōu)點：當攻擊沒發(fā)生時，代理和普通路由器一樣運行。受害者能容易地確定來自不同攻擊系統(tǒng)的攻擊簽名。一旦受害者通過了鑒別，那么識別、阻止和跟蹤攻擊流量的過程完全是自動化的。因此，響應非常迅速?？梢詣討B(tài)地配置過濾器。一旦確定了攻擊簽名，就可以在接近攻擊源的位置阻止攻擊流量。每個代理僅需要檢查和阻止流經(jīng)它的攻擊簽名。這樣，攻擊簽名更有針對性，因此延遲更小。由于代理和控制器沒必要確定攻擊簽名，因此與集中擁塞控制（ACC）相比它們的實施花費更少。不足：被丟棄的包中也許包括一些非攻擊流量?？刂破骺赡芤彩荄DoS攻擊的受害者?？刂破髋c代理、受害者之間的通信安全也值得關注。DDoS攻擊研究綜合概述課件22基于代理網(wǎng)絡的解決方案基于代理網(wǎng)絡的解決方案23WangJu等人研究得出了下列結論：通過代理網(wǎng)絡間接地訪問應用程序能夠提高性能：減少響應時間，增加可利用的帶寬。間接地訪問降低性能的直覺是不正確的。代理網(wǎng)絡能有效地減輕大規(guī)模DDoS攻擊所造成的影響，從而證明了代理網(wǎng)絡方法的有效性。代理網(wǎng)絡提供了可擴展的DoS-彈性——彈性能被擴展以應對更大的攻擊，從而保持應用程序的性能。彈性與代理網(wǎng)絡的大小成正比例關系，也就是說，在保持應用程序性能的前提下，一個給定代理網(wǎng)絡所能承受的攻擊流量隨代理網(wǎng)絡的大小線性增長。WangJu等人研究得出了下列結論：24防御DOS攻擊所面臨的研究挑戰(zhàn)準確地區(qū)分攻擊流量和合法流量在高速Internet上處理高流量DOS攻擊檢測和應對精密復雜的DOS攻擊確認攻擊者的數(shù)量缺乏DDoS防御系統(tǒng)的測試基準防御DOS攻擊所面臨的研究挑戰(zhàn)準確地區(qū)分攻擊流量和合法流量25演講完畢，謝謝觀看！演講完畢，謝謝觀看！26

DDoS攻擊研究綜述

DDoS攻擊研究綜述27提綱DDoS研究的意義國內外研究的現(xiàn)狀DOS問題的起因DoS攻擊原理DoS防御方法提綱DDoS研究的意義28DDoS研究的意義：（1）DDoS研究的意義：（1）29（2）（2）30UCBerkeley教授ShankarSastry于2003.7在眾議院的國土安全委員會的聽證會上指出DDoS及Worm攻擊是當前主要的防衛(wèi)任務。（3）UCBerkeley教授S31國內外研究的現(xiàn)狀

1）DHS,NFS在2004年資助幾個大學和公司啟動了DETER（DefenseTechnologyExperimentalResearch）。這個項目的一個研究重點就是防御DDoS攻擊。2）信息產(chǎn)業(yè)部在2005年公開向產(chǎn)業(yè)界招標防御DDoS攻擊系統(tǒng)的設計方案國內外研究的現(xiàn)狀

1）DHS,NFS在2004年32TheUniversityofCaliforniaBerkeley,UniversityofCaliforniaDavis,UniversityofSouthernCalifornia-InformationSystemsInstitute,NetworkAssociatesLaboratories,SRI,thePennsylvaniaStateUniversity,PurdueUniversity,PrincetonUniversity,UniversityofUtah,andindustrialpartnersJuniperNetworks,CISCO,Intel,IBM,Microsoft,andHPTheUniversityofCalifor33DOS問題的起因

面向目的地址進行路由Internet的無狀態(tài)性Internet缺乏身份鑒別機制Internet協(xié)議的可預測性（例如，TCP連接建立過程和擁塞控制）DOS問題的起因 34（1）DoSDegradetheservicequalityorcompletelydisablethetargetservicebyoverloadingcriticalresourcesofthetargetsystemorbyexploitingsoftwarebugs.(2)DDoSTheobjectiveisthesamewithDoSattacksbutisaccomplishedbyaofcompromisedhostsdistributedovertheInternet.DoS攻擊原理（1）DoSDoS攻擊原理35（3）基于反射器的DDoS（3）基于反射器的DDoS36DoS防御方法

Ingress過濾tracebackpushback自動化模型(控制器-代理模型)基于代理網(wǎng)絡的解決方案DoS防御方法

Ingress過濾37Ingress過濾主要目的：過濾假冒源地址的IP數(shù)據(jù)包為traceback提供幫助局限性：影響路由器的性能配置問題Ingress過濾主要目的：38Traceback目的：證實IP數(shù)據(jù)包真正來源從源頭上阻斷攻擊攻擊取證方法：1)基于流量工程的方法2)基于數(shù)據(jù)包標記的方法3)基于數(shù)據(jù)包日志的方法Traceback目的：證實IP數(shù)據(jù)包真正來源39基于流量工程的方法工作機制：首先使用UDPchargen服務產(chǎn)生短的突發(fā)流量，然后把突發(fā)流量注入到待測試的鏈路以觀察鏈路是否是攻擊路徑的一部分?；诹髁抗こ痰姆椒üぷ鳈C制：40優(yōu)點：1）花費相對較低2）容易配置

缺點：1）不適用于多個攻擊者參與攻擊的情況2）整個追溯過程應該在攻擊進行的時候執(zhí)行，有時間上的約束

優(yōu)點：41基于數(shù)據(jù)包標記的方法工作原理：基于數(shù)據(jù)包標記的IP追溯方案使用了一個簡單的概念。當IP數(shù)據(jù)包經(jīng)過Internet路由器，路由器為數(shù)據(jù)包增加追溯信息。一旦受害者檢測到攻擊，受害者從攻擊數(shù)據(jù)包中提取追溯信息，使用這些信息重建攻擊數(shù)據(jù)包所經(jīng)過的路徑。因此，基于數(shù)據(jù)包標記的IP追溯方案通常由兩個算法組成。一個是運行在Internet路由器上的包標記算法。另一個是受害者發(fā)起的追溯算法，這個算法使用在接收到的攻擊數(shù)據(jù)包里發(fā)現(xiàn)的標記信息追溯攻擊者?；跀?shù)據(jù)包標記的方法工作原理：42問題為了重建攻擊路徑或攻擊樹，需要大量的攻擊數(shù)據(jù)包在重建攻擊樹的過程中，可能給受害者帶來巨大的花費負擔；如果多個攻擊者參與攻擊，那么會產(chǎn)生高的誤報率。路由器CPU花費問題43基于數(shù)據(jù)包日志的方法工作原理：與在IP數(shù)據(jù)包寫入路由器的信息不同，數(shù)據(jù)包日志方案是在路由器的內存中寫入數(shù)據(jù)包的信息（摘要、簽名或者數(shù)據(jù)包自身）。一旦受害者檢測到攻擊，受害者就會查詢上游（upstream）路由器以檢查它們的內存中是否包含攻擊數(shù)據(jù)包的信息。如果在某個路由器中發(fā)現(xiàn)了攻擊數(shù)據(jù)包的信息，那么該路由器被認為是攻擊路徑的一部分。基于數(shù)據(jù)包日志的方法工作原理：44問題路由器存儲花費從網(wǎng)絡路由器獲取數(shù)據(jù)包信息使用的方法是效率低的問題45pushbackpushback46自動化模型(控制器-代理模型)自動化模型(控制器-代理模型)47優(yōu)點：當攻擊沒發(fā)生時，代理和普通路由器一樣運行。受害者能容易地確定來自不同攻擊系統(tǒng)的攻擊簽名。一旦受害者通過了鑒別，那么識別、阻止和跟蹤攻擊流量的過程完全是自動化的。因此，響應非常迅速?？梢詣討B(tài)地配置過濾器。