DDOS Detection Method Based on Flow Control
　　WEI Hui-gen
　　（Shaoxing Vocational & Technology College, Shaoxing 312000, China）
　　Abstract: Describe the steps of DDoS attacks and attack characteristics,On this basis, a detailed analysis of the most popular DDoS attacks TCP SYN Flood Attacks,According to the principle put forward a real-time identification of DDoS attack detection and prevention systems framework and system processes,Provide a reference for research DDoS attack defense strategy.
　　Key words: DDoS; Router; TCP SYN Flood
　　随着科技发展，以网络为主要核心的信息技术日趋重要，尤其是因特网（Internet）在全球的快速普及，电子商务与电子政务等需要因特网技术的兴起大环境下，网络安全问题逐渐变得非常严峻，大规模网络攻击行为经常发生，所引发的网络安全问题越来越具有广泛的影响。而在因特网上最为严重的威胁之一就是分布式拒绝服务攻击（DDoS），是在拒绝服务攻击（DoS）基础上发展起来的。DDoS攻击的特点是发起很容易但追踪却很难，导致了DDoS攻击的广泛发生。国外许多非常著名和大型的网站都遭受过DDoS攻击，如CNN.com、Yahoo.com、Buy.corn等众多网站在2000年相继受到黑客发起的DDoS攻击，系统不正常运行且瘫痪了几十个小时，造成高达12亿美元的经济损失，由于黑客身份不明并且由于DDoS攻击的特点而无法追踪。因为DDoS黑客工具，如xdos、HGOD、TFN以及它们的一些改进版本（如TFN2k）的泛滥，以及工具针对网络协议层的漏洞暂时无法弥补的原因，DDoS攻击成了目前使用最广、最难防范的攻击方式之一。
　　DDoS攻击实施的三个主要步骤：1)攻击者必须先使用黑客技术控制大量“肉机”（被黑客远程控制的电脑），组成僵尸网络阵列；2)攻击者发出攻击命令给僵尸网络中的“肉机”；3)“肉机”向受攻击的主机发起由黑客发布的DDoS攻击。这时，僵尸网络将逐渐加大攻击流量。由于流量不断增加导致受攻击的主机因内存溢出或网络一时瘫痪而不能正常运作。DDoS攻击作为一种非常有效的网络攻击，主要的特点有以下3点：1)攻击源IP地理分布非常分散不集中而且数量非常大，但是每个攻击源的攻击速率却非常小；2)攻击时的流量常被伪装成合法的流量，攻击隐蔽性强，不易分辨；3)攻击源主要由僵尸网络的真实IP地址发起，很难查到真正攻击者的位置。
　　DDoS检测响应主要分为源端响应、中间网络响应和受攻击端响应3种[2]。由于DDoS的危害性很大，国内外许多学者对DDoS的攻击和防御做了大量的研究。源端响应是在发起攻击的源端进行检测，用以区别和过滤攻击流量，在网络攻击的早些时候发现攻击行为，以尽量减轻DDoS攻击的效果为目的，Savage[3]等人提出了包标记法，当网络攻击发生的时候，受到攻击的主机能及时收集分析数据包内的路径信息，而后重建出攻击数据包经过的有效路径；中间网络响应是指在中间网络设备硬件层，比如路由器或交换机上安置检测与防御机制，以便在发现网络攻击时沿首反方向路径查找网络攻击源头，胡小新等人提出的一种防御方法[4]，这是一种在局部范围内尽量消除DDoS攻击效果的综合方法；受攻击端响应是指在被攻击的主机或网络上进行检测和防御。
　　TCP SYN flood大流量攻击、DNS大流量攻击和Smurf攻击是DDoS攻击的三大主要方法，其中，80%为TCP SYN flood大流量攻击[5]。该文鉴于DDoS攻击的步骤和特点，以受攻击主机的数据流量作为检测对象，在对TCP SYN Flood攻击原理分析的基础上，设计并且实现了一个即时识别DDoS攻击的检查和测试并且还能防御的系统方案。
　　1 TCP SYN flood攻击原理
　　TCP SYN flood是很常见的一种拒绝服务（DoS）攻击，它是主要是针对TCP协议的三次握手机制进行的，这个机制承在一定缺陷，可使服务器资源很快耗尽导致服务器瘫痪而无法正常工作，因而无法正常为用户提供服务，造成的危害非常大。TCP SYN flood攻击过程如图1所示，过程如下：1)客户机先向服务器发出SYN数据包，请求建立连接；2)服务器应答SYN/ACK指令的同时还需要为此连接分配一定的内存空间；3)服务器向客户机发出SYN／ACK响应指令，等待客户机的回应；4)客户机为了躲避被服务器追踪，利用服务器并不检查数据包的源IP地址是否真实有效的特征，也不会去检查所发请求数据包的源IP地址采用的是随机产生的模拟地址；5)服务器一直无法等到客户机的响应而处于半连接状态，直至连接超时。由此可见TCP SYN Flood攻击不仅需要消耗CPU资源，还需要占用非常大的存储空间，如果客户机在非常短的时间内向服务器发送巨量这种带有虚拟源IP地址的连接，服务器因为资源消耗殆尽而很快进入非正常工作状态直到瘫痪。
　　2 DDoS攻击防御模型
　　分布式拒绝服务攻击通过大量已经被攻击者控制的主机同时向目标主机发起DoS攻击，来迅速耗尽网络和系统资料。这些来自很多且不同的地方汇聚起来巨大威力的拒绝服务(DoS)攻击，以目前的预防、检测和源端追踪技术是非常难以奏效的。把检测系统位于受害者主机附近，使得攻击防御更加简单，因为只要监控所有和受攻击者相关的数据包流就可以了。因为攻击数据流量是可以简单模仿正常数据流量的，所以准确来区别开攻击流量和正常数据流量已经成为了防御的关键，但问题是如何进行？由于TCP SYN flood攻击主要是利用TCP/IP协议的漏洞进行攻击的，所以只要通过监控TCP业务判断是否存在不正常就可以检测出此种攻击行为。因为在正常的TCP通信过程中，SYN数据包数量和FIN数据包数量并不是完全相等的，究其原因是存在能够终止TCP会话过程的RST数据包，从而导致了不产生FIN数据包。比如发送端发SYN数据包至接收端已经关闭了的端口，接收端就会回送RST数据包。根据TCP会话过程就可以明显发现，在一般正常的通信过程中，SYN数据包与FIN数据包的数量差值与RST数据包非常接近，当出现了TCP SYN flood攻击的时候，SYN数据包与FIN（RST）数据包的数量关系就与正常的一对一对称关系有一定的偏离。因此就要判断SYN与FIN（RST）的数量差异在一定的期限内是否产生较大的变化就可以作为该模型检测TCP SYN flood攻击的一个重要指标。
　　VTCP
　　在公式（1）中VTCP为受到攻击时的阀值。设定一个可疑阀值DTTCP，分别代表受到不同程度的攻击。前者可以直接用来判定攻击的发生，后者说明有可能受到攻击但不能单独确定。 (责任编辑：南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网）