当前位置: 首页 > 业界动态 > 技术实现 > 本文


DDOS攻击下基于TTL策略的数据安全方法研究(下)




发布时间: 2012-12-24 10:08:27  

2.1TTL字段

目前大部分的防火墙基于IP地址和端口进行信息过滤,所以此类防火墙很难防范使用伪造源IP地址的攻击包。在DDOS攻击期间,攻击者通常选择一些无法到达的IP地址作为攻击包的伪造地址,以隐藏攻击源的真实身份,并使得阻止DDOS攻击更加困难,因此根据源IP地址和端口来阻止DDOS攻击是不可靠的方法。

本文提出使用TTL字段来制定带宽限制的规则。IP包头的TTL字段指示了该IP包被删除之前还可能被转发的次数。尽管攻击源可以在IP字段中伪造源IP地址,但很难控制该包在Internet上的路由路径。根据调查表明,端到端的路由路径是相对稳定的,在Internet上三分之二的路由路径在几天内,甚至几个星期内是不会变化的[2]。当多个包被从源端发送到目的端时,这些包的路由路径基本上是相同的,路由跳数(Hop)也是一致的,通常跳数信息指示了该包经过了多少路由器。因此不管攻击者如何伪造源IP地址,从同一个攻击源来的攻击数据包将由同一个路由路径到达受害者端。以此观察为基础,包中的TTL字段将会被用来构建数据流量的带宽限制规则。Internet上的每一个路由器在将一个包转发到下一个路由器之前会将TTL字段减1,如果攻击包从一个攻击源发出,并且具有相同的TTL值,那么这些包到达目的地之后将会有相同的TTL值。我们假设攻击者不会改变每一个包的TTL初始值,因为从目前DDOS攻击工具来看,都没有改变初始TTL的机制。TTL的初始值和操作系统有关,比如当前的操作系统,如WindowsLinux、各种商业版的Unix都会使用固定的TTL值,如30326064128255[3],这些值可以覆盖当前主流操作系统的TTL值。由于攻击源的操作系统在攻击期间是不会变化的,因此从同一个攻击源发出的攻击包在经过相同的路由路径到达受害者端时,每个攻击包的TTL值依然会是相同的。在基于TTL带宽限制的规则中使用两个附加的表TTTLTTTL2IP。当多个可疑的连接被DARB探测发现,DDOS警告将会发出,该可疑数据包的TTL值将会被提取至表TTTL中。一个ACK第三次握手检测器将会部署在受害者端,用来检测第三次握手的数据包ACK。对于数据包P,用IPP来标识该包的源IP地址,TP来标识其TTL值。当一个ACKP被捕获,如果其TTL值在表TTTL(TPTTTL),那么该包的TTL值和IP(IPPTP)将会插入表TTTL2IP。此后一个包既使具有一个可疑的TTL值,也就是说该TTL值在表 TTTL (TP TTTL ),但如果其 IP 地址在表 TTTL2IP 中,那么该包也不会被限制带宽,只有满足{P|(IPP,TP) TTTL2IP TP TTTL}条件的包才会被采取带宽限制。

2.2 DDoS响应系统的体系结构

DDoS响应系统的体系结构与策略响应系统的体系结构,半开连接快照部件将在每个预先定义的时间间隔后,对服务器上的连状况进行一次快照。当从服一务器连接中提取出那些存在时间比较长的半开连接这些半开连接进行探测,以确定这些半开连接是否和网络拥塞相关。如果有对应的网络拥塞特证,那么该半开连接被认为是正常的,如果没有对应的网络拥塞特征,则认为是异常的。ACK 检测器负责在进入流量中监视第三次握手ACK包,如果一个ACKPTTL值属于TTTL (TP TTTL), P的源IP地址会被记入表TTTL2IP中,因为P已经完成了一次完整的握手过程。

整个响应体系是一个协作的系统。带宽限制控制器,可疑半开连接检测器,ACK检测器同时工作以完成带宽限制的任务。当可疑半开连接检测器发现可疑的半开连接后,将会把该可疑半开连接中的TTL信息提取出来并存入表TTTL中。如果数据包满足条件{P|(IPP,TP)TTTL2IPTPTTTL,带宽限制器将会限制这些包的带宽,这三个部件协同工作以共同对抗恶意数据。

本文来源:畅享网 作者:51CTO

分享到:
阅读:1394次
推荐阅读:

版权所有 © 2011-2016 南京云创大数据科技股份有限公司(股票代码:835305), 保留一切权利。(苏ICP备11060547号-1)  
云创大数据-领先的云存储、大数据、云计算产品供应商