防御DDoS攻击的实时监测模型

• 　　在分析完上述有效的DDoS攻击的工具后，我们可以发现DDoS攻击具有如下的特征：

  　　①数据包的源IP地址被设成随机的;

  　　②数据包的源端口和目的端口被设成随机的;

  　　③一些标志位(URG，ACK)，片断，TCP属性，TTL和客户端的SEQ序列号由伪随机数生成器产生。

  　　DDoS攻击不需破解密码，也不要窃取系统资料，只要在网络上的任一角落都可以发动攻击。DDoS攻击由来自不同的源地址的数据包流组成，这类攻击控制Internet上合作的主机来耗尽目标机一些关键资源使得服务器合法用户的请求被拒绝。更重要的是，DDoS攻击流没有很明显的特征能够用来直接和大规模的检测和过滤。

  　　3、基于RBF-NN的实时监测DDoS攻击的模型

  　　3.1、模型概述

  　　实时监测模型包括三个模块：

  　　1)数据采集器

  　　因为TCP协议是应用最广泛的协议而且WWW是Internet上应用最广的服务。所以这个模型是针对TCP洪水攻击的，当然这种模型也可以用到UDP和ICMP协议中。

  　　TCP数据报格式如图2所示。

  

  图2 TCP数据报格式

  　　数据采集器用sniffer嗅探器抓到每个数据包的如下字段：源端口号，客户端的SEQ序列号，窗口大小，和SYN，ACK，FIN，PSH，URG，RST六个标志位。同时把每个数据包的时间戳也记录下来以便把数据包分到重叠的时间帧中。不同的源端口和窗口大小的数目用来评估每一个时间帧。SEQ序列号是由客户端产生的32位的随机数作为TCP连接的认证。估算出不同的SEQ序列号需要很大的存储空间和计算能力。实验结果显示，尽管客户端的SEQ序列号不同，但是用高16位足够可以估算出SEQ序列号的特征。16位可以存储65535字节长的信息。

  　　每一时间帧的统计信息是来自下面六个标志出现时被设置的频率：SYN，ACK，FIN，PSH，URG，RST。实验显示，这些标志在DDoS攻击的出现时提供了重要的信息。

  　　需要强调的是尽管源IP地址提供了重要的信息，但在采集过程中没有用到，主要是基于以下几方面的原因：

  　　①它需要很高的计算能力来存储每个地址;

  　　②它不能够提供有关包长度的信息;

  　　③IP源地址可能已经被更改，而被设置成随机的地址;

  　　由TCP/IP传输的数据包中的其它一些域例如Time- To-Live域，就没有包含关于DDoS攻击出现时的信息，所以也不记录。

  　　2)特征估计器

  　　用六个标志位出现的频率，源端口的地址，SEQ序列号和窗口大小来评估每个时间帧。六个标记的每个时间帧的统计特性是每个标记被设置的概率。用源端口，SEQ序列号和窗口大小的每个时间帧的数据包的总数来划分不同的值。

• 上一页 [1] [2] [3] [4] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 防御DDoS攻击的实时监测模型 相关文章：
• ·黑客攻击与防守
• ·硬件防火墙的配置过程讲解
• ·开启瑞星防火墙不能上网问题解决
• ·无线网络攻防实战：WEP密钥如何被攻破的
• ·IE浏览器防护和修复全攻略
• ·无线攻防：破解WEP密钥过程全解
• ·VBS脚本病毒原理分析与防范 （1）
• ·sqlexp攻击．怎么防止？
• ·杀毒技巧系列:杀毒、防恶意代码、脚本病毒的不完全合集
• ·《FM2006》国外玩家的球员推荐+原创心得体会（后防篇）
• 防御DDoS攻击的实时监测模型 相关软件
• ·瑞星杀毒防火墙组合版2007V19.34.32 完全免费版
• ·ARP防火墙 V5.0 Beta1 单机版
• ·诺顿防病毒软件(Norton AntiVirus) V2007
• ·江民防火墙 V10.0
• ·QQ防盗登陆器 V2.30 绿色免费版
• ·ARP防火墙 V3.1.1 网络版
• ·瑞星个人防火墙 2008V20.06.40 (测试版)
• ·Autorun病毒防御者V2.0 Beta 1
• ·天网防火墙 2006 V3.0.0.1010 build 1025 个人版
• ·安铁诺防病毒软件 2008

上一篇:让vista资源管理器不再显示公用文件夹链接

下一篇:CSS样式表定义标签li前面样式

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐