现有的DoS(DDoS)防御技术整理

转载请声明

DoS产生的主要原因：

系统存在耗资源的操作，包括内存和 CPU 以及带宽
使用共享资源的操作，容易导致死锁
缓冲区溢出
内存泄漏
不正确的缓存机制
服务使用的工具或者系统的配置不当
存在注入问题，如 SQL 注入，命令行注入等
协议级别的攻击：SYN flood，ICMP攻击，这些攻击都有一些特征，可以通过防火墙定制规则过滤这些包，升级使用最新版的协议

抵抗DoS攻击

通过对 DoS /DDoS的原理和特点分析 , 可以看出对 DoS /DDoS的防范是很困难的 , 除了互联网的开放性外 , DoS /DDoS 攻击手段其实也是一种合法的访问请求 , 只是这种访问的强度远远超过服务器可承受的程度而已。因此需要分析哪些请求是正常的用户访问 , 哪些是恶意的访问。

提高DDoS攻击检测率：基于BO神经网络的方法

预防：

及时安装系统补丁程序和定时升级 , 并经常使用漏洞扫描软件对内部网络进行检查，提高系统安全性能
在主要 ISP的核心路由器上安装防火墙

鉴别与过滤：

套实时鉴别系统 , 对服务器所在的网段进行实时监控 , 以便及时发现攻击并采取必要的措施。例如通信流量突然持续增大 , 出现特大型的UDP或ICMP数据包, 以及短时间内集中出现超量的相同数据包等。
通常采用的过滤策略有: 同时采用的输入分组过滤 , 本地攻击检测 , 基于路由的分组过滤等

缓减DoS攻击

流量过滤

流量过滤主要是对服务端接收到的流量进行IP、端口等过滤；

服务端扩容

主要是在检测出DDoS攻击后，为防止服务断线而采用的增加服务器节点个数等方式扩大对DDoS流量的容忍度。

基于P2P的攻击减缓技术

1、隐藏减缓技术

基本思路是在用户(包括攻击者)与被保护服务器之间放置一个P2P网络作为隔离带，使攻击者无法找到实际服务器的真实位置，从而无法直接接触攻击目标。

2、漂移减缓技术

服务器在一个P2P网络内时间、位置上的非预测性移动，使 Dos试图攻击的目标位置飘忽不定，从而使攻击者难以锁定攻击目标。它建立在TCP迁移技术的基础上。TCP迁移技术可以无缝的将一个TCP连接从一个服务器上透明地移到另一个位置。位置漂移可以是物理的也可以是逻辑的，如采用动态修改服务器的IP地址。

3、联盟减缓技术

联盟减缓技术利用了P2P网络资源共享的特性。提供web服务的ISP服务器通过P2P网络形成某种合作联盟，当一个ISP服务器被攻击时，将服务复制到联盟内的其他服务器上以保持服务的连续。

基于非P2P的攻击减缓技术

1、客户难题

基本原理是：服务器在提供服务前要求客户端主机求解一个给出的题目，如一些加密／解密计算等，对不同的用户给出不同难度等级的题目，合法用户可能只需求解一个十分简单的问题，而对于可能是DoS攻击的主机给出一个需要消耗大量资源的难题以遏制攻击请求的流量。

2、图灵测试

一种可用于区分用户为自然人或者为机器的一种人工智能技术。图灵测试攻击减缓技术的基本原理是：自然人对一些特殊的图像内容具有强大的、快速的识别能力，而机器没有这种能力，Dos攻击者直接发出大量虚假请求的为傀儡主机，利用图灵测试可以有效的识别傀儡主机，减低Dos攻击效果。

3、 QoS服务技术

各种资源预留协议、区分服务协议均可以作为 Dos攻击的可行对策，因为它们从资源控制使用的角度来保持重要用户服务的资源需求和优先权。对数据流进行有效的检测或分类，以区分服务的优先级别，进而在Dos攻击下做出各种响应。对于虚假源地址的Dos攻击，通过识别虚假的源地址，过滤掉Dos攻击分组；对于使用真实源地址的Dos攻击分组，采用公平服务调度算法限制流量以丢弃攻击者的大部分攻击分组，减轻Dos攻击的作用。

基于改进DHCP协议的地址跳变方法

这种方法增加了攻击者进行拒绝服务攻击的难度。通过构建动态、异构、不确定的信息系统，增加其多样性、随机性和动态性，提升攻击难度和代价，有效限制脆弱性暴露及被攻击的机会。

地址跳变指通信双方按照既定协议伪随机地改变通信地址，实现网络主动防御。改进后的地址跳变方案利用 DHCP协议保留字段，在不改变现有协议的基础上为同一主机同时分配多个地址，以满足地址跳变的多样性需求；基于现有 DNS协议建立客服双方的地址映射关系以及服务器固有地址与跳变地址的关联关系，在不改变服务器固有地址的情况下完成跳变通信，以满足地址跳变的随机性需求；利用基于动态时间弯曲距离 DTW的时间序列相似性度量算法检测网络异常并调整地址租用期，以满足地址跳变的动态性需求。

在抗连通性 DoS 攻击方面，设可用跳变地址数为m ，攻击数据包中包含当前活动地址的数目为k , r 为攻击速率，k 的期望为 E(k)=rTtol/mE(k)=rT_{tol}/mE(k)=rTtol/m, 可见，m 越大，单位平均攻击强度越小；TtolT_{tol}Ttol 越小，地址跳变越快，遭受持续攻击的概率越小。

基于代价的形式化分析方法

适合对资源消耗型DoS攻击进行建模，该建模方法通过设置容忍关系，比较产生一个数据和验证这个数据所要花费的代价大小，判断协议是否存在DoS攻击；基于这个模型可以指出，JFK协议能够抵抗DoS攻击，而STS协议不具有抗DoS攻击能力

基于数据挖掘的抗DoS攻击模型（DMADM）

采取数据挖掘算法，结合BP网络算法，建立的一个基于数据挖掘的抗DoS攻击的防范模型。（Data Mining-Based Anti-DoS Attack Model），本模型可以从网络中抓取网络流量信息和数据包信息，然后根据知识库中已经建立的模型和训练好的流量趋势曲线，对网络信息进行判别，看是否有攻击产生。将感应模块抓取的网络连接信息利用关联规则算法、序列模式算法挖掘出关联模型和序列模式模型，作为判断攻击是否发生的重要方法。针对某些特征比较明显的攻击，本模型用端口挖掘模块和 IP 挖掘模块进行直接处理，并不对其进行过深的分析，一定程序上避免了模型本身遭受 DoS 攻击。

该模型由 8 个模块组成，它们分别是：感应模块、开采模块、分析模块、IP 挖掘模块、端口挖掘模块、控制模块、执行模块。在实验中，其抗 DoS攻击效果比较显著。