51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

云计算做数据包分析防御DDOS攻击

作者:康竟淞/译
安全 黑客攻防
在云计算环境,云主机提供被请求的云服务,有时在收到大量的请求时可能崩溃。这就是发生了拒绝服务(DoS)攻击。它放正常用户不能正常访问。DoS攻击通常采用IP欺骗的手法用来隐藏真正的攻击源,同时使得攻击源地址看起来都不相同。

在云计算环境,云主机提供被请求的云服务,有时在收到大量的请求时可能崩溃。这就是发生了拒绝服务(DoS)攻击。它放正常用户不能正常访问。DoS攻击通常采用IP欺骗的手法用来隐藏真正的攻击源,同时使得攻击源地址看起来都不相同。

本文中我们提供了一个在云计算环境下防御DDoS攻击的方法,这个新的跳数统计过滤的方法提供了一个在云计算环境下的独立网络 ,可以容易的的防止DoS的解决方案。这个方法也能够降低正常用户云服务的不可用率,降低更新的数量,节省了计算时间。该方法模拟了CloudSim Toolkit环境和相应的产生的结果。

一、介绍

云计算被定义为一种新型的计算形式,以可以动态扩展的虚拟资源在互联网上提供服务。高级的云计算技术包括了,节省消耗,高可用和可扩展的特性。

DoS 攻击不在于通过修改数据获得非法访问,而是希望使目标的服务或者整个网络崩溃,或者是扰乱正常用户的访问。DoS攻击能在一个源或者多个源发起。多个源的攻击被称为分布式拒绝服务攻击(DDoS)。

当操作系统注意到某个服务的工作负载较高,它将分配更多的计算资源来应付增加的负载。攻击者可以淹没一个单点的,系统基础的地址来达到使目标服务的全不可用目的。这些攻击者比较典型的手法就是洪水攻击,基本是由攻击者发起大量的无意义的报文给某一确定的在云上面开放的服务。每一个请求都会被服务去处理以验证是否为合法请求,这就使得每个共计请求都会占用一定量的工作负载。在洪水般的攻击下通常会造成服务器的拒绝服务。

二、跳数计算

虽然跳数信息没有直接存储在IP头中,但它可以试用TTL字段计算出来。TTL在IP头中是一个8位的字段,起初是用来指定互联网上每个报的最大生命周期的。每个中间的路由器会把经过它的IP包在转发到下一跳前把TTL值减一。

A.提取最终的TTL值

当一个数据包到达目的地址提取TTL字段值的时候,这个值被称为最终TTL值。跳数统计的挑战在于在目的地址只能看到最终TTL值。如果所有的操作系统都是用相同的TTL初始值的将会很简单,但实际他们并没有再初始TTL值上达成共识。另外,由于操作系统对于给定的IP地址可能会随时改变,我们就不能假设每个IP地址都使用一个不变的TTL初始值。

B.研究TTL的初始值

根据以上得出,大多数现代的操作系统只选择使用几种初始TTL值,如 30,32,60,64,128和255.只有很少的互联网主机会被分割超过30跳以上,因此我们可以初步判定数据包的初始TTL值为在以上集合总大于最终TTL值的最小数值。

例如,如果最终TTL值为112,那么在可能的128和255中选择最小的是128为初始值。这样给出最终的TTL值就能够找到初始的TTL值。初始TTL值可以由以下方法计算得出:

Initial TTL=32 if final TTL <=32
Initial TTL =64 if 32<final TTL<=64
Initial TTL =128 if 64<final TTL <=128
Initial TTL =255 if 128<final TTL <=255

C.IP2HC表

IP2HC表是一个在数据包源IP地址和这个IP的跳数做映射的表。这是一个以源IP地址为索引来匹配跳数信息。

三、防止DoS攻击的算法

该算法使用跳数过滤机制,并且提供了一个在云计算环境中执行的明确思想。

这个算法需要在云上连续的监控通过网络的数据包,然后我们从监控到的TCP/IP包中提取出SYN标识、TTL值和源IP信息。该算法识别每个捕获的包的四元组的整个操作如下,

如果SYN标识被设置,并且源IP地址在IP2HC表中存在,然后试用IP包的TTL值计算跳数。现在检查跳数是否和存储的跳数是否一致,如果不一致就更新这个IP地址对应的跳数字段的值。

如果SYN标识被设置但是源IP地址在IP2HC表中不存在,那么就计算跳数,然后把源IP地址和对应的跳数作为新的条目添加到该表中。

如果SYN标识没有被设置,并且IP地址存在于IP2HC表中,那么就计算跳数。如果跳数与IP2HC表中存储的对应跳数不符,那么可以判定这个包是虚假的或者这个包是非法的。

如果SYN标识没有被设置并且源IP地址不存在于IP2HC表中,这意味着这个包是虚假的,因为每个合法的IP地址都有一个可用的TCP连接信息记录在IP2HC表中的。

这个检测算法提取去了每个IP包的源IP地址和最终TTL值。算法用推测出初始的TTL值减去最终的TTL值来获得中间的跳数。源IP地址作为表的索引检索这个IP地址的正确跳数。如果某个数据包计算跳数和表中的匹配,这个包为可信的,反之这个包就比较像是虚假的。

算法-1

参考下面的标识:

synflag = Syn bit of TCP packet.
mcount =malicious packet counter.
Tf= final value of TTL.
Ti=initial value of TTL.

伪代码如下:

  1. For each packet  
  2. Set TTL = ExtractFinalValueOfTTL( );  
  3. //get time-to-leave field of IP packet  
  4. Set srcIp = ExtractSourceIP( );  
  5. //get source IP address from IP packet  
  6. Set synflag = ExtractSynBit( );  
  7. //get Syn flag value from TCP packet  
  8. If (synflag is set)  
  9. {  
  10. If (establish_tcp_connection( ))  
  11. //true when connection established  
  12. {  
  13. If ( srcIp is exist in IP2HC table )  
  14. {  
  15. ComputePacket ( srcIp , TTL , synflag);  
  16. // function call which filter the spoofed  
  17. Packet  
  18. }  
  19. else //new connection packet  
  20. {  
  21. Hc=ComputeHopCount( TTL );  
  22. //get hop-count value  
  23. NewEntryInTable(srcIp,Hc);  
  24. //Add entry into IP2HC table  
  25. }  
  26. }  
  27. else  
  28. {  
  29. // ignore packet  
  30. }  
  31. }  
  32. else //synflag is not set  
  33. {  
  34. If ( srcIp exist in IP2HC Table)  
  35. {  
  36. ComputePacket ( srcIp , TTL, synflag );  
  37. // function call which filter the spoofed  
  38. packet  
  39. }  
  40. else  
  41. {  
  42. ‘drop the packet’ //Packet is spoofed  
  43. mcount++; // increment in malicious  
  44. packet by 1  
  45. }  
  46. }  
  47. ComputePacket ( string srcIp , int Tf , boolean  
  48. synflag)  
  49. {  
  50. Hc=ComputeHopCount( Tf ); //get hop-count  
  51. value  
  52. Hs=RetreiveStoredHopCount(srcIp);  
  53. //get stored hop-count value  
  54. If ( Hc != Hs )  
  55. {  
  56. if( synflag is set)  
  57. {  
  58. UpdateTable ( srcIp , Hc);  
  59. //update hop-count value in IP2HC  
  60. table  
  61. }  
  62. else  
  63. {  
  64. ‘drop the packet’ //Packet is spoofed  
  65. mcount++;  
  66. // increment in malicious packet by 1  
  67. }  
  68. }  
  69. else  
  70. {  
  71. ‘allow the packet’ // packet is legitimate  
  72. }  
  73. }  
  74. int ComputeHopCount( int Tf )  
  75. {  
  76. Set TiInvestigateInitialTTL(Tf);  
  77. return Ti - Tf; //return hop-count value  

四、模拟结果

我们在CloudSim Toolkit上模拟我们的算法,在云主机上已经到达了1000 pps。实验结果见表1,其中包括了包的SYN标识(Syn)和源IP地址(Src)的各种情况,Syn=0表示SYN 标识没有被设置,Syn=1表示SYN标识已经被设置。同样Src标识当前源IP地址是否在IP2HC表中。Src=0表示条目不存在,Src=1表示条目存在。

第一个实验包括了580(337+243,见表1)个恶意包,和173个新条目,并且只有83个条目被更新。相反,需要在表中需要被更新的包是130(Syn=1且Src=1)。所以有效包的(实际上已缩减)是47个(130-83)。总共缩减在表中更新数是30.15%(总共允许的报数/所有包数),这比常规的方法改善了很多。

云计算做数据包分析防御DDOS攻击

在对模拟样本输入到达率为‘A’的计算时间的各种结果进行了分析汇总为表2。

云计算做数据包分析防御DDOS攻击

表2:样本输入

图3中展示了我们提出的方法可能节省的计算时间,在2,3,4的用样本里趋势有变化。样本2需要更多的时间,样本3和4因为依赖于接收包的字段。计算时间是云网络性能衡量的相关因素。它提高了云主机的处理能力,可用资源损失达到最小化。

云计算做数据包分析防御DDOS攻击

图3:计算时间

五、结论

云计算越来越流行,但是随着云的广泛使用,其安全问题也越来越明显。一个运安全的主要的威胁是分布式拒绝服务攻击(DDoS)或者是更为简单的拒绝服务攻击(DoS)。提高资源的可用率,是很有必要提供一种防御DDoS攻击的机制。其中一种防御方法就是跳数过滤方法(HCF)。本文展示了一个版本的跳数统计方法,不只是检测恶意数据包也包括了更新IP的跳数表的机制。通过分析TCP协议的SYN标识减少了更新次数,也就节省了计算时间。

原文地址:http://irnet.sg/irnet_journal/journal/IJCSEE/IJCSEE_Vol1Iss1/06.pdf

责任编辑:蓝雨泪 来源: FreebuF
DDoS攻击DDoS拒绝服务攻击
相关推荐
史上大型DDoS攻击:每秒5亿个数据包
分布式拒绝服务攻击(DDoS)无需占用太多带宽即可产生破坏效果,且很难缓解。

2019-02-13 11:07:17

浅谈DDos攻击攻击防御
在前几天,我们运营的某网站遭受了一次ddos攻击,我们的网站是一个公益性质的网站,为各个厂商和白帽子之间搭建一个平台以传递安全问题等信息,我们并不清楚因为什么原因会遭遇这种无耻的攻击。

2012-11-30 14:54:48

浅谈Ddos攻击防御
在前几天,我们运营的某网站遭受了一次ddos攻击,我们的网站是一个公益性质的网站,为各个厂商和白帽子之间搭建一个平台以传递安全问题等信息,我们并不清楚因为什么原因会遭遇这种无耻的攻击。

2012-02-14 09:43:08

DDoS攻击难以防御
明显迹象表明,黑客组织在针对Visa和MasterCard网站的DDoS攻击使用了名为LOIC的攻击程序。

2011-03-01 10:52:15

DDoS平均每秒数据包率和攻击带宽率激增
根据分布式拒绝服务(DDoS)防护服务厂商ProlexicTechnologies近日发布的《全球DDoS攻击季度报告》显示,在2013年第二季度,平均每秒数据包(pps)率达到47.4Mpps,而平均攻击带宽达到49.24Gbps。与2012年第二季度相比,这两个指标分别同比增长1655%和925%。

2013-07-22 14:43:35

低成本防御网站 DDOS 攻击
传统的DDOS防御通常使用“硬抗”的方式,导致开销很大,而且有时效果并不好。例如使用DNS切换故障IP的方案,由于域名会受到缓存等因素的影响通常有分钟级延时,前端难以快速生效。

2021-12-21 23:21:16

DDOS防御安全
深入浅出DDoS攻击防御应对篇:DDoS防御方案
谈到DDoS防御,首先就是要知道到底遭受了多大的攻击。这个问题看似简单,实际上却有很多不为人知的细节在里面。

2012-11-30 15:23:32

DDoS攻击说不! 看企业如何防御DDoS攻击
本文将主要探讨如何减小DDoS攻击的发生率和破坏力,以及如何结合使用内部和基于云的DDoS缓解控制措施,尽量减小日益复杂的DDoS攻击对企业业务造成的干扰和破坏。

2015-07-23 10:18:45

如何防御DDoS数据中心的攻击
ArborNetworks公司的DarrenAnstee详细介绍了越来越严重的分布式拒绝服务(DDoS)威胁,并且建议数据中心的管理人员如何着手构建一种采用多层次防御的解决方案,以应对DDoS威胁。

2011-09-27 13:31:17

浅析企业DDoS攻击防御战略
DDOS攻击导致IP网络整体服务质量下降,已经严重威胁到网通IP网络优质的品牌形象,因此在电信运营商的城域网和IDC层面上开展对DoSDDOS等攻击的防范具有必要性,通过DDoS攻击防御战略进行安全防范、为用户提供稳定可靠的网络服务。

2010-09-27 08:46:53

浅谈 JavaScript DDoS 攻击原理与防御
分布式拒绝服务攻击(DDoS)攻击是一种针对网站发起的最古老最普遍的攻击。NickSullivan是网站加速和安全服务提供商CloudFlare的一名系统工程师。近日,他撰文介绍了攻击者如何利用恶意网站、服务器劫持和中间人攻击发起DDoS攻击,并说明了如何使用HTTPS以及即将到来的名为“子资源一致性(SubresourceIntegrity,简称SRI)”的Web新技术保护网站免受攻击。

2015-05-18 13:51:08

看思科防御DDOS攻击的思路
面对日益复杂的网络环境,各种潜在的安全问题以及不诡的而已攻击,让我们的网络随时处在一个危险之地,在信息时代的今天,保证服务器稳定高效率的运转和防控这些恶意攻击使网管们焦头烂额。

2010-09-16 20:54:21

计算DDos风波:大流量云端攻击
云服务的增多在为用户带来了便利的同时,也在安全方面也带来了两个方面的变化,1客户端轻量化。客户端原本的计算任务,大幅度向云端转移,云端的流量会越来越大,这将会被大流量DDoS攻击所利用;2环境复杂化。随着业务环境虚拟化,从业务更加灵活多变到运维管理,其中不断产生新的不确定性,都可能为新的DDoS攻击形式创造机会。

2015-09-16 14:52:55

何为DDoS攻击DDoS防御的11种方针详解
对于遭受DDOS攻击的情况是让人很尴尬的,如果我们有良好的DDoS防御方法,那么很多问题就将迎刃而解,我们来看看我们有哪些常用的有效地方法来做好DDoS防御呢。

2018-07-12 07:21:34

深入浅出DDoS攻击防御敌情篇:DDoS攻击原理
DDoS(DistributedDenialofService,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击之一。

2012-11-30 15:37:10

都在说计算、大数据,那么究竟什么才算做计算
“云”具有相当的规模,Google云计算已经拥有100多万台服务器,Amazon、IBM、微软、Yahoo等的“云”均拥有几十万台服务器。企业私有云一般拥有数百上千台服务器。“云”能赋予用户前所未有的计算能力。

2018-04-12 16:46:24

云计算虚拟化服务
DDoS防御进入“”清洗阶段
由于企业向云计算模式转移的步伐越来越快,数据中心作为大量虚拟数据的存储地,已经成为DDoS的重要攻击目标,这种单点攻击所产生的危害程度远远大于那些直接受攻击对象。

2010-03-17 17:08:57

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服