防御模仿正常用户服务请求的DDoS攻击的方法研究及实现

摘要

信息技术的发展和因特网的普及，改进了我们的工作方式，提高了我们的工作效率，但针对网络实体的攻击所产生一系列问题已引起人们的广泛关注。在各种攻击网络系统的方法中，拒绝服务攻击DoS作为主要的攻击手段，破坏力强且难于防范，也正因为这一点，针对此类攻击的防护一直是网络安全领域的一个研究重点。 在被动防护方面，围绕着DoS攻击的检测、返回跟踪、应对，提出了各类新的算法和体系结构，如基于随机模型的序列检测，频谱分析，泛洪探测，IP数据包标记算法，随机丢弃数据包等等。在主动防护方面，开发了多种安全防护系统保护一些易受攻击的协议，如使用防火墙技术防御TCP SYN洪水攻击等，同时，在设计新协议时引入各类认证技术如cookie、client puzzle等来增强协议对DoS攻击的防御能力。 针对以上的种种防御手段，DoS攻击者亦发展出相应对策，从原先的带宽洪水攻击转向以消耗服务器应用层资源的为目标的攻击。攻击者利用事先攻占的傀儡主机向应用服务器发出服务请求，消耗其各类高层资源如CPU，数据库，磁盘带宽等，由于这类攻击模仿正常用户的操作，所以很难将两者区分开来，通常的防御手段使用起来往往效果不佳。 通过对已有防御方法的研究和分析，并结合服务器备份和负载均衡技术，我们提出了一种新的解决方案SURVIVE来防御这类新出现的DoS攻击。利用Cookie技术以防御IP欺骗，利用CAPTCHA和IP地址hash表以识别和隔离傀儡主机，利用证书来实现TCP重定向以达到负载均衡的目的，从而进一步提高服务器系统的整体服务能力。在所有的认证通过之前，服务器系统不会为用户分配任何资源，通过认证后我们的方案也能够确保用户不能无限制的占用资源，以上两点保障了服务器系统在受到攻击时的生存能力。 此外，我们还给出了一个针对SURVIVE而设计的负载均衡的方案，该方案能满足对服务器地理位置和动态负载状况所提出的均衡要求，并且只消耗系统很少资源。 最后，我们以Windows平台为基础，利用防火墙技术，实现所提出的防御方案，并对实现过程中所涉及的各项内容做了相应阐述。