所有提交的电磁系统将被重定向到在线手稿提交系统。作者请直接提交文章在线手稿提交系统各自的杂志。

DDoS攻击的分析分布式对等网络

Vooka孔雀舞库马尔1 *,Abhinava Sundaram.P2,Munnaluri Bharath库马尔3,N.Ch.S.N.Iyengar4
学院的计算科学与工程,维特大学,Vellore,泰米尔纳德邦,印度
通讯作者:Vooka孔雀舞Kumar电子邮件:(电子邮件保护)
相关文章Pubmed,谷歌学者

访问更多的相关文章全球研究计算机科学杂志》上

文摘

这个词„对等吗?通常描述的一类系统,采用分布式资源以分散的方式来执行特定的功能。分布式P2P网络广泛用于文件共享和在这种情况下,分布式P2P网络很容易被攻击者利用建立DDoS攻击任意主机在互联网上。分布式拒绝服务(DDoS)攻击很难检测和视为主要威胁到互联网。虽然很多技术提出了分布式P2P网络中击败DDoS攻击,它仍然是基于很难应对洪水的DDoS攻击,由于大量的进攻机器和使用源地址欺骗。一个有效的框架被设计来检测和抵御DDoS攻击在分布式对等网络。它维护攻击通过考虑源结束和受害者之间的距离结束还有time - to - live (TTL)值在IP报头。拟议的系统有三个主要组件:DDoS检测、基于代理的追溯和交通管制。基于代理机制是用于跟踪所有节点的细节(如带宽、节点容量等)。该系统可以评估在一个叫做NS2网络仿真平台。 The results demonstrate that the detection techniques are capable of detecting DDoS attacks accurately, and the defence mechanism can efficiently control attack traffic in order to maintain the quality of service for legitimate traffic. Also, the framework shows better performance in defeating the DDoS attacks in Distributed P2P networks compared to the other existing techniques.

关键字

分布式对等网络,分布式拒绝服务攻击,time - to - live,互联网协议

介绍

分布式拒绝服务(DDoS)攻击被广泛认为是一个主要威胁到互联网。基于洪泛的DDoS攻击是一种很常见的方式来攻击一个受害者机器通过发送大量的恶意流量。DDoS的分布式特性问题需要在分布式P2P网络的分布式解决方案。DDoS是一个严重的问题尚未完全解决,仍然是一个活跃的研究领域。简而言之,DDoS攻击目标的可用性资源、基础设施和主机在互联网上和防止他们履行合法的功能。DDoS攻击可分为以下类别之一:
1。资源枯竭(带宽、CPU、内存. .)
2。漏洞攻击
3所示。协议的攻击
分布式拒绝服务(DDoS)发生在用户或主机禁止利用合法服务由一个系统提供的。最广泛的方法创建一个DDoS在分布式P2P网络是通过人工资源枯竭,如带宽、处理器周期,或内存。分布式拒绝服务(DDoS)攻击是指攻击者利用许多主机排气的组合能力的资源服务器系统。交通为骨料的分离会让攻击者更容易目标网络中的交通流的特定子集。

动机

所有互联网服务提供商(isp)面临越来越多的,想要的结果和恶意流量。DDoS攻击很难迅速和有效地停止。因此,需要一个强大的机制来检测和减轻DDoS攻击在分布式对等网络。
主要目标是分析和缓解的影响在分布式P2P网络的分布式拒绝服务攻击。它包括以下几点:1。强大的检测技术应该检测DDoS攻击与高可靠性和早期阶段的攻击。2。好的响应技术应该下降的大部分攻击数据包不牺牲网络的QoS(使用基于代理技术)。3所示。防御框架应该有效地工作在分布式P2P网络。4所示。分析了分布式P2P网络遭受DDoS攻击的性能。
提出了一个基于代理的分布式DDoS防御框架协调防御攻击的源目的和受害者之间的距离结束使用代理跟踪节点的细节如带宽,随着time - to - live值节点容量等。此外,服务质量(QoS)可以使用差异化服务提供(diffserv)。提出的基于主体防御系统有三个主要组件:检测、基于主体的追溯和交通管制。发展强有力的机制对这些攻击可以有效地减少它们对饱和的影响互联网链接和防止合法流量达到目的地。这种技术的性能验证,模拟结果相比。

相关工作

分布式拒绝服务攻击是一种低层次的攻击,对P2P系统和使用这些合法的交通有很大的影响。低水平的攻击集中在沟通方面(TCP / IP)的P2P系统。一般来说,DDoS攻击试图做一个计算机资源不可用那些打算使用它。[6]最常见的DDoS攻击的数据包是无效的。
破坏宿主聚集在同一时间发送无用的服务请求。产生交通事故受害人的破裂或禁用它。DDoS攻击的威胁包括:
很难检测和阻止。
可以在几分钟内传播
通常的洪水持续了几个小时,是零星的
IP欺骗很难确定袭击者。
有两种方法[2],它可以用来在Overnet发动DDoS攻击,这是一个最大的P2P文件共享网络。第一个涉及中毒分布式文件索引,从而导致TCP连接DDoS攻击,和第二个涉及中毒同行的路由表,导致带宽洪水DDoS攻击。分发信息包过滤[6]技术检测和过滤TCP数据包的源IP地址用于分布式拒绝服务攻击(drdo)反映。但是提出的模型并没有专注于物理攻击是可能的P2P系统。这些类型的攻击需要一个有效的保护网络资源和有效的算法。路径识别机制[9]特性许多独特的性质。这是一个每个包的确定性机制:每个包沿着相同的路径旅行携带相同的标识符。这允许受害人主动参与防御分布式拒绝服务攻击通过π马克过滤数据包匹配袭击者”标识符在每个包的基础上。π方案表现良好在成千上万的攻击者组成的大规模的DDoS攻击,甚至是有效的只有一半的路由器在互联网参与包标记。π标记和过滤模型无法检测IP欺骗攻击只有一个攻击数据包。 Finally, there is a need to propose an effective mechanism where the victim needs to identify only a single attack packet in order to block all subsequent packets arriving from the same path, and from the same attacker. The results can be shown through simulations in ns2 (Network Simulator).

方法

DDoS攻击不仅继续增长的规模和频率也不同。今天的流动性和跨度的DDoS问题要求专业、系统的注意为了有效地减轻这样的攻击。需要一个高效的算法,可以减少DDoS的影响还在分布式对等网络和提供一个完整的研究和分析可能的网络攻击。
DDoS的分布式合作架构
的主要目标是控制不必要的交通缓解基于洪泛的DDoS攻击的基于ip的网络。这尤其集中在以下目标:
检测技术应该检测DDoS攻击
1。具有高可靠性和早期阶段的攻击在分布式P2P网络。
2。响应技术应该大部分的攻击数据包不牺牲的QoS合法流量。
3所示。防御框架k应该在分布式P2P网络环境中有效工作。
真正的攻击流量到达受害者之前,与代理所有的DDoS攻击者必须合作。因此,必须有控制代理和攻击者之间的通道。这种合作要求所有代理收到攻击者发送交通基于命令。的网络由攻击者、代理和控制通道被称为攻击网络。攻击网络[10]分为三种类型:机构,处理模式,互联网中继聊天(IRC)的模型,和反射器模型。
IP欺骗
IP欺骗所有的DDoS攻击中使用的基本机制隐藏代理或攻击者的真实地址。在一个经典的DDoS攻击中,代理随机恶搞IP报头中的源地址。在reflector-based DDoS攻击,代理必须把受害者的源地址栏中的地址。伪造地址可以现有的或不存在的主机的地址。为了避免进入过滤,攻击者可以使用内部网络地址是有效的,因为不存在的地址已经被过滤掉的可能性非常高。
图像
在现实世界中,可以发动攻击,没有足够的主机IP欺骗攻击者是否能妥协。在这种情况下,攻击者会考虑如何避免被追踪。通常,攻击者会使用一连串的妥协。跟踪链延伸跨多个国家很难实现。此外,妥协不监控网络中主机将跟踪更加困难由于缺乏信息。在这些情况下,IP欺骗不是一个隐藏攻击者的必要步骤。
洪水DDoS攻击的机制
基于洪泛的DDoS攻击涉及代理或反射器发送大量不必要的流量的受害者。受害者将是服务的合法交通资源使用因为它连接起来。常见的连接资源包括带宽和连接控制受害者的系统。一般来说,基于洪泛的DDoS攻击包括两种类型:直接和反射器的攻击。
图像
代理发送传输控制协议/网际协议(TCP / IP)、网际控制报文协议(ICMP),用户数据报协议(UDP),和其他数据包直接受害者。响应数据包从受害者将达到欺骗接收器将IP欺骗。从反射镜反射攻击,响应数据包真正攻击的受害者。不需要发送回响应数据包反射镜的受害者。完成一个反射器攻击的关键因素包括:设置受害者地址源字段的IP报头,找到足够的反射镜。直接攻击通常选择三个机制:TCP SYN洪水、ICMP回应洪水、洪水和UDP数据。TCP SYN洪水机制不同于其他两种机制。它会导致受害者耗尽所有可用的TCP连接控制资源通过发送大量的TCP SYN包。受害人不能接受一个新的连接从一个合法的用户没有新的可用控制资源。ICMP回应基于洪泛攻击将消耗所有可用带宽的大量ICMP回应应答数据包到达受害者。 UDP data flooding-based attacks achieve the same result as ICMP echo attacks by sending a large number of UDP packets to either random or specified ports on the victim.

提出了框架的架构

当前的网络系统可以简单的分为两个领域。第一个域是核心路由网络。这个网络通常由高速路由器。这是最基本的网络负责在多个边缘网络传输流量。网络是另一个域的边缘连接到核心网络边缘路由器。网络通常代表一个客户网络的优势。通常情况下,不存在有大量的交通需要转发的边缘路由器。而分布式拒绝服务(DDoS)攻击流量是通过网络传播对受害者,victim-end边缘的防御系统网络可以很容易地检测到攻击,因为攻击流量产生较大的异常在受害者比源结束。然而,不可能攻击的防御系统应对victim-end边缘网络攻击是沉重的。基于代理的DDoS victim-end边缘检测技术检测DDoS攻击的网络通过识别异常变化的TTL值欺骗地址和受害者节点。 The agents keep track of all the necessary node details which enable the detection of DDoS attacks in Distributed P2P networks more effectively. To drop attack packets effectively, an attack traffic rate limit control will be triggered in the source-end edge network after receiving an alert message from the defence system of the victim-end edge network. To find all source-end edge networks, we can use the existing Fast Internet Traceback (FIT) technique[11]. In the distributed framework, all edge routers should mark the distance from the victim and their IP address into the 16 bit IP identification field of the IP header. The agent-based detection and response techniques will use this information.
图像
TTL(生活)是一个8位字段指定IP数据包的最大生命周期。在运输途中,每个路由器IP数据包的TTL值衰减。当一个IP数据报(每个包含一个8位头字段称为TTL)传动构造,源分配一个整型常量的范围(0 - 255)作为初始TTL值。随着数据报从源到目的地通过中间路由器(互相交结设备),每个路由器沿着路径衰减TTL值,和数据报转发到下一个路由器只有TTL大于零。按照IP标准,路由器应该丢弃一个数据报TTL值为零。TTL的主要目标是确保数据报不应该永远漫游互联网路由迴圈等问题。
图像
在上面的图中,两个SYN和RST包将包含相同的源IP地址。的SYN包,IP地址欺骗,如RST的情况下,受害人的实际IP地址。因此,TCP滤波器有两个数据包自称是来自同一台机器上。假设没有路由网络路径的变化,这两个包应该有相同的TTL值。如果TTL值是不同的,有可能SYN数据包的源IP地址。重要,RST包是由受害者针对SYN / ACK包和攻击者没有控制。因此,IP地址的RST包是可以信任的。
图5演示了整个操作维护的DDoS攻击的事件。受害者之间警报消息端和源端包括三种类型:请求消息,更新消息,取消的消息。这些信息被用于不同阶段击败DDoS攻击。开始攻击,请求消息从一个受害者最终将提供一个建议速率限制价值来源。如果攻击流量的大小仍然大幅增加,更新消息将被发送给源结束了。这可能稍稍增加负担的受害者,然而这个消息是必要的控制速率限制和监控源端。基于消息中的要求,源端防御系统将减少速率限制价值成倍增长。交通在受害者结束后已经恢复正常,一个更新消息发送到源端增加速率限制值线性问道。最后,如果防御系统并没有发现任何异常变化的受害者最终由于更新消息,取消消息删除在源端发送速率限制。由于不必要的洪水流量,有可能受害者源端发送的消息甚至不到达源节点。 To overcome this problem, the request and update messages are sent repeatedly by victim to source end until proper acknowledgement is received from the source.
图像
现有的检测技术中存在的问题如下:
1。选择属性之间的弱连接和DDoS攻击检测方案无效。
2。太长时间显示异常条件由于复杂的计算。
现有的DDoS检测技术主要分为两种类型:DDoS检测IP属性分析的基础上根据交通量和DDoS检测。应对DDoS攻击,信息包过滤试图基于DDoS攻击签名过滤攻击流量。然而,很难得到当前的DDoS攻击,因为攻击签名攻击交通类似于正常交通。包过滤技术的另一个问题是合法流量的间接伤害。相比之下,最近的研究表明,速率限制技术可以有效地减轻攻击通过设置合适的利率限制攻击流量。与此同时,它不会导致严重的间接损害了合法的交通。最后,相关分析可以RTT值和路由器之间的缓冲区占用的瓶颈环节,结果可以比较的攻击场景和DDoS攻击。在基于代理的防御机制,代理不需要监控总是知道节点,因为它可能会增加网络的开销。因此它可以在固定的定期监测。为了演示框架的改进在击败DDoS攻击,我们在三种情况下比较结果。 In the first situation, start the attack on NS2 simulation network without enabling any DDoS defence mechanisms. The edge router at the victim end just drops all packets which it cannot handle. In the second situation, deploy the framework in the NS2 simulation network. Each router will detect the aggregate of its local traffic and attempt to lower traffic in cooperation with upstream routers. In the final situation, deploy the agent-based DDoS defence framework in the same NS2 simulation network. The following code snippet describes few changes made to the header files in ns2 which differentiates the spoofed IP address and the actual address of victim using the TTL value. The changes are made in diffserv folder which is responsible for providing Quality of Service(QoS). Various files like the queue.h, dsred.h, icmp.h, dsredq.h have been inherited in the c++ file and their functionalities are utilised.
TTL_SOURCE = iph - > ttl ();
TTL_INCOMING = iph - >公司();
ns_address src = iph - > src ();
ns_address dst = iph - > dst ();
bool接受= true;
bool = false下降;
/ /如果TTL_VALUE是无效的,没有任何其他处理
如果(codePt = = dsFeedback:: INVALID_CP) {
cout < < "下降由于无效的TTL”< < endl;
stats.drops_FB + +;
/ /增加反馈计数下降
stats.drops + +;
下降(pkt);
= true下降;
}# endif
如果(下降){
/ /允许转让包到目标节点。
如果(TTL_SOURCE = = TTL_INCOMING) {lookupPHBTable (codePt,队列,prec);
hdr_flags *高频= hdr_flags:访问(pkt);
如果(ecn_ & & hf - >等())ecn = 1;
stats.pkts_CP [codePt] + +;
/ /亲密的源节点的丢包对等节点cout < <“下降了对等节点。”<< endl;
如果(!反馈::isFeedbackRunning (src, dst)) {
反馈:dropNotify (src, dst,现在,icmpAgent);}
# endif
cout < <“早期下降。”<< endl;
# ifdef ds_feedback_h
/ /通知发送方包下降了域路由器
如果(! dsFeedback: isFeedbackRunning (src, dst)) {
dsFeedback: dropNotify (src, dst,现在,icmpAgent);
}# endif

观察和结果

DDoS攻击的快照提供了模拟在分布式对等网络。图绘制为目的的比较和性能分析。同时,RTT值之间的相关系数和路由器缓冲区占用的瓶颈环节使用MATLAB计算。
图像
这些快照下面描述分布式拒绝服务攻击在有线和无线P2P网络。它包括ultra-peers,袭击者,奴隶/僵尸(由攻击者控制)和受害者。
图像
图像
获得的图
队列大小图
时间和队列大小(没有攻击)
图像
图像
时间序列图
计算吞吐量和相关系数迅速降低时受到分布式拒绝服务攻击。上面给出的图表清楚地表明,提出的基于代理机制减少了DDoS攻击分布式对等网络的影响。它也增加了包传输的吞吐量,因此我们可以观察到在网络数据包损失降至最低。我们可以从上述机制得出一些努力在优化攻击,大量的包丢失可以最小化和数据包可以正确定向到目标主机。
图像
图像

结论

在分析很多现有的DDoS检测和响应技术以及防御框架,很明显,DDoS防御的主要挑战是检测攻击迅速,效率高、控制攻击流量以维持QoS合法流量。为应对这些挑战,一个高效的DDoS攻击检测技术进行了分析,使用很少的通信开销。基本上,防御的过程可以分为三个阶段。开始攻击,一个基于主体的检测技术可以检测出攻击如果有异常变化的平均距离值和流量率在不同距离的受害者。然后在受害者的防御系统试图找到所有边缘路由器转发大举攻击流量。最后,一系列的警报消息将被发送到源端防御系统,设置速度限制每个边缘路由器根据接收到的信息和自己的下降率。经济复苏过程将被触发,如果交通受害者一端已经恢复正常。DiffServ用于提供服务的质量。并不总是可以完全阻止这些攻击,因为总会有脆弱主机在互联网为攻击目的和妥协也有许多DDoS攻击的机制。但是,该方法的检测和减轻攻击已被证明是更有效的比现有的方法显示出更好的性能。

引用

  1. Gokhale和p . Dasgupta“分布式对等网络身份验证,”诉讼IEEE车间安全与保证在临时网络,2003年。
  2. PankajKohli UmadeviGanugula,“使用P2P网络DDoS攻击”,2 007年
  3. 威廉切除了“数据和计算机通信”,培生教育,第七版,2003年。
  4. g . Steve,“分布式拒绝服务反映,”http://grc.com/ dos / drdos.htm
  5. j . Postel“传输控制协议”,RFC 793, 1981年9月。
  6. s . Sivapooranam v . g . k .智利的阿尼尔•库马尔(Anil Kumar) Dr.N.Ch.S.N。Iyengar”,分析基于反射的分布式拒绝服务攻击”,icscis - 2007
  7. EngKeongLua Ruichuan Chen, Jon Crowcroft说WenjiaGuo,投入,钟Chen1,“确保对等内容共享服务中毒攻击”,第八届国际会议上对等计算(P2P 08年)
  8. d . Dumitriu e . w .骑士的a . Kuzmanovic斯托伊卡,和w . Zwaenepoel。拒绝服务的对等文件共享系统的弹性。
  9. 亚伯拉罕Yaar节,阿德里安Perrig,黎明的歌,“π:路径识别机制抵御DDoS攻击”,《2003年IEEE研讨会1081 - 6011/03安全和隐私(SP.03)
  10. s . m . Specht和r·b·李\分布式拒绝服务:分类法的攻击、工具和对策。”第17届国际研讨会论文集在并行和分布式计算系统中,2004年9月,第543 - 550页。
  11. a . Yaar节a Perrig, d .歌曲,\适合:快速网络回溯,”24日的年度联合研讨会论文集IEEE计算机和通信的社会(信息通信),2005年,页1395 - 1406。
  12. 诉Shyamaladevi Dr.R.S.D。WahidaBanu”检测DDoS的欺骗攻击使用的过滤器”,IJCSNS国际计算机科学和网络安全,杂志VOL.8 10号,2008年10月
  13. 凯末尔Bicakci BulentTavli”,拒绝服务攻击和对策在IEEE 802.11无线网络”,计算机标准和接口31(2009)931¢€“941。杂志主页:www.elsevier.com/locate/csi。
  14. QijunGu,彭Liu Chao-Hsien楚说:“分析area-congestion-based DDoS攻击的特设网络”,特设网络5 (2007
  15. 本杰明armbrust, j科尔史密斯Kihong公园,“包过滤放置问题与应用程序被欺骗防御拒绝服务攻击”,欧洲运筹学杂志176 (2007)1283 - 1292
全球技术峰会