以TCP为目标的慢速DoS攻击的检测

摘要

以TCP为目标的慢速(Low rate TCP-target)DoS攻击是一种新型的DoS攻击,它主要利用当前大多数操作系统的TCP重传超时时间(RTO)固定的漏洞.攻击者通过周期性地注入突发数据包去充满路由器瓶颈队列,导致TCP连接不断进入超时状态,整个TCP的吞吐率接近于零.与传统的洪水攻击相比,它的平均速率小,传统的检测方法不能有效地检测出这种攻击.根据以TCP为目标的慢速DoS攻击具有周期性,且突发流量相对集中、突发长度与RTT相关的特性,本文提出了一种改进的周期性CUSUM算法在边缘路由器检测攻击流.仿真结果显示该算法可以有效地检测出这种攻击,而且不需要对TCP拥塞控制算法进行修改.