何瀟銳，常 明

國(guó)網(wǎng)山西省電力公司長(zhǎng)治供電公司，山西長(zhǎng)治 046000

當(dāng)前信息環(huán)境之下，企業(yè)對(duì)于數(shù)據(jù)傳輸?shù)囊蕾嚦潭扰c日俱增，與之對(duì)應(yīng)的網(wǎng)絡(luò)安全問題也成為了當(dāng)前社會(huì)所共同關(guān)注的重點(diǎn)。而分布式拒絕服務(wù)（DDoS，Distributed Denial of Service）作為網(wǎng)絡(luò)環(huán)境中較為常見的攻擊形式，已經(jīng)成為當(dāng)前網(wǎng)絡(luò)安全的重要隱患來源，因此對(duì)其展開深入的分析和討論，對(duì)于切實(shí)提升整體網(wǎng)絡(luò)安全水平有著積極價(jià)值。

1 DDos攻擊檢測(cè)技術(shù)淺論

從概念的角度看，DDos攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。對(duì)于DDos攻擊而言，最為常見的攻擊方式即利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，從而使得正常的用戶服務(wù)請(qǐng)求無法得到相應(yīng)。傳統(tǒng)的Dos攻擊在面向單一主機(jī)的時(shí)候效果顯著，可以迅速影響到主機(jī)的運(yùn)算速度，但是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，分布式系統(tǒng)開始得到越來越多的應(yīng)用，因此單獨(dú)面向單個(gè)主機(jī)的攻擊從總體上開始變得無效，DDos攻擊方式隨之登上舞臺(tái)。從實(shí)現(xiàn)的角度看，通常攻擊者使用一個(gè)偷竊賬號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，并且在設(shè)定時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計(jì)算機(jī)上?？刂迫藛T通過網(wǎng)絡(luò)遠(yuǎn)程控制代理程序發(fā)動(dòng)攻擊，并且利用客戶機(jī)/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行，其威脅不容忽視。

對(duì)于DDos攻擊而言，其檢測(cè)方法多樣，對(duì)于不同的應(yīng)用環(huán)境表現(xiàn)出各自不同的額檢測(cè)工作特征。依據(jù)檢測(cè)模式進(jìn)行分類，可以分為基于誤用的DDos檢測(cè)、基于異常的DDos檢測(cè)以及混合模式DDos檢測(cè)三種。其中基于誤用的DDos檢測(cè)即指在針對(duì)DDos攻擊行為特征進(jìn)行采集和整理的基礎(chǔ)之上，以其作為參照對(duì)于網(wǎng)絡(luò)中數(shù)據(jù)包的特征展開檢查，從而發(fā)現(xiàn)異常的數(shù)據(jù)包，確定DDos攻擊行為的發(fā)生。而基于異常的DDos檢測(cè)則是通過監(jiān)視系統(tǒng)審計(jì)記錄上系統(tǒng)使用的異常情況，對(duì)系統(tǒng)中存在的違反安全的時(shí)間進(jìn)行檢測(cè)。這是當(dāng)前大多數(shù)DDos攻擊檢測(cè)的常見工作方式，此種檢測(cè)方式的效果在很大程度上依賴于異常判斷模型的建立，不同的模型會(huì)對(duì)傳輸行為有不同的判斷，因此只有面向?qū)嶋H網(wǎng)絡(luò)工作特征的模型才能行之有效地?fù)?dān)負(fù)起DDos檢測(cè)職責(zé)。最后對(duì)于混合模式DDos檢測(cè)，則是將基于誤用的DDos檢測(cè)以及基于異常的DDos檢測(cè)加以結(jié)合的檢測(cè)工作方式，通常使用數(shù)據(jù)挖掘的方法，由異常檢測(cè)發(fā)現(xiàn)攻擊，從發(fā)現(xiàn)的攻擊中摘錄特征放入誤用模式特征庫(kù)中，再利用誤用檢測(cè)的方法來檢測(cè)DDoS攻擊。

除此以外，還可以按照算法部署的位置對(duì)DDos檢測(cè)工作模式加以劃分，則可以劃分為數(shù)據(jù)源端檢測(cè)、中間網(wǎng)絡(luò)檢測(cè)以及數(shù)據(jù)目的端檢測(cè)三種。其中數(shù)據(jù)源端檢測(cè)是將DDoS檢測(cè)算法布置在發(fā)出攻擊數(shù)據(jù)包的主機(jī)所處網(wǎng)絡(luò)環(huán)境的邊界路由器上，此種工作方式可以在攻擊流入網(wǎng)絡(luò)環(huán)境之前對(duì)其及時(shí)發(fā)現(xiàn)并且攔截。而中間網(wǎng)絡(luò)DDoS攻擊檢測(cè)是指將攻擊檢測(cè)算法部署在整個(gè)網(wǎng)絡(luò)上，包括路由器、交換機(jī)或其他網(wǎng)絡(luò)設(shè)備。在無法明確攻擊來源的情況之下，采用中間網(wǎng)絡(luò)檢測(cè)的工作方式能夠?qū)崿F(xiàn)更均衡的檢測(cè)工作。而數(shù)據(jù)目的端檢測(cè)，即將DDoS攻擊檢測(cè)算法部署在攻擊端的主機(jī)以及相關(guān)網(wǎng)絡(luò)設(shè)備上，主要用于重點(diǎn)保護(hù)網(wǎng)絡(luò)環(huán)境中相對(duì)珍貴的數(shù)據(jù)節(jié)點(diǎn)。

2 DDoS攻擊檢測(cè)技術(shù)的發(fā)展分析

在面對(duì)企業(yè)網(wǎng)絡(luò)環(huán)境展開DDoS攻擊檢測(cè)系統(tǒng)部署的時(shí)候，將DDoS檢測(cè)核心部署在數(shù)據(jù)傳輸?shù)哪膫€(gè)位置，能夠?qū)崿F(xiàn)對(duì)于攻擊的最為有效檢測(cè)，是當(dāng)前共同關(guān)注的問題。對(duì)于數(shù)據(jù)源端檢測(cè)控制而言，常見的檢測(cè)方法包括依據(jù)數(shù)據(jù)包子網(wǎng)地址進(jìn)行過濾，或者要求客戶端在發(fā)送數(shù)據(jù)的時(shí)候提交一個(gè)發(fā)送請(qǐng)求給認(rèn)真服務(wù)器，在認(rèn)證服務(wù)器許可的情況下才能展開數(shù)據(jù)發(fā)送。此種工作方式能夠在攻擊進(jìn)入骨干網(wǎng)之前就實(shí)現(xiàn)控制，因此對(duì)于網(wǎng)絡(luò)環(huán)境內(nèi)部安全水平的提升有著積極意義，但是同時(shí)由于需要邊界路由器的配合，而ISP無法從這種控制過程中獲益，因此基于數(shù)據(jù)源端的控制常常無法得到實(shí)施，進(jìn)一步影響到此種策略在面對(duì)復(fù)雜供給的時(shí)候檢測(cè)效果整體不足。

而基于中間骨干網(wǎng)絡(luò)的檢測(cè)控制，是面向網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)流量展開梳理和清洗，并且實(shí)現(xiàn)對(duì)應(yīng)的限制和過濾。此種檢測(cè)方式有多種具體的展開模式，可以由被攻擊端將流量信息發(fā)送至路由器，并且進(jìn)一步由路由器作出判斷和限制，此種模式能夠?qū)崿F(xiàn)對(duì)于服務(wù)器負(fù)載的緩解，但是對(duì)于攻擊流量和合法流量的區(qū)分不足，判斷模型還有待于進(jìn)一步完善。實(shí)際工作中還存在基于清洗中心的策略，即在攻擊發(fā)生之后，由骨干網(wǎng)路由器將流量諸如清洗中心，經(jīng)過清洗之后回注網(wǎng)絡(luò)環(huán)境，此種工作方式能夠有效面對(duì)大流量攻擊，但是實(shí)現(xiàn)機(jī)制比較復(fù)雜，成為部署的難點(diǎn)之一。而pushback策略，則是在檢測(cè)到攻擊之后，由靠近攻擊目標(biāo)的路由器面向上游路由器發(fā)出流量控制請(qǐng)求，一直回溯到攻擊源端附近實(shí)現(xiàn)流量控制。這三種工作模式在靈敏度和部署難度方面都呈現(xiàn)出不同特征，在實(shí)際工作中必須妥善依據(jù)不同工作模式的特征和實(shí)際情況進(jìn)行選擇，才能獲取到良好效果。尤其是在不同工作模式的不足方面應(yīng)當(dāng)加強(qiáng)重視，例如對(duì)于攻擊源端檢測(cè)方式而言，其較低的靈敏度和難以實(shí)現(xiàn)廣泛部署的特征都不容忽視，而對(duì)于骨干層過濾模式而言，其部署難度高奮勇高，同時(shí)需要ISP配合的特點(diǎn)必須得到重視，而對(duì)于攻擊終端過濾方式而言，其處理能力則相對(duì)有限。

就DDoS攻擊檢測(cè)未來的發(fā)展?fàn)顩r而言，如何在靈敏度、準(zhǔn)確性以及大流量處理能力等幾個(gè)關(guān)鍵方面實(shí)現(xiàn)均衡選擇，成為未來發(fā)展的關(guān)鍵。在DDoS攻擊類型識(shí)別方面，雖然已經(jīng)能夠針對(duì)類似于Syn flood等攻擊展開識(shí)別，但是相關(guān)方面的研究仍然有待進(jìn)一步深入。同時(shí)考慮到骨干網(wǎng)絡(luò)環(huán)境中攻擊檢測(cè)的工作特征，通過骨干網(wǎng)流量變化實(shí)現(xiàn)對(duì)于DDoS攻擊的有效發(fā)現(xiàn)，是解決無固定檢測(cè)目標(biāo)DDoS過濾的基本前提，而在實(shí)現(xiàn)檢測(cè)之后，如何通過骨干網(wǎng)流量分布發(fā)現(xiàn)DDoS攻擊目標(biāo)，同樣是骨干網(wǎng)檢測(cè)技術(shù)未來的工作重點(diǎn)。

3 結(jié)論

DDoS攻擊是當(dāng)前網(wǎng)絡(luò)環(huán)境所面臨的重要問題之一，只有不斷的鉆研和學(xué)習(xí)，緊跟技術(shù)發(fā)展步伐，才能切實(shí)依據(jù)實(shí)際環(huán)境展開對(duì)于DDoS攻擊檢測(cè)技術(shù)的有效部署，也才能切實(shí)實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)環(huán)境安全水平的提升。

[1]陳偉，何炎祥，彭文靈，等.一種輕量級(jí)的拒絕服務(wù)攻擊檢測(cè)方法[J].計(jì)算機(jī)學(xué)報(bào)，2006，29（8）.

[2]邵立松，張鶴穎，竇文華.基于窗口的端到端擁塞控制：網(wǎng)絡(luò)穩(wěn)定性與效率[J].計(jì)算機(jī)學(xué)報(bào)，2006，29（3）.

[3]何慧，張宏莉，張偉哲，等.一種基于相似度的DDoS攻擊檢測(cè)方法[J].通信學(xué)報(bào)，2004，25（7）.