返回
防御ddos攻击的实时监测模型

防御ddos攻击的实时监测模型

ID:24729017

大小:61.50 KB

页数:11页

时间:2018-11-10

防御ddos攻击的实时监测模型_第1页
防御ddos攻击的实时监测模型_第2页
防御ddos攻击的实时监测模型_第3页
防御ddos攻击的实时监测模型_第4页
防御ddos攻击的实时监测模型_第5页
资源描述:

《防御ddos攻击的实时监测模型》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、防御DDoS攻击的实时监测模型摘要拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)已经成为网络安全最大的威胁之一,如何防御DDoS攻击是当前人们关注的热点。然而目前的防御机制几乎没有实现DDoS攻击的实时监测。阐述了一种基于径向基函数的神经网络的实时监测模型,能够实时监测出DDoS攻击,不用增加网络流量,而且可以监测出目前所存在的所有类型的DDoS攻击。关键词分布式拒绝服务攻击;DDoS;监测模型;实时1前言随着Inter的应用越来越广泛,随之而来的网络安全问题成了Inter发展的主要障碍,特别是分布式拒绝服务攻击对因特网构成了巨大的威胁。目前,由于黑客

2、采用DDoS攻击成功地攻击了几个著名的网站,如雅虎、微软以及SCO,mazon.、ebuy、N.、BUY.、ZDNet、Excite.等国外知名网站,致使网络服务中断了数小时,造成的经济损失达数百万美元。DDoS攻击由于破坏性大,而且难于防御,因此它已经引起了全世界的广泛关注。阐述的DDoS实时监测模型,能够快速监测出主机或服务器是否在遭受DDoS攻击,如果监测出突然增加的数据流是攻击流的话,能够快速给网络管理员发出警报,采取措施从而减轻DDoS攻击所带来的危害。2DoS攻击原理2.1DoS攻击概念与原理安全FAQ[1]给DoS攻击下的定义为:有计划的破坏一台

3、计算机或者网络,使得其不能够提供正常服务的攻击。DoS攻击发生在访问一台计算机时,或者网络资源被有意的封锁或者降级时。这类攻击不需要直接或者永久的破坏数据,但是它们故意破坏资源的可用性。最普通的DoS攻击的目标是计算机网络带宽或者是网络的连通性。带宽攻击是用很大的流量来淹没可用的网络资源,从而合法用户的请求得不到响应,导致可用性下降。网络连通性攻击是用大量的连接请求来耗尽计算机可用的操作系统资源,导致计算机不能够再处理正常的用户请求。2.2DDoS攻击的概念与原理安全FAQ[1]给DDoS攻击下的定义是:DDoS攻击是用很多计算机发起协作性的DOS攻击来攻击一

4、个或者多个目标。用客户端/服务器模式,DDoS攻击的攻击者能够获得很好的效果,远比用多个单一的DOS攻击合起来的效果要好的多。它们利用很多有漏洞的计算机作为攻击平台和帮凶来进行攻击。DDoS攻击是最先进的DOS攻击形式,它区别于其它攻击形式是它可以在Inter进行分布式的配置,从而加强了攻击的能力给网络以致命的打击。DDoS攻击从来不试图去破坏受害者的系统,因此使得常规的安全防御机制对它来说是无效。DDoS攻击的主要目的是对受害者的机器产生破坏,从而影响合法用户的请求。DDoS攻击原理如图1所示。图1DDoS攻击原理图从图1可以看出,一个比较完善的DDoS攻击

5、体系包括以下四种角色:(1)攻击者:指黑客所用的机器,也叫做攻击主控台。它控制着整个攻击过程,向主控端发送攻击命令。(2)主控端:是攻击者非法侵入并控制的一些机器,这些主机则控制大量的代理攻击主机。并在这些主控端上面安装特定的程序,以便使它可以接受攻击者发来的特殊命令,并且能够把这些命令发送到代理攻击端主机上。(3)代理攻击端:同样也是攻击者侵入并控制的一批主机,其上面运行攻击程序,接受和运行主控端发来的命令。代理攻击端主机是攻击的执行者,真正的向受害者主机发送攻击。(4)受害者:被攻击的目标主机或者服务器。为了发起DDoS攻击,攻击者首先在互联网上扫描出有漏

6、洞的主机,然后进入系统后在并在上面安装后门程序。接着在攻击者入侵的主机上安装攻击程序,其中的一部份主机充当攻击的主控端,另一部份则充当攻击的代理攻击端。最后各部分主机在攻击者操作下对攻击目标发起攻击。因为攻击者在幕后操纵,所以在攻击时攻击者不会受到监控系统的跟踪,攻击者的身份更不易被发现。2.3DDoS攻击的工具Trinoo[2]是第一个分布很广的DDoS攻击工具而且应用也很广泛。Trinoo[3]是一个消耗带宽的攻击工具,用一个或者多个IP地址来发起协作性的UDP洪水攻击。攻击用同样大小的UDP数据包,攻击的目标是受害机器上的随机端口。早期版本的Trinoo

7、支持源IP地址欺骗。典型的是,Trinoo代理安装在能够使得远端的缓冲区溢出的系统上。软件中的这个漏洞允许攻击者用受害者系统的二级缓存来进行远端编辑和安转运行代理。操作者用UDP或者TCP来和代理端进行通信,因此入侵检测系统只能通过对UDP流量进行嗅探才能够发现它们。这个通道能够加密而且密码也可以受到保护。然而当前的密码不是以加密的方式传送,因此它可以被嗅探,或者被检测出来。现在的Trinoo工具没有提供源IP地址欺骗,因此它的攻击能力可以进一步扩展。TribeFloodNeturf,UDP洪水攻击,TCPSYN洪水,ICMP回复请求洪水攻击和ICMP定向广播

8、。TFN2K[5]是一种基于TFN结构

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。