DoS

DoS（精选十篇）

DoS 篇1

1 网络设置

笔记本在办公室、家里、其他场合使用时,网络环境各不相同,可能是有线局域网、宽t打开“网上邻居”,在“网络任务”里点击“查看网络设置”),其实网络设置里面的网络连接也可以创建快捷方式,但不能在“网络连接”下创建,只能创建桌面快捷方式(如图1所示)。有了网络连接的桌面快捷方式,就可以方便快速地进行网络设置了。“本地连接”和“无线网络连接”的快捷方式图标仍然具有“启用”“停用”等右键菜单,因此可以通过这两个快捷方式进行有线的本地连接、无线网络或宽带网络等之间的快速切换,并且快捷方式可以放在专门的文件夹,便于在不同网络之间进行切换。

2 IP地址更改与netsh命令

网络连接的IP地址可以通过DHCP自动获取或手动设置,在Windows XP操作系统下若在手动设置网络,对不熟悉的人来说较为繁琐且容易出错。利用netsh命令结合批处理方式可以方便迅速地设置IP地址。

桌面上点右键新建文该文档(或word文档也可以),并命名为“IP自动获取”,若IP地址为自动获取,打开“IP自动获取”文该文档,利用记事本程序将其内容填写为:netsh interface ip set address name="本地连接"source=dhcp,这里是以有线网络连接为"本地连接",若为无线网络连接或宽带连接也可用同样方法设置,上述命令中name="无线网络连接"或"宽带连接"。如图2所示。

若网络地址为固定IP地址,新建文该文档“固定IP地址1”,设置IP地址的命令为:

netsh interface ip set address name="本地连接"source=static addr=218.195.97.90 mask=255.255.255.0 gateway=1

其中“addr=”后为IP地址,“mask=”后面为子网掩码,“gateway=”后面为(网关为218.195.97.1,后面的1表示第一个网关,winXP下可设置2个网关);

设置dns的命令为(有2个dns):

netsh interface ip set dns name="本地连接"source=static addr=218.195.96.2 register=PRIMARY

netsh interface ip add dns name="本地连接"addr=61.134.35.20 index=2

如需要查看网络连接可以再加一条命令ipconfig/all,或测试网络连接是否连通,增加ping网关命令:ping 218.195.97.1。

还可以添加网络连接后需要运行的程序,例如要运行代理服务器客户端程序Permeo Security Driver软件的可执行文件EBIcon.exe,可加入命令:

cd C:Program FilesPermeoSecurity Driver

EBIcon.exe

全部固定IP地址设置文档如图3所示。

将文件扩展名修改.bat(若不显示扩展名,在资源管理器工具菜单“文件夹选项”-“查看”选项卡里去掉“隐藏已知文件扩展名”属性),保存后,文该文档即转换成批处理命令文档,双击该文档即可运行,迅速设置IP地址。

如果还有其他网络地址,可新建文该文档“固定IP地址2”,并修改相应设置内容。

在桌面上建立以文件夹netsetup,将网络设置的快捷方式和IP地址设置命令全面拖入该文件夹中,可以集中方便迅速地进行网络设置了,如图4所示。

利用netsh命令建立的批处理命令文档来设置IP,较Windows XP下的图形界面设置IP方便快捷,且由于IP地址已经保存在批处理命令文档中,避免了人工输入地址时出现错误。

3 结束语

添加网络连接的快捷方式,使用netsh命令并结合批处理命令文档,可以迅速地切换网络和设置IP地址,方便了广大笔记本电脑用户使用不同网络。

摘要：笔记本等的使用地点改变导致网络变化,或电脑需要经常更改网络设置,使用Windows XP系统进行网络设置和IP地址更改操作繁琐,采用DOS命令能简化操作。

关键词：网络设置,IP地址,DOS命令

参考文献

[1]肖忠良.Windows2003server下快速的改变IP[J].电脑知识与技术,2007(11):1259-1260.

DOS详细讲解 篇2

echo on set LOG_HOME=D:homepathlogs set DATA_HOME=D:homepathdata set DATA_BACKUP_HOME=D:homepathdataackup set DATA_PROC_SUBFOLDER=err,processed,work set COUNTRY_LIST=sg,my set JOB_TYPE_EOD=eod set JOB_TYPE_IOD=iod set BATCH_JOB_LIST_EOD=eodtlm,eodfxc set BATCH_JOB_LIST_IOD=iodtlm,iodfxc set APPLICATION_LIST=webfitas,fxretail set APP_LIST_OTHER=saa,midas set MSG_TYPE_LIST=mt940,mt942 echo “start to created folder” for %%C in (%COUNTRY_LIST%) do ( echo “country code:” %%C for %%B in (%BATCH_JOB_LIST_EOD%) do ( echo “Batch Job Name:” %%B for %%A in (%APPLICATION_LIST%) do ( echo “Application Id:” %%A for %%S in (%DATA_PROC_SUBFOLDER%) do ( echo “Sub-folder:” %%S mkdir %DATA_HOME%%%C%JOB_TYPE_EOD%%%B%%A%%S ) ) ) for %%B in (%BATCH_JOB_LIST_IOD%) do ( echo “Batch Job Name:” %%B for %%A in (%APPLICATION_LIST%) do ( echo “Application Id:” %%A for %%S in (%DATA_PROC_SUBFOLDER%) do ( echo “Sub-folder:” %%S mkdir %DATA_HOME%%%C%JOB_TYPE_IOD%%%B%%A%%S ) ) ) for %%A in (%APPLICATION_LIST%) do ( echo “Application Id:” %%A mkdir %LOG_HOME%%%C%JOB_TYPE_EOD%%%A ) for %%A in (%APPLICATION_LIST%) do ( echo “Application Id:” %%A mkdir %LOG_HOME%%%C%JOB_TYPE_IOD%%%A ) for %%M in (%MSG_TYPE_LIST%) do ( echo “Message Type:” %%M for %%T in (%APP_LIST_OTHER%) do ( echo “Internation and Third Party Application Id:” %%T mkdir %DATA_BACKUP_HOME%online%%C%%T%%M ) ) ) echo off pause

DOS杀毒盘也玩虚的 篇3

安装最新版的木马盾杀毒软件，再点击开始菜单，选择“所有程序／木马盾／虚拟DOS创建工具”，在打开的窗口中点击“创建虚拟DOS启动盘”按钮即可开始创建了(如图11)。创建成功后，重新启动系统，在启动界面上将会看到一个虚拟DOS启动菜单项，只要选择相应的选项即可进入虚拟DOS杀毒界面(如图2)，从菜单中选择相应的杀毒项即可开始对系统进行病毒查杀了。

如果你不想使用虚拟DOS启动盘的功能，可以点击图1中的“撤消虚拟DOS启动盘”按钮，取消启动菜单中的杀毒项目。

怎么样?整个制作、杀毒过程都无须任何移动存储设备的支持，不仅可以实现DOS杀毒，当系统出现故障无法启动时还可以作为应急工具，非常实用，真可谓一举两得啊!

拒绝服务攻击DoS的研究与防范 篇4

关键词：计算机网络,通信技术,拒绝服务攻击,攻击手段

随着当前计算机技术和通信网络的不断发展,黑客的攻击手段也日新月异,按照黑客攻击的性质及其手段,可将网络攻击分为口令攻击、拒绝服务攻击Do S(Denial of Service)、利用型攻击、以及信息收集型攻击和假消息攻击这五大类型。在这五种类型的网络攻击中,由于拒绝服务攻击Do S最不容易辨别和判断,所以Do S越来越多地成为黑客进行网络攻击的主流方式,各种Do S的攻击工具以及变种在网络上广为流传,类似的攻击事件也频频发生[1]。其中,分布式拒绝服务攻击DDo S(Distributed Denial of Service)又是拒绝服务攻击中最典型的一种攻击方式。本文针对黑客常用的拒绝服务攻击Do S进行了深入研究,分析了Do S常用的攻击方式和手段,提出了DDo S的防范方法,并对Do S的发展趋势进行了相应的预测。

1 拒绝服务攻击

拒绝服务攻击Do S是指凡是造成目标计算机拒绝提供服务的攻击称为Do S攻击,其目的是使目标计算机或网络无法提供正常的服务,被攻击的受害者包括联网主机、路由器或者是整个网络[2]。最常见的Do S攻击是计算机网络带宽攻击和连通攻击。

(1)计算机网络带宽攻击是以极大的通信量冲击网络,使网络所有可用的带宽都被消耗掉,最后导致合法用户的请求无法通过。

(2)连通攻击指用大量的连接请求冲击计算机,最终导致计算机无法再处理合法用户的请求。比如:上千人给同一电话打电话,这样其他用户再也无法打进。

拒绝服务的攻击方式有很多种,从广义上来说,任何可以通过合法的方式使服务器不能提供正常服务的攻击手段都属于Do S攻击的范畴。最基本的Do S攻击手段是利用合理的服务请求来占用过多的服务器资源,从而使合法用户无法得到服务器的响应;或者利用系统本身的设计漏洞使目标计算机或网络无法提供正常的服务。具体包括以下几种类型:

(1)ping of death在早期的操作系统对网络数据包的最大尺寸有限制。在读取包的报头后,根据该报头里包含的信息来为有效载荷生成缓冲区。当发送ping请求的数据包声称自己的尺寸超过ICMP上限时,就会使ping请求接收方出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方down机。

防御措施现在所有的标准TCP/IP实现都已实现了对付超大尺寸的网络数据包,并且大多数防火墙能够自动过滤这些攻击,具有抵抗一般ping of death攻击的能力,此外对防火墙进行配置阻断ICMP以及任何未知协议都将防止此类攻击[3]。

(2)泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP在收到含有重叠偏移的伪造分段时将崩溃。

防御措施:服务器应用最新的服务包,或者在设置防火墙时,对分段进行重组,而不是简单地转发它们。

(3)SYN flood一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为它们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里,SYN洪流具有类似的影响。

防御措施:在防火墙上过滤来自同一主机的后续连接。SYN洪水威胁很大,由于释放洪流的主机并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。

(4)smurf攻击简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包,来淹没受害主机的方式进行,最终导致该网络的所有主机都对此ICMP应答请求作出答复,从而导致网络阻塞,并且比ping of death洪水的流量要高一至两个数量级。更复杂的smurf将源地址改为第三方的受害者,最终导致第三方雪崩。

防御措施:为了防止黑客利用用户的网络攻击他人,应该关闭外部路由器或防火墙的广播地址特性;并且为了防止被黑客攻击,应该在防火墙上设置规则丢弃掉ICMP包。

2 分布式拒绝服务攻击

分布式拒绝服务攻击DDo S是指攻击者利用已经侵入并控制的主机,对某一单机发起攻击,被攻击者控制着的计算机有可能是数百台机器。在悬殊的带宽力量对比下,被攻击的主机会很快失去反应,无法为用户提供相应的服务,从而达到黑客攻击系统的目的。实践证明,DDo S在Do S中是一种非常有效的拒绝服务攻击方式,而且非常难以抵抗和防范。

DDo S与Do S最大的不同之处就在于DDo S不依赖于任何特定的网络协议,也不利用任何系统漏洞。其通常的攻击步骤如下:

(1)初始的大规模入侵阶段攻击者利用系统的管理漏洞逐渐掌握一批傀儡主机的控制权。在该阶段,攻击者使用自动工具扫描远程脆弱主机,并采用典型黑客的入侵手段,得到这些主机的控制权,安装DDo S的代理端Agent(又叫分布端)。主控端(Handle/Master)是一台已被攻击者入侵,并运行了特定程序的系统主机,每个主控端的主机能够控制多个代理端。每个代理端也是一台已被入侵,并运行了某种特定程序的系统主机,是执行攻击的主要角色。目前,还没有DDo S工具能够自发完成对代理端的入侵。

(2)大规模DDo S攻击阶段当攻击者觉得时机成熟时,控制这些傀儡主机,通过主控端和代理端对目标受害主机发起大规模拒绝服务攻击,多个代理端能够同时响应黑客的攻击命令,并向被攻击目标主机不断发送大量无用的攻击分组,这些攻击分组或者能够耗尽被攻击主机的CPU资源,或者能够耗尽被攻击主机的网络连接带宽(或者两者都被耗尽),最终,导致被攻击主机不能够接受任何正常的服务请求,从而出现拒绝服务现象。

由此我们不难总结出DDo S的特点:首先使用一些典型的HACKER入侵手段控制一些高带宽的服务器;然后在这些服务器上安装非常隐蔽的攻击进程;到时机成熟时,再集多台机器的力量对单一的攻击目标实施攻击[4]。DDo S在Do S中是一种非常有效的拒绝服务攻击方式,其隐蔽性和分布性难以被识别和防御。

分布式拒绝服务攻击严重危害着网络安全,如果能时刻保持警惕心理,采取必要的防范措施,一定能将受到攻击带来的损失减到最小。除了进行带宽限制、及时给系统安装补丁、运行尽可能少的服务、封锁敌意IP、使用防火墙等常见措施外一般实施最少权限原则是保持网络安全的关键。此外,安装入侵检测系统、使用扫描工具等手段来探测系统是否被侵入或服务器被用来进行攻击是必要的。

3 发展趋势

根据对以往的各种Do S攻击事件和手段的总结,并结合网络协议,尤其是TCP/IP协议的先天缺陷,Do S会往以下趋势发展:

(1)越来越多采用IP地址欺骗来隐藏源地址。

(2)越来越呈现出由单一攻击源发起进攻,转变为由多个中间攻击源对单一目标进攻的趋势。

(3)越来越智能化,新的攻击工具将试图断开网络入侵检测系统的检测,并绕过系统的防火墙。

(4)针对目前路由器弱点的Do S攻击会不断增多。

4 结论与展望

随着计算机网络和计算机通信技术的发展,拒绝服务攻击Do S越来越多地成为信息安全技术中的研究热点。本文针对黑客常用的拒绝服务攻击Do S和分布式的拒绝服务攻击DDo S进行了深入研究,分析了Do S常用的攻击方式和手段,提出了Do S的防范措施,并对Do S的发展趋势进行了预测。下一步将力争针对Do S的发展趋势提出相应的防范措施,进一步提高网络中通信的安全性和可靠性。

参考文献

[1]贾月琴,张宁,宋晓虹.对网络安全技术的讨论[J].微计算机信息,2005,3:108110.

[2]叶灯洲.计算机网络中的黑客攻击与防御剖析[J].电脑知识与技术,2005,(29):3738.

[3]尹红.网络攻击与防御技术研究[J].计算机安全,2007(08):4753.

DOS详细讲解 篇5

echo on set LOG_HOME=D:homepathlogs set DATA_HOME=D:homepathdata set DATA_BACKUP_HOME=D:homepathdatabackup set DATA_PROC_SUBFOLDER=err,processed,work set COUNTRY_LIST=sg,my set JOB_TYPE_EOD=eod set JOB_TYPE_IOD=iod set BATCH_JOB_LIST_EOD=eodtlm,eodfxc set BATCH_JOB_LIST_IOD=iodtlm,iodfxc set APPLICATION_LIST=webfitas,fxretail set APP_LIST_OTHER=saa,midas set MSG_TYPE_LIST=mt940,mt942 echo ”start to created folder“ for %%C in (%COUNTRY_LIST%) do ( echo ”country code:“ %%C for %%B in (%BATCH_JOB_LIST_EOD%) do ( echo ”Batch Job Name:“ %%B for %%A in (%APPLICATION_LIST%) do ( echo ”Application Id:“ %%A for %%S in (%DATA_PROC_SUBFOLDER%) do ( echo ”Sub-folder:“ %%S mkdir %DATA_HOME%%%C%JOB_TYPE_EOD%%%B%%A%%S ) ) ) for %%B in (%BATCH_JOB_LIST_IOD%) do ( echo ”Batch Job Name:“ %%B for %%A in (%APPLICATION_LIST%) do ( echo ”Application Id:“ %%A for %%S in (%DATA_PROC_SUBFOLDER%) do ( echo ”Sub-folder:“ %%S mkdir %DATA_HOME%%%C%JOB_TYPE_IOD%%%B%%A%%S ) ) ) for %%A in (%APPLICATION_LIST%) do ( echo ”Application Id:“ %%A mkdir %LOG_HOME%%%C%JOB_TYPE_EOD%%%A ) for %%A in (%APPLICATION_LIST%) do ( echo ”Application Id:“ %%A mkdir %LOG_HOME%%%C%JOB_TYPE_IOD%%%A ) for %%M in (%MSG_TYPE_LIST%) do ( echo ”Message Type:“ %%M for %%T in (%APP_LIST_OTHER%) do ( echo ”Internation and Third Party Application Id:“ %%T mkdir %DATA_BACKUP_HOME%online%%C%%T%%M ) ) ) echo off pause

DOS下升级BIOS的两种方法 篇6

让主板自己刷BIOS

通常情况下，要刷新主板BIOS，需要使用启动盘引导进入DOS模式，并且还要运行AWARD BIOS或AMI BIOS刷新工具，用户还需记下各种复杂的命令，如果光驱不好使了，机器软驱也没有，或者刷新工具与BIOS版本不符合，那升级主板BIOS就更烦琐了。为了方便用户升级主板BIOS，不少品牌（如华硕、微星、技嘉、磐正、映泰等）主板在BIOS中集成了BIOS刷新工具，用户只要进入CMOS界面就可以轻松实现BIOS升级。

以笔者的华硕M2NPV-MX为例，该主板在BIOS中整合了一个EZ Flash 2工具，它可以在开机自检时由你选择进入EZ Flash更新BIOS，无需DOS启动盘与DOS模式下的升级工具。实现方法是先将需要刷新的BIOS文件存放在软盘、U盘或硬盘里，然后在开机检测时，按下“Alt+F2”组合键后会启动EZ Flash工具（如图1），然后就进入BIOS刷新操作界面。当然，你也可以直接进入BIOS设置中，在“Tools”下选择“ASUS EZ Flash 2”并回车，然后选择“YES”也可以进入BIOS刷新操作界面（如图2）

首次启动EZ Flash时按“UP/Down”键，此时界面左边会出现硬盘的各个分区，值得注意的是，EZ Flash工具只支持FAT16/32格式分区，所以NTFS格式的分区不会显示在这里，因此BIOS文件一定要存放在FAT16/32格式的分区盘中，继续“TAB”键选择分区，然后使用“UP/Down”键选择BIOS文件所在的目录，并找到BIOS文件（如圖3），但在升级之前，建议按“S”键备份BIOS程序，输入BIOS文件名并按回车，在出现的提示界面中选择“YES”（如图4），回车后即可将BIOS文件备份在当前目录下了（如图5）。

继续使用“UP/Down”键选择需要升级的BIOS文件，直接按回车后提示你是否更新BIOS，选择“YES”后回车（如图6），接着开始升级BIOS，升级完后自动重启系统（如图7），然后进入BIOS中重新设置一下硬件参数就可以了。需要提醒的是，其它品牌主板在BIOS中自带的升级程序，其方法也类似，如果担心操作失误，建议升级前查看一下说明书，或者到官方网站寻找升级方法，以保全万无一失。

另类方法升级BIOS

如果无法进入Windows，连BIOS也被损坏了，但此时还是可以进入DOS系统，遗憾的是，机器也没有安装软驱，此时可以通过光盘镜像的方法来升级BIOS，这种方法是通过将BIOS文件和刷新工具制作成DOS启动光盘镜像文件，然后用这张光盘启动并模拟硬盘进行BIOS的刷新，从而达到无启动盘即可实现BIOS的升级，使用PCTools DOS工具制作DOS光盘镜像启动盘（下载地址：http://www.downtool.com/soft/1/78/），并且使用Nero软件刻录光盘镜像文件，同时别忘了将BIOS刷新工具以及BIOS文件也刻录到光盘中，使用该光盘引导并进入DOS模式，将光盘镜像成硬盘目录，这样就可以直接在DOS下刷新主板BIOS了。

此外，如果你没有光驱，但有软驱，不过觉得软驱麻烦，也可以在DOS下使用U盘、移动硬盘等存储设备来刷新BIOS，但在DOS下并不能识别USB设备，此时可以使用“超级通用MS-DOS启动盘”工具来解决问题（下载地址：http://www.52z.com/soft/483.html），该工具可以让USB设备在DOS下直接访问，比如DOS下刷新BIOS或拷贝文件。实现方法是解压下载回来的文件，进入WINDOWS下的MS-DOS界面，直接运行其中的MAKEBOOT.bat文件，然后按软件提示制作一张启动软盘（如图8）。

用制作后的软盘引导电脑启动，在启动时会出现有6个选项的启动菜单，其中第3和第4项都可以在DOS下使用USB设备的闪存，此时先不要忙选择，将装有BIOS文件和刷新工具的闪盘接到主板USB接口，然后选择启动菜单中的第3或第4项启动进入DOS下（如图9），此时启动盘会先扫描USB端口，之后分配一个ID识别号码给USB闪盘。进入DOS后，你会发现闪盘的工作指示灯会亮起来，我们能找到闪盘的盘符，并且可按照正常的方法进行主板BIOS的刷新工作了。

DoS 篇7

1 DOS/DDOS攻击的基本概述

在通常情况下, DOS攻击是由攻击者对大量的网络封包进行发送, 耗尽被攻击者的网络频宽, 并占用其网络资源, 致使网络瘫痪。在同一时间内, 服务器主机所需服务数量大幅增长, 超出了服务器承受上限, 因而对正常使用这的要求无法响应[1]。而DDOS攻击是DOS攻击的一种方式, 在这种分布式攻击方式当中, 具有远程操控的能力, 通过控制多台主机, 在同一时间内对服务器发动攻击。传统的网络体系对于这种DOS/DDOS攻击难以进行有效的应对。通常来说, DOS攻击只是针对基于主机流量控制粒度的情况。而在DDOS攻击中, 将会造成更加严重的网络拥塞[2]。对于packet marking、teaceback等防御DOS/DDOS攻击的方法, 由于其自动性、及时性不够理想, 对于一些针对集群粒度的攻击, 也难以进行有效的防御。基于此, 可以利用集群对粒度进行鉴别和控制, 并对通告追踪方法进行优化和应用。

2 DOS/DDOS攻击的预防控制

2.1 基于管理域的控制合作

对于已经鉴别出来的攻击集群, 为了能够更加合理、有效的对其进行控制, 可以对管理与控制合作机制进行运用, 从而对攻击群的最优控制时间、最佳控制地点等进行选择和确定[3]。可以将一个域控制器安装在各个管理域当中, 基于管理员的指导和操作, 对攻击群信息进行分析, 同时对区域当中路由节 (转下页) 点的速率限制值进行调整, 以实现有效的防御和控制。在优先级方面, 相比于路由节点自身控制策略, 域控制器决定控制措施应当具有更高的优先级, 才能够顺利的发挥作用。

在单个路由节点当中, 具有临时的自动反映措施, 能够对攻击进行第一时间的阻止。对于已经鉴别处的攻击集群, 路由节点在限制其速率的同时, 会将信息报文包发送给管理域控制器, 对采取的限制措施进行反馈。对于本区域当中所有节点发送的信息包, 管理域控制器都能够进行接收, 这样就能够对攻击集群的信息, 以及节点自动采取的动作进行整体的了解。通过这些信息, 域控制器与其它域拓扑信息进行结合, 以便对最优的速率限制值进行制定, 发送给各个节点。

2.2 基于集群的主动通告追踪

在基于集群的主动通告机制当中, 是在已经鉴别、限制的DOS/DDOS攻击集群的基础上, 向攻击集群包的上游主动节点, 自动将通告胶囊发出, 利用相应措施进行限制。发送的通告胶囊主要包括了警告通告胶囊、限制通告胶囊等。对于上游连接集群流量, 通告服务程序会估计其数量。如果上游连接当中只有小部分的攻击集群流量, 则是非主导连接。如果上游连接当中具有大部分集群流量, 则是主导连接。在实现算法的过程中, 本地节点会将限制通告胶囊发送给主导流量上游主动节点, 将警告通告胶囊发送给非主导流量上游主动节点。可以采用树状的结构对通告机制进行分析, 其中, 树根是通告机制的发起拥塞节点, 而树叶、树枝则是上游节点。在主动网络技术的基础之上, 建立了通告机制, 在中间路由节点之间, 能够通过主动包对报文信息进行传送。

通过服务程序分别向主导流量上游节点、非主导流量上游节点, 发送限制通告胶囊、警告通告胶囊。在限制公告胶囊当中, 需要对速率限制值进行制定。所以, 通告机制会通过估算对上游节点发出攻击流量的比例进行确定, 利用非主导连接流量减少值, 对主导连接速率限制值进行计算。最后, 将带有速率限制值、集群标志的限制通告胶囊, 发送给上游主导路由节点。而在警告通告胶囊当中, 对攻击集群特点进行了囊括。在非主导上游节点缓存当中, 警告通告胶囊会有一段保留时间, 在限制主导节点速率之后, 如果攻击者利用非主导节点进行攻击, 警告通告胶囊当中的信息, 可以马上限制攻击包, 使得攻击集群的消除时间得到降低, 对于攻击者通过非主导路径攻击网络、目标节点的行为得到阻止, 进而实现DOS/DDOS攻击的有效防御和控制。

2.3 基于集群的自动鉴别控制

将速率控制器引入到输出队列之前, 能够对一个包的转发、丢弃等进行决定。如果包被丢弃, 则会进入控制服务程序。控制服务程序对限制速率集群进行鉴别, 并对限制率进行计算。同时, 需要对速率控制器参数进行定期更新, 并对通告服务程序进行激活, 将攻击集群的信息通告给上游节点。如果队列中进入外来包, 需要对其进行检查, 以判断是否需要限制其速率。如果不需要, 可以正常对其进行输出, 如果需要根据该集群的速率限制值、到达率等, 在速率控制器中对其是否丢弃进行判断。如果丢弃, 向控制服务程序反馈信息, 如果不丢弃, 向输出队列中传递。而这些包在输出队列中, 也可能发生丢包的情况, 丢包信息也将向控制服务程序进行反馈。在鉴别当中, 也可以对输出队列随机样板进行应用。

如果系统受到DOS/DDOS攻击, 丢包率增加, 控制服务程序会对鉴别系统进行激活。在对攻击集群进行鉴别和控制的过程中, 对被攻击者的IP, 以及上一跳路由节点IP进行了利用。通过主动网络技术, 将上一跳路由节点IP存储到包当中, 攻击者无法篡改该值, 否则路由节点将会自动对该包进行丢弃。从丢包率当中, 防御和控制机制能够对DOS/DDOS攻击进行判断。利用输入输出连接的带宽, 能够对整个连接, 以及单个连接中的丢包率最大上限制进行设置。每隔一定时间, 控制服务器对集群进行估算, 如果存在超出单连接最大限制值的丢包率, 需要向速率限制器传送需要限制速率的集群特点, 以及相应的限制参数值。如果存在达到整个连接最大限制值的丢包率, 应当对集群合并策略进行运用。匹配路由和丢包目的IP, 对最常匹配前缀进行寻找, 利用IP地址共享, 对丢包进行组合。

3 结论

在当前的社会当中, 随着科技的不断发展, 计算机和网络在人们的日常工作和生活当中, 正在得到越来越广泛的应用。人们对于计算机网络的依赖性也日渐增加, 因此计算机网络时时刻刻都在面临着不断增加的数据处理压力。在计算机网络领域当中DOS/DDOS攻击是一种较为常见的网络攻击模式, 通过短时间内发送大量无用的信息和资源, 造成网络通道堵塞, 难以正常相应用户的服务请求。基于此, 为了更好的应对DOS/DDOS攻击, 可通过基于管理域的控制合作、基于集群的主动通告追踪、基于集群的自动鉴别控制等新方法, 对DOS/DOOS攻击进行防御和控制, 从而更好的维护网络安全。

参考文献

[1]周颖杰, 焦程波, 陈慧楠, 马力, 胡光岷.基于流量行为特征的Do S&DDo S攻击检测与异常流识别[J].计算机应用, 2013, 10:2838-2841, 2845.

[2]张世轩, 刘静, 赖英旭, 何运, 杨盼.基于SDN构架的Do S/DDo S攻击检测与防御体系[J].电子技术应用, 2015, 12:113-115, 119.

DoS 篇8

IETF提出的会话初始协议 (Session Initial Protocol, SIP) 因为具备协议简单, 易于扩展等突出优点, 逐渐成为VoIP、IP多媒体子系统 (IMS) 以及IPTV等新一代多媒体通信方式的主流协议[1]。然而, 伴随着SIP大规模应用的却是一系列的安全威胁。SIP作为一个免费和开放的标准, 恶意用户能够使用普通的攻击工具, 利用协议中的安全漏洞轻易地组织攻击。

在各种攻击中, 拒绝服务 (DoS) 洪泛攻击是最为常见的一种。攻击者通过发送大量的消息包来达到终止或干扰SIP代理服务器工作的目的。这些恶意的消息包可能由SIP中格式规范的INVITE或REGISTER消息组成, 但是代理服务器的处理能力有效, 在遭遇大量的流量冲击时, 会使得一些正常用户的服务请求不能被及时处理。现在, 已有相关学者就此开展了深入研究。Geneiatakis提出了一个检测错误SIP消息的架构的方法[2], 增加一系列规则来检验是否每一个到达的SIP消息都符合RFC的语法规定, 所有的错误消息都将在到达目的地之前被丢弃掉。Chen, E.Y.提出了修改SIP传输层有限状态机模型的检测方法[3], 来记录判断多个参数值, 并提出4个阈值侦测DoS攻击。宗晓飞提出了按照内存耗尽型和CPU耗尽型的攻击分类来对SIP中的DoS攻击进行防范[4]。

本文提出一种基于SIP事务状态机分析的检测方法, 从事务层面、发送端层面和全面层面3个层次来对状态机中的特征变量进行测量和统计, 从而判断出网络中存在的各种攻击。

1 SIP消息及基本网络结构

S I P是一个基于文本的协议, 被用来建立或终止两个或多个用户间的会话。它的消息格与HTTP非常相似, 由一系列消息头及相应的取值所组成。例如, “To:user@sip.org”字段指示的是请求消息的目的地址。在RFC3261中还定义了请求消息的方法 (REGISTER, INVITE, ACK, …) 和响应消息的类型 (1xx, 2xx, 3xx, …) , 并将这些信息存放在消息的第一行中。在SIP网络中, 为了定位一些功能实体, 还专门设置了Route, Via, Contact等头字段。

SIP的网络系统结构采用的是C/S的控制方式, 其系统组成结构如图1。按逻辑功能区分, SIP系统由4种元素组成:用户代理、代理服务器、重定向服务器以及注册服务器。

用户代理 (User Agent) 分为两个部分:用户代理客户 (UAC, User Agent Client) , 负责发起呼叫;用户代理服务器 (UAS, User Agent Server) , 负责接受呼叫并做出响应。二者组成用户代理存在于用户终端中。代理服务器 (Proxy Server) , 负责接受用户代理发来的请求, 根据网络策略将请求发给相应的服务器, 并根据收到的应答对用户做出响应。重定向服务器 (Redirect Server) , 接收SIP请求消息后, 将请求消息的地址映射成零个或多个新地址, 并且将这些新地址返回给客户机的服务器。注册服务器 (Registrar) , 用于接收和处理用户端的注册请求, 记录终端的SIP地址 (SIP URL) 和IP地址。

在实际的SIP系统中, 位置服务器 (Lo cat i on Server) 也是需要的, 它可以把各个注册服务器的内容汇总起来, 便于SIP服务器查找。但位置服务器不属于SIP系统的范围, 它是因特网中的公共服务器。

2 SIP对话和事务

在SIP会话环境中, 定义了两个持续一段时间的事件, 即对话和事务。

对话:对话是两个UA之间持续一段时间的点对点的SIP连接, 它使UA之间的消息变得有序, 同时给出请求消息的正确的路由。对话包括一个解释SIP消息的上下文。任何UA上的对话都是对话ID来标识的, 这个对话ID包含一个Call-ID, 一个本地标签和一个远端标签。对话中的每个UA的对话ID是不同的。对话在请求消息得到了明确的非失败的响应之后才被创建。

事务:一个SIP事务由一个单一的请求和对应此请求的任意响应所组成, 这些响应可以包括临时响应或多个响应, 以及最后的一个或多个最终响应。同样, 任何一个对话都由一些独立的事务构成。

SIP是事务型的协议, 事务可分为客户端事务 (CT) 和服务器端事务 (ST) 。客户端事务发送请求, 而服务器端事务发送响应。客户端和服务器端事务都是一种逻辑功能, 包含在任何实现此功能的实体中。两者的事务关系如图2所示。

在RFC3261中, 通过状态机对SIP事务进行了建模。状态机定义了哪些事件是有效的, 以及在发生某个确定的事件时, 状态是如何进行转移的。根据请求的方法类型是否为INVITE, 客户端事务和服务器端事务由各自分为两种不同的类型, 如表1所示。

3 基于SIP事务状态机分析的DoS入侵检测方法

3.1 检测方案中的SIP服务器事务状态机

攻击检测方案的目标是分析高速数据流是否符合拒绝服务攻击的特征, 所以就应该仅针对完全有必要分析的SIP状态来进行建模, 从而节省存储空间。本文只考虑对代理服务器的服务器事务状态机来建模。通过这个模型, 我们能够理解被保护服务器处理每一个收到的SIP消息所进行的操作。同时, 我们也不需要通过对代理服务器的客户端事务建模来获取附加信息, 因为这些客户端事务只会在代理服务器上由已经通过服务器事务处理的接收消息来触发, 并不会影响现阶段的服务器事务。

检测方案中建立的SIP状态机模型严格遵守RFC3261规范中的服务器事务状态机描述, 并且包括了相同的命名原则。在模型中, 也定义了两种状态机 (UAS INVITE状态机和UAS Non-INVITE状态机) , 和总计6种的不同状态。它们分别是空闲状态 (Idle) , 尝试状态 (Trying, 仅针对Non-INVITE请求) , 处理状态 (Proceeding) , 完成状态 (Completed) , 确认状态 (Comfirmed, 仅针对INVITE请求) 和终止状态 (Terminated) 。状态的转移由消息事件 (SIP请求或响应) 和定时器溢出事件 (RFC3261中定义的定时器C, F, H, I和J) 来标识。该状态机的模型示意图参见图3。

由示意图可以看出, 本文由基本的SIP状态机变化建立而来的状态模型更适用于异常检测。首先, 本模型将来自事务用户 (TU) 的2xx答复包含到了各状态的转移流程中。RFC3261定义的INVITE事务服务器状态机中, 如果在Proceeding状态收到TU的2xx答复, 事务则直接迁移到Terminated状态, 不会经过其它状态。如果TU的最终答复不是2xx响应, 必须在Completed状态接收客户端发送的ACK消息。这样就将接收的ACK消息作了2xx响应触发和非2xx响应触发的分类。就本文的攻击检测目的来说, 我们认为这种区分是不必要的。因此, 我们认为每一个ACK消息都是INVITE事务的一部分。

此外, 我们对模型中任意状态都不允许的无效事件进行了构建。例如, 服务器在INVITE事务的Proceeding状态时是不允许ACK请求消息到达的;而在Completed状态时, 表明服务器已经发送了最终响应, 这时不再允许临时响应消息。

3.2 检测方案中的特征测量

在建立好状态机模型之后, 我们就可以对各个状态下收到的消息及相应的代理服务器答复进行设置。随后, 状态机会把被监视的代理服务器内部当前详尽的统计数据传送出来。通过测量不同的数值, 我们就可以得到代理服务器准确的当前数据流量处理图示。我们还将保留不同类型事务 (INVITE或Non-INVITE) 一系列关键的特征值。这些关键特征值包括以下一些数据项;

激活的事务:我们将任意时刻所处理的激活事务进行计数。

激活的响应:代理服务器所要发送的响应类型是描述服务器一般状态的良好线索, 尤其是那些≥3xx的错误响应。将这些响应按类别进行汇总 (1xx, 2xx, 3xx, 4xx, 5xx, 6xx) , 并对每一类的响应数目进行计数。

新事务:我们对过去一段时间内, 代理服务器创建的新事务总量进行测量。在这里, 我们只统计创建的服务器事务数目, 而由代理服务器的客户端事务模块所创建的客户端事务并不在考虑范围之内。每个确定的事务应该有且仅有一种确定的状态转移。通过对新事务和当前激活事务的区分, 我们就能很轻易地检测到到达代理服务器的消息流峰值。

事务终止:一个服务器事务如何被终止也是很重要的一个测量内容。每一个事务都可以通过定时器溢出事件来终止。对于INVITE事务, 我们主要关注定时器C和定时器H;对于非Non-INVITE事务, 我们主要关注定时器F。由于定时器I和定时器J可以看作是任何常规SIP操作的一部分, 所以不必作过多考虑。

状态内事件:在一个确定的事务状态中, 会出现一些不同的事件, 但它们并不影响状态的改变, 这也是需要进行测量的。例如, 我们可以记录代理服务器在INVITE事务中产生第一条1xx临时响应所需要的时间, 以及每个状态内重发的消息数目。同样值得特别关心的还有那些不符合规范的事件, 也就是对SIP状态机无效的事件。例如, 在SIP事务状态机模型中 (如图3所示) , 处于Proceeding状态时收到ACK消息, 处于Completed状态时收到来自TU的1xx答复, 处于Confirmed状态时收到来自TU的非2xx答复和INVITE请求等。

状态转移:只要状态机从某个状态前进到其它的任何一个状态, 我们都需要测量事务在前一个状态里所停留的时间, 并记录是什么事件引起了状态转移。在分析中, Proceeding状态转移到Completed状态的过程, 以及Trying状态转移到Completed状态的过程, 都是特别重要的。由于事务的这两个状态转移过程都是代理服务器的服务器事务TU发出最终答复 (≥200) 的预期动作, 所以需要我们将这些答复按响应的类别进行区分。

3.3 攻击检测

只要将先前的这些统计数据进行汇总, 即使被监控的消息流量从外观上符合SIP规范定义的格式, 状态机也能够检测出异常行为。归纳起来, 前面的测量是基于3个不同层面的考虑, 也就是每一个被监控的消息是否构成攻击都应该从3个不同的范围去评估。

事务层面:在这个范围, 我们主要是对每个单一事务的操作进行跟踪。事务状态机能够跟踪和校验由某个单一事务生成的消息流。由于它所有的状态转移路径都以完整的SIP规范为基础, 所以它能检测每个激活事务中那些违规的行为。这个层面的监控主要是为了检测正在进行的一个事务中那些不必要的消息流。

发送端层面:我们将基于IP地址, 对来自相同设备的所有事务进行评估。如果有一个恶意用户从一个源点发起攻击, 他很可能在一段时间内生成很多不同的事务来增加代理服务器的处理负荷, 因此这种攻击并不能在单一的事务监控层面被识别出来。通过对来自每个单一IP地址的消息的综合统计及评估, 我们就能够检测出这些异常。

全局层面:在对所有最近进行的事务进行统计汇总之后, 就使得我们能够对现有的系统状态进行反馈。当攻击从不同的源点并行发起时, 这个层面的监控就是十分必要的, 最显著的例子便是DDoS攻击。

4 实验结果

为了使改进的状态机模型能够应用实施, 它必须能够访问SIP代理服务器上那些可见的接收到的和发送出的SIP消息, 这可以通过在SIP入口连接处添加一个被动的网络监视实体来实现。另外一种可能的实施方法就是将这个模块直接添加到SIP代理服务器上, 但这会以增加代理服务器负荷为代价。

本文选择了第二种方法, 对NS2仿真环境下的SIP协议补丁的源码进行了修改, 使SIP代理服务器在工作的时候, 能够顺利将上述特征测量值进行统计和记录, 从而采取相应的措施来防御攻击。通过设置多个UA正常节点、UA攻击节点, 以及代理服务器节点, 模拟了SIP网络环境中的Do S攻击, 并得出了表2所示的某一抽样间隔的部分数据统计, 其中, 正常流量为80 MSG/s, 攻击流量为450 MSG/s。结果显示, 该检测方案能较好地对Do S攻击进行检测。

5 结束语

随着VoIP网络逐步大规模商用, 必须对网络协议的安全缺陷有深入清晰的认识, 对存在的安全问题要提出合理有效的解决方案。本文针对SIP系统中的DoS攻击, 提出了基于SIP事务状态机分析的检测方法。实验结果表明, 该方法能较好地检测到一系列洪泛攻击, 同时, 还能检测到其它一些有别于攻击的异常消息。在以后的研究当中, 可以根据SIP系统中另外一些攻击类型对SIP事务状态机作进一步的调整和修改, 使其能够将异常检测和误用检测结合起来, 从而提高攻击检测的准确度。

参考文献

[1]Rosenberg J, Schulzrinne H, Camarillo G.SIP:Session Initiation Protocol IETF, RFC3261, June2002.

[2]Geneiatakis, D., et al.A Framework for Detecting Malformed Messages in SIP Networks.in The14th IEEE Workshop on Local and Metropolitan Area Networks (LANMAN2005) .2005.p.1-5

[3]Chen, E.Y.Detecting DoS attacks on SIP systems.in1st IEEE Workshop on VoIP Management and Security.2006.p.51-56

[4]宗晓飞, 万晓榆, 樊自甫.SIP系统中DoS攻击及防范机制[J].微计算机信息, vol.24, 2008:82-84

DoS 篇9

关键词：Zmap,DoS,扫描,Wireshark,网络安全

随着云计算与大数据时代的到来,网络瞬时状态也变得日益重要,Zmap作为一款非常优秀的探测网络状况的工具应运而生,它缩短了扫描时间,为互联网的研究工作开辟了新的可能性,但是Zmap使用不当很可能会发动Do S恶意攻击行为,致使网络状况变得拥塞,给人们的正常生活带来不便。因此笔者对基于Zmap的Do S攻击进行了分析,并寻找到对抗Do S攻击的方法。

1 Zmap扫描研究①

Nmap因要保证功能的全面性,需要记录所有会话的连接状态,直至会话结束,这在一定程度上造成了主机、网络带宽等资源的浪费,而Zmap则完全是一种“无连接状态”的工具。这个“无连接状态”是指Zmap在扫描时会向网络上的其他主机发出请求,随后立即释放会话连接状态。与此同时,Zmap不需要记录所有请求的列表,而是在发出的数据包中对个别信息进行编码,这样一来Zmap就能对回复数据包进行解析与鉴别。

主机与服务器之间进行TCP连接建立“三次握手”交互的过程中[1],主机需要记录与服务器交互的会话状态。这种状态的记录量随着服务器访问量的增加也会逐步增长,从而占用服务器更多的CPU、内存等资源。为了解决该问题,基于Zmap的扫描略去了3次交互,只进行第一个SYN,然后等待对方回复SYN-ACK,随后立即取消连接,这样会释放连接所占用的CPU等资源。虽然这样会因网络原因丢失一定比例的数据,但根据设计者的实验表明,这个比例仅在2%左右[2]。

Zmap网络扫描的核心是对回复报文的判断。Zmap设计了相应的算法对回复报文进行校验。传统的TCP/IP协议需要记录状态,而Zmap则是将扫描时发送的探测报文的源端信息进行哈希,将其处理保存到源端口和序列号这两个字段中,当接收到回复报文的时候,就可以根据发送端IP、接收端口号、确认号这些字段进行校验,避免了状态存储,更接近网络带宽极限[3]。

2 Do S研究现状

2.1 Do S概况

Denial of Service简称Do S[4],即拒绝服务。Do S攻击指恶意地攻击网络协议的漏洞或直接通过暴力手段耗尽被攻击对象的资源,目的是让目标主机或网络无法提供正常的服务或资源(包括网络带宽、文件系统空间容量、开放的进程或者允许的连接)访问,使目标系统服务系统停止响应甚至崩溃。最常见的Do S攻击有计算机网络带宽攻击和连通性攻击。这种攻击会导致资源的匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。

2.2 常规Do S防御

常规的Do S攻击是重复请求导致过载的拒绝服务攻击。当对资源的重复请求超过资源的支付能力时就会造成拒绝服务攻击(例如,对已经满载的Web服务器进行过多的请求使其过载)。对于这种常规的Do S攻击可以采用如下常规方法进行防御:

a.利用数据包标记的IP追踪技术[5];

b.限制并发的SYN半连接数量并缩短SYN半连接的time out时间;

c.利用负载均衡技术,把不同应用层次的服务分布到不同的服务器,甚至可以分布到不同的地点,这样更为直接地缓解服务器压力;

d.增强服务器的容忍性[6];

e.限制在防火墙外与网络文件共享;

f.限制Do S攻击的使用资源[7]。

3 基于Zmap的Do S攻击实验分析与防御策略

3.1 实验过程

Zmap发起的Do S攻击如下:

zmap-p 80-P 1000000-s 2000-60000-S 20.20.20.0-200.200.200.200-o dest Host.csv

其中,-p表示扫描目标主机的端口号;-P表示扫描时向每个目标主机发包的个数;-s,源主机发送数据包的端口设置;-S,指定发送数据包的IP地址;-o,扫描后得到的结果保存的文件。

执行以上的命令意味着,用20.20.20.0~200.200.200.200这个地址范围内的每个IP作为源地址对网络中的每个IP地址(Zmap黑名单配置文件之外)的80端口发送1 000 000个数据包,并将结果文件保存至dest Host.csv中。其过程如图1所示。

3.2 实验分析

相对于常规的Do S攻击,Zmap发起的Do S攻击具有以下特点:

a.可以伪造不同源IP地址的数据包对目标主机进行攻击。模拟攻击的实验过程中,启动Wireshark[8]进行抓包(图2),Source一列中显示的是源地址是在20.20.20.0~200.200.200.200(这里仅显示了一部分)范围内的IP地址,这说明Zmap可以伪造IP地址对目标主机发起攻击。

b.可以对不同目标主机同时发动Do S攻击。Zmap中的配置文件保存在/etc/zmap/blacklist.conf和/etc/zmap/zmap.conf中,这里可以修改配置文件/etc/zmap/blacklist.conf来达到设置黑名单的功能,即攻击的时候可以对目标主机进行选择。

c.占用源主机的资源很少。Zmap攻击的数据包与常规网络数据包的差别不大,但是当它在与其他主机进行TCP连接时,源主机将不保存连接状态,这使得源主机可以节省更多的资源去发送数据包,加剧这种攻击的破坏性。

d.发送的数据包的MAC地址相同。利用wireshark进行分析,Zmap发出的数据包的MAC地址都是相同的。如图3所示,数据包1的MAC地址(00:0c:29:9c:b6:9a);如图4所示,数据包2的MAC地址也是(00:0c:29:9c:b6:9a)。

图3、4分别表示的是源IP地址为58.87.248.232与58.87.248.233相对目的地址为7.120.108.96建立TCP连接的数据包示意图。从图中可以看出,虽然Zmap可以伪造不同IP地址的数据包,但是其数据包的MAC地址都是相同的,这为今后的防御提供了启发。

3.3 实验结论与防御

基于上文的分析,笔者发现,Zmap发起的Do S攻击都是从一个网卡中发出的。因此,目标主机可以对多对数据包按协议层进行拆分,倘若发现大量数据包里的MAC地址都相同,即使IP地址都是伪造的,也可以断定这是非正常访问,因此可以及时采取策略进行过滤。因此可以得知,对Zmap发起的这种Do S攻击可以通过过滤相同MAC地址的数据包来进行防御:

iptables-A INPUT-m mac--mac-source 00:0c:29:9c:b6:9a-j DROP

这是Linux下对进入网卡的数据包进行过滤的一条防火墙策略,该命令将会把MAC地址为00:0c:29:9c:b6:9a的数据包自动过滤掉。为防止误丢弃数据包的情况,笔者建议,当异常数据包的情况得以遏制时,删除本条防火墙策略。

4 结束语

在详细叙述Zmap的工作原理和模拟发动Do S攻击过程的基础上,对其特点进行分析,提出了过滤相同MAC地址数据包的方法,可通过设置防火墙命令来过滤相同MAC地址的数据包以进行修补和完善。

参考文献

[1]潘兆楠.Profibus与Modbus总线协议转换的研究与应用[J].化工机械,2015,42(1):151~153.

[2]Heidemann J,Pradkin Y,Govindan R,et al.Census and Survey of the Visible Internet[C].Proceedings of the 8th ACM SIGCOMM Conference on Internet Measurement.New York:IMC,2008:169~182.

[3]Black J,Halevi S,Krawczyk H,et al.UMAC:Fast and Secure Message Authentication[C].19th Annual International Cryptology Conference.California:CRYPTO,1999:216~233.

[4]刘昭斌,刘文芝,魏俊颖.基于INTRANET的入侵防御系统模型的研究[J].化工自动化及仪表,2006,33(2):45~48.

[5]李渊.防御拒绝服务攻击的路径标识技术研究[D].宁波:宁波大学,2009.

[6]汤明亮.面向Do S攻击的路由回溯技术研究[D].长沙:国防科学技术大学,2008.

[7]殷勤.防御拒绝服务攻击的网络安全机制研究[D].上海:上海交通大学,2006.

DoS 篇10

软件定义网络(Software Defined Networking ,SDN)[1]是一种控制平面和数据平面解耦的、可实现网络编程的创新网络体系架构。 目前已有很多企业进行了SDN实践。但SDN带来了网络架构方面革新的同时, 也为安全防护体系带来了挑战, 例如拒绝服务攻击、 非法接入访问等。 本文就SDN构架下Do S/DDo S攻击检测给出一组解决办法,综合运用信息安全中异常检测和误用检测两种思想,提出一种基于SDN的防御体系。

1 相关工作

肖佩瑶等[2]提出基于路由的检测算法, 但当随机流发出时, 控制器为每个流做出转发路径分析, 下发流表项,影响了控制器的性能。

刘勇等[3]通过对攻击发生时网络流量变化特性进行分析,提出基于流量波动的检测算法。 但在传统网络构架下,分散而封闭的控制平面并不能实时阻断异常流量。

左青云等[4]对文献[5] 进行了改进, 在主成分分析法( Principal Components Analysis , PCA ) 分析时加入了异常流量特征熵,大幅降低了误报率。 但目前没有控制器提供IP对的查询API , 所以要大量查询流表项, 在检验算法中进行统计。 IP数量非常多时,算法用时将不可容忍。

本文针对上述文献的不足提出了改进办法, 在探索源地址验证方面, 通过控制器与Open Flow交换机的信息交互实现了源地址验证,总体设计更加简单。 通过将Do S/DDo S检测算法与SDN技术相结合应用于网络接入层, 增加了添加流表项功能, 可实时地对异常端口进行转发限制。 PCA是分析异常流量的一种重要方法,本文提出其针对链路流量异常的检测判断,算法用时大幅下降。

2 体系架构设计

面对形式越来越多的Do S/DDo S攻击, 以往仅通过单一方法检测攻击的方式已经无法达到良好的检测效果, 本文综合多项检测方法并形成防御体系, 其架构如图1 所示。 伪造源IP地址是最常用的手段,所以第一道防线为源IP防伪,IP防伪模块通过接收到的数据报文为每个交换机端口设置动态的IP绑定,防止伪造IP包攻击。 若傀儡机发送大量使用真实源IP的数据包,会被第二道防线 ——— 接入层异常检测所过滤,信息查询模块通过Open Flow协议获取到交换机统计信息, 接入层检测通过API获取到端口流量信息进行算法检验。 若异常则通过静态流表插入模块对交换机特定端口施行转发限制。只有攻击流量以趋近于正常的速度发送数据包会通过检测。 在第三道防线 ——— 链路流量异常检测中, 用API获取到的整个网络信息进行算法检验,做出异常判断。

3 Do S / DDo S攻击检测与防御方法

3 . 1 源IP防伪

3.1.1设计思想

在DDo S攻击中按攻击源地址分为真实源地址和伪造源地址, 伪造源地址会使得多种放大攻击成为可能,并使攻击定位变得困难。 在SDN构架下控制器对每台交换机统一管理, 可以利用此优势, 动态实现接口与IP的绑定。

3 . 1 . 2 设计描述

获取IP地址的途径有两种:使用DHCP服务或配置静态IP。首先在控制器启动时向交换机各端口插入将数据发往控制器的流表项,以保证对其监控,然后分别处理两种获取IP的方式。

( 1 ) DHCP : 客户端通过DHCP ACK获取到IP地址记为S, 删除发往控制器的流表项, 同时下发交换机目标端口仅允许S源地址通过的流表项。

( 2 ) 静态IP : 控制器中设置了两个域, 一个为端口控制域,存储已经被管控的端口;另一个是交换机连接域,存储交换机相连接的端口, 不对这部分端口进行绑定。当数据包从某一接入端口发送到控制器进行解析时,分析源地址S, 删除发往控制器流表项, 并下发此端口仅允许S源地址通过的流表项。

当客户端发送DHCP Release或交换机端口失去连接时,删除上述防伪流表项。 重新插入此端口发往控制器的流表项,恢复到初始状态。

3 . 2 接入层网络异常流量检测

3 . 2 . 1 设计思想

Do S / DDo S攻击时的流量特征是在一段时间内突然增大,且趋于平稳。 因此采用差分方差变化率为测量在接入层检测异常流量。 利用控制器提供的API下发异常端口的限制流表项,做到异常流量的防御。

3 . 2 . 2 差分方差优势与计算

流量波动性是衡量攻击的一个重要的指标, 概率论中方差描述了数据整体的波动性,而所需要的是数据相对的、 局部的波动情况, 所以差分方差能更好地反映流量的波动情况。 由于算法是动态检测的,所以各个统计量均依靠前一周期的计算结果。 假设在t时刻, 原始流量为C(t),流量的整体均值为(t)。 如式(1)所示:

Diffc ( t )为t时刻的差分值,如式(2):

t时刻的差分方差如式( 3 ) 所示:

使用隶属函数u(t) 来衡量t时刻流量是否异常, 如式(4)所示:

3 . 2 . 3 攻击判断与流表下发

根据隶属函数u(t)的值,做出是否执行算法的判断。若u(t)=0,则认为攻击未发生, 若u(t)=1, 则认为发生攻击,以上两种情况不执行算法。 当0<u(t)<1 时, 执行算法判定攻击。 定义常量c为阈值,代表能容忍的流量上限,变量s代表具有攻击特征的流量可以连续出现的周期数,变量a代表具有攻击特征的流量已经持续的周期数。 当u(t)持续大于0 时,每次执行算法都会使a增1,用当前周期与上一周期的差分方差比较,决定此周期攻击强度A(t)。 若A(t)≥A(t-1)与a≥s同时发生,则判定发生攻击, 通过控制器提供的API下发流表项, 阻断攻击流量;否则,暂不确定攻击是否发生,进入下一次循环判断。

3 . 3 链路异常流量检测

3 . 3 . 1 设计思想

如果傀儡机采用接近正常的发包速率, 就会让接入层检测模块陷入沉默,但攻击流量会在到达目标链路前逐渐汇集,因此采用了通过流量矩阵来统计网络流量的方法。 使用主成分分析法对数据进行处理,并且计算动态阈值,判断是否存在异常。 相比于IP流量对, 物理链路相对稳定,数据统计简单,不会出现大量误报,且执行速度大幅增加。

3 . 3 . 2 主成分分析法异常检测

流量矩阵:每个Open Flow交换机之间的链路流量称为SS对。 流量矩阵X为t×p维的矩阵,常量t是样本数量, 变量p为SS对数量,Xij表示第i个样本、 第j个SS对的流量大小。

对于t×p维流量矩阵X应用主成分分析方法计算特征值与特征向量,使前k个主成分特征值和达到所有主成分特征值和的85%,前k个主成分特征向量构成正常子空间s, 剩余的p-k个主成分特征向量则构成异常子空间s′。 将流量矩阵X向这两个子空间进行投影。 正常子空间s中的k个特征向量组成的矩阵记为P, 矩阵各列的平均值组成向量记为x。 设x在正常子空间的投影为模型流量x′ , 在异常子空间的投影为残差流量x″ ,如式(5)所示:

剩余的p-k个主成分特征值可以使用文献[6] 的方法计算动态阈值,如式(6)所示:

α 常取0 . 001 , Cα 为标准正态分布中1 - α 分位数。

h0为历史数据的相对权重,如式(7)所示:

θi如式(8)所示,λj为第j大特征值:

采用滑动窗口机制更新流量矩阵, 正常时模型流量与残差流量大致不变, 当出现异常时, 残差流量会发生巨大的变化,残差流量变化值如式(9)所示:

当 △d2>Qα时,则报警。

4 实验及结果分析

4 . 1 实验环境说明

实验使用mininet[7]进行模拟,floodlight控制器进行网络信息的获取与流表项的下发, 利用hping测试软件进行模拟攻击实验。 图2 为实验拓扑图,实验测试时长1 000 s , 具体测试详见表1 攻击说明。

4 . 2 测试结果说明

4 . 2 . 1 源IP防伪测试结果

源IP防伪属于功能检验, 防伪率100% , 图3 为统计结果。 在测试实验的200 s和800 s注入了伪造源IP的攻击流量, 攻击结果被实时体现出来。

4 . 2 . 2 接入层异常检测测试结果

接入层检测当收到不失一般性的流量攻击时, 会触发报警下发流表,结果如图4 所示。 图4(a)为该接入端口接收到的数据包数,图4(b)为此端口实际转发的数据包数。 在流量正常时,接收即转发,所以图4(a)与图4(b)无差别。 在第300 s与500 s时注入攻击流量,发生报警时,对端口进行限制,图4(b)中转发流量大幅下降,表明对攻击行为做出了防御动作,将异常流量封锁在网络外。

4 . 2 . 3 链路流量异常检测的测试结果

趋近正常速率发送数据包的主机会被接入层检测漏检,此时链路层流量检测就会起到作用,如图5 所示,为保证不过分消耗控制器资源, 每10 s执行一次算法。在400 s和650 s注入了DDo S攻击流量, 流量残差值的变化突然增大超过依靠上一个检测周期计算出的阈值,发生报警。 但攻击流量会造成流量矩阵的混乱,可能会发生可预知的误报,总误报率约5%。

5 总结