关键字 |
DDoS攻击,防御技术,安全。 |
介绍 |
在通信系统中数千个节点相互通信。每个节点都有机密数据,节点之间的传输。最近的问题在网络是提供安全传输和接收的信息。为了克服这一问题开发了大量的安全机制。但它不给满意的保护。 |
DDoS攻击报告作为一个高度发生袭击在过去的几十年里。许多服务提供商和合法化用户从这些攻击已经经历了一个令人讨厌的经验。DDoS攻击入侵者试图让目标用户的网络服务不可用。DDoS有很多面孔像洪水攻击,攻击和协议为基础的逻辑攻击[2]。洪水攻击的攻击,它涵盖了网络与不必要的数据包,即节点可以发送数据包复制或节点可以发送超过速度限制的独特的包。逻辑攻击是攻击缓冲区空间限制,它可能超过或溢出时,接受大量的数据包超出其极限。在协议为基础的攻击者的攻击并不削弱了TCP / IP功能相反,它以这个协议的预期行为为攻击者的要求。在本文中,我们经历了各种类型的DDoS攻击和防御机制。 |
类型的DDOS攻击。 |
SYN洪水 |
这是最重要的袭击发生在三方握手。在三方握手客户机请求一个新的连接发送SYN ACK包服务器发送回客户端。最终客户承认ACK。如果发生攻击大量SYN数据包的受害者。它使开放大量的连接,并对它们作出响应,和第三步hank-shake不会执行。无法打开新连接。因为队列充满了充满了一半TCP请求。这个洪水不针对特定的操作系统。它攻击任何支持TCP连接的系统。 |
SMURF攻击 |
smurf攻击的原因是洪水的ICMP回应请求回应应答。包的方向是IP广播地址从远程位置生成DoS攻击。大部分时间攻击者通过伪造IP地址生成伪造的回声请求,即它的目的是受害者机器,攻击者隐藏其身份。中间节点不能确定是否它是原始。所以中间节点立即回复,使洪水受害者的机器。 |
UDP洪水袭击 |
这是第二个最流行的攻击。这种攻击的主要思想是利用UDP服务。这些攻击/拥挤的网络缓慢下来。在这种攻击中攻击者发送随机端口的受害者。在收到数据包受害者系统试图找到哪个应用程序是等待目的地。但实际上没有应用程序运行在端口。阿兹收到大量的UDP数据包的受害者,它让无数的循环之间的两个UDP服务。 |
ICMP DOS攻击 |
在这种攻击中攻击者只需锻造通知消息。攻击者可以使用时间超过,或立即送目的地导致下降的连接。萍死亡,ICMP Ping洪水攻击,ICMP核武器攻击。 |
萍的死亡 |
在这种攻击中,攻击者向计算机发送大量的恶意萍。在这种情况下,大型IP包分成了多个IP数据包。萍死亡场景中接收机最终与数据包大小大于65535年重组和流动与大量的数据包分配的内存。 |
土地的攻击 |
它包括TCP SYN数据包流源和目标都相同的IP地址和端口号。有些实现来处理这种类型的攻击完全是不可能的。这种攻击的主要原因反复操作系统进入循环试图解决重复连接本身。 |
邮件炸弹 |
这是bandwidth-based洪水袭击。攻击者节点发送大量的邮件,邮件导致拒绝服务合法用户。 |
DNS放大攻击 |
攻击者利用公开可访问开放的DNS服务器洪水与DNS响应交通目标系统。攻击者发送的关键技术包括开放的DNS服务器的DNS名称查找源地址欺骗的目标地址。攻击者提交更多的请求区尽可能最大化的效果。 |
IGMP的攻击。 |
洪水导致这种攻击是网络与随机IGMP消息。它使网络上的过载。这是黑客攻击的类型。这种攻击的主要思想是降低宽带和内存使用。但它对于多媒体广播应用程序非常有用。 |
SQL监狱 |
,是一个电脑蠕虫病毒,导致一些互联网主机上拒绝服务。大幅降低网络流量。它利用缓冲区溢出漏洞在SQL server和MSDE代码。 |
DDOS攻击的组件 |
节点使用请求/响应技术攻击者能够用DoS的有效性通过滥用资源的节点充当攻击平台。主要部件在DDoS攻击平台 |
•攻击者 |
•主 |
•僵尸 |
•受害者 |
攻击者的代理将执行攻击网络。它使用许多攻击策略攻击网络。这些都是删除(节点),放弃所有包,洪水包,给网络虚假信息。大师是妥协节点,他们能够控制的奴隶数量,提供了一个通道与僵尸进行通信的方式。僵尸是对受害人负责生成包。受害者是目标节点。 |
分布式的防御机制的必要性 |
在防御系统主要功能是交通监控、交通分析、交通过滤。防御机制可以应用于集中式和分布式两种方式。在一个集中的系统所有组件放置在相同的位置。它是非常容易受到攻击。没有合作与其他通信模块,因为它包含可用的资源数量较低的防御分布式拒绝服务攻击。这些资源是放置在受害者的网站。 |
孤立系统的分布式系统克服缺点。这些系统组件被放置在多个地方和它不太容易攻击配合整个通信模块,因此需要一个合适的通信框架。更多的资源用于对抗攻击。它部署在整个网络.Eg。洪水袭击影响整个网络,它包括受害者节点、中间节点。集中的防御机制只集中在受害者节点。但是分布式系统可以在网络找到任何攻击者节点。 |
防御原则 |
速度限制机制 |
限制机制,限制数据包到达率,满足DDoS攻击的条件。这种机制只限制恶意数据包的速率。这并不损害合法流。它不产生大量的开销。这是简单的形式的信息包过滤 |
出/入机制 |
这种过滤使得攻击者很难通过伪造IP地址发起攻击。IP欺骗很难追溯实际原始主机的攻击。 |
追溯。 |
追溯的过程是伪造IP包合法来源而不是欺骗攻击者所使用的IP地址。三种主要的方式来做trackback)链接测试方案b) ICMP追溯消息. c)包的营销方案。 |
三方握手 |
简单的解决方案是防御源最后欺骗系统。它将无法完成时,源主机恶搞它的IP地址。但是攻击者可以恶搞第一数据包的源地址的三方握手。这是这种方法的主要缺点。 |
跳计数过滤。 |
该技术使用消失欺骗IP数据包在网络处理的开始使用跳跃数过滤映射表。用这个表我们可以很容易地识别欺骗IP地址。 |
比较研究不同的防御方法 |
在[2]中,提出了防御计划使用介质访问控制信息来检测无线网络的攻击。技术工作如下方式保持每个节点流量监控表。它包含源id,目的地id、数据包发送速率、向外流动速率估计的中间节点。通过改变中间节点更新表瓶颈带宽。更新调频表发送到目的地的流。显式拥塞通知发送的目的地。它表明任何网络拥塞。所以发送方发送速率降低。通道变得拥挤如果发送者没有降低发送速率。它可以发现,只有在目的地使用更新后的表。 It checks current sending rate and previous sending rate. If it is equal to or greater than the previous one, then concluded as packet is comes from the attacker. Once detected the DDoS attack all packet from that node is rejected. In the proposed scheme it uses two phase bandwidth Querying scheme and Data transmission scheme. |
在[6],一种方法是旨在防止拒绝服务攻击无线网络尤其是在马奈对多路通信。在该机制中为每个节点提供很大的带宽控制和每流参与交流。通过交换能力信息,每个节点可以维持一个全球网络的吞吐量。然后在每个节点动态调整约束。阻止潜在的攻击特定的节点或网络。这种方法叫做CapMan。它由两个主要组件功能分布和功能执行。功能分布协议授权应答问题和分发能力包整个节点的路由路径。应答器接受连接从发送方发送功能包的发送方的通知接收端到端流和新发现的路由路径。此功能包保存中间节点限制数量的数据包转发的流。 The process of enforcing capability is a combination of local policing and flow-wide message exchange. The capability enforcement mechanism implements capability constraint to per-hop basis for across the multiple routing path.Muti-path routing is change dynamically. To account for this all node periodically exchange bandwidth consumption report. This report gives the global view of the network. Advantage of this mechanism is CapMan work if sender and responder is malicious node. It enable bandwidth limit in a distributed manner. |
在[8]中,作者提出了一个动态反应速率控制方法使用自旋锁。它识别恶意流量活动目标节点。在建议的机制使用分而治之的方法来识别恶意接口并有选择地实现率限制基于交通从源到目的地。体系结构中的三个模型uesd1。module2监控、推理和监控。数据包监控和measurement3。旋转锁率控制。在监控模块检查到达率在每个输入接口和集体流(RCF)的比例计算。这个信息模块的原因。这个模块负责更新源表为基础,目标表为基础,基于数据包的表,这个更新信息测量模块。计算相对离心力。RCF值低于预定义的阈值与负载输出队列低于最大队列阈值确认为正常流否则恶意流量。然后定义一个规则李明。 Spin rate lock module is initiated rate limiting on malicious flow and it is computed by reason module. Load queue is continuously observed and the effect of the rate limit also according to this information rate limit rules are modified. Advantage of this approach is to overcome the some drawback of the previous invented technique. It do not require wide range of the monitor and log information about every packet. So it reduced computational and memory overhead. It considers the traffic of source, intermediate node, destination node. Another advantage of this paper is negligible false positive and false negative rate. And fast response handling mechanism. |
在[10]中,作者提出了一个分布式的方法对网络抵御DDoS攻击的协调。提出工作防御系统部署在网络和独立执行检测。它使用基于流言的通信机制,用于交换信息的攻击从独立的地方和本地网络收集信息聚合这些信息近似这一信息,可以更有效地阻止他们。本地防御节点的主要功能是当地攻击签名生成和识别攻击的速度限制流量。提出系统中它使用定向八卦的策略。基于流言的协议减少了控制消息开销仍然提供可靠和可扩展的消息传递。每个节点发送(相依、属性和服务台。)每次总攻击的信息。每个节点根据这些信息调整速率限制。如果聚合值大于阈值限制它证实了网络受到攻击。本文的优点是它使用基于流言的协议。 Those don’t require much synchronization; don’t require error recovery mechanism and simplicity. |
在[11],它解释了一个名为减少质量的新DDos攻击的攻击。在详细研究在移动网络的拥塞建立rq DDoS攻击。攻击原理基于网络容量的分析,基于分类攻击分为四个)脉冲攻击b)循环赛攻击c) self-whisper攻击d)洪水攻击。这提出防御方法包括检测和预防方案。检测利用三个三个状态值可以从MAC layer.1)获得的频率接收RTS / CTS包,2)传感通道的频率,3)数量的RTS / CTS重发。收到的数据包的数量大于阈值指示太多节点请求的通道。当通道被确定为忙碌状态节点持续后退地区并停止连续波数。如果重新传输数据包数量大于7和数据包大于4包将被丢弃。因此,如果重发的数量超过一个阈值RET打,它表明通道变得拥挤。在反应阶段的节点将与ECN标记每个数据包通知发送方节点和保持这些节点的列表。发送者看到任何包有ECN标记然后降低发送速率。 Some of the node can’t reduce the rate this node will be considered as malicious node. Packet from this node will be stopped. |
在[12]中,作者提出了一个技术,应满足以下要求)准确攻击检测b)有效响应减少洪水)准确识别受害者的合法交通和安全操作。拟议的工作是DefCOM(防御合作叠加网)。它在一个分布式的方式部署防御机制在互联网核心和边缘网络。所有节点组成一个点对点覆盖安全地交换攻击相关的消息。袭击发生时,节点接近受害者检测到这一点并提醒其他DefCOM覆盖抑制攻击流量通过协调一致的速率限制使用。 |
在[13],作者介绍了一种技术跳跃数滤波是基于受害者的解决方案。该方法使用跳数映射表来检测和丢弃IP欺骗IP数据包。HCF很容易实现,因为它不需要任何底层网络的支持,任何加密方法。发送方和接收方之间的跳数是由IP数据包TTL字段。在检测到攻击时收到的数据包被丢弃。检测到的差异存在之间的跳数和表的内容。但是这种方法不是更有效。 |
结论 |
DDoS攻击是一个先进的方法来攻击网络系统阻止合法用户使用网络资源。本文的主要贡献是一个需要分布式的防御机制及其评价。本文描述了一个全面的调查的DDoS攻击的原因和它的防御机制。这个调查显示大部分的防御方法使用了速率限制机制。出口和入口的原则用于防御IPspoofing。每种方法有一定的特点,使其更适合实现在一个比另一个情况。 |
|
数据乍一看 |
|
图1 |
|
|
引用 |
- 尼莎·h·班达里”调查DDoS攻击及其检测防御方法,“国际科学与现代工程学报,卷。1、Issue.3 pp.67 - 71, 2013年2月。
- S.A.Arunmozhi Y。Venkataramani”DDoS攻击和防御的无线自组网,”国际期刊的网络安全& ItsApplications第三卷,第三,pp.182 - 187, 2011年5月。
- 莫妮卡Sachdeva, Gurvinddr辛格Krishnan Kumar Kuldip辛格“分布式国防技术的全面调查againstDDoS攻击,“国际计算机科学和网络安全,杂志Vol.9, 12路,pp.7-15, 2009年12月。
- 林Shibiao Tzi-ckerChiueh”调查解决分布式拒绝服务攻击”,计算机科学系的BrookUniversity, pp.1-38, 2006年9月。
- ShuchiJuyali, RadhikaPrabhakar DDOS攻击和防御机制的全面研究,”信息和运作管理学报,第三卷,Issue.1, 2012年。
- AngelosStavrou QuanJia,库恩的太阳,“CapMan:基于权力防御多路径在MANET拒绝服务(DoS)攻击,“学报20计算机通信和网络国际会议上,页1 - 6,2011年。
- 安东尼奥·Challita Mona El哈桑,Sabine Maalouf阿德尔Zouheiry, DDoS防御机制的调查,“'sHandbook技术作家。米尔谷,CA:大学科学,1989。
- Anurekha、R。K。Duraiswamy, a . Viswanathan副总裁杂志k Ganesh Kumar a Rajivkannan”动态方法来保卫AgainstDistributed拒绝服务攻击使用了自适应自旋锁速率控制机制,“计算机科学杂志》上,pp.632 - 636, 2012。
- PuneetZaroo”DDoS攻击的调查和一些DDoS防御机制,“先进的信息保障(CS 626), 2003。
- Manish Parashar Guangsen张,“合作防御分布式拒绝服务攻击,“信息技术杂志》上的研究和实践,页。2006年1 - 6。
- 任魏、Dit-Yan Yeung海禁,杨美,“脉冲RoQDDoS移动Ad Hoc网络攻击和防御计划,“InternationalJournal网络安全,第1辑,第二,pp.227 - 234, 2007年3月。
- 雷泽JelenaMIrkovic,马克斯•罗宾逊彼得、乔治•Oikonomou“分布式防御DDoS攻击,”可用:http”/ /www.isu.edu/ ~ mirkovic /出版/ udel_tech_report_2005.pdf, 2005。
- 海宁王成金Kang g . Shin”防御欺骗IP流量使用跳跃数过滤,“网络、IEEE / ACMTransactions网络、15卷,pp 1-13, 2007。
- 一个。Annalakshmi Dr.K.R。Valluvan”调查的算法也为对manet的DDoS攻击,“精神文明国际期刊的研究在计算机科学和软件工程,二,问题9,pp.155 - 164, 2012年9月。
|