防火墻解決ddos之道

ezsafe

文章出自：http://blog.sina.com.cn/s/blog_599767520100a9z2.html

現(xiàn)有的DDoS 攻擊檢測(cè)方法大多是通過(guò)監(jiān)視目標(biāo)主機(jī)上網(wǎng)絡(luò)信息流量的突變特性來(lái)實(shí)現(xiàn)攻擊檢測(cè)的。但這種檢測(cè)方法存在兩個(gè)問(wèn)題: 一是檢測(cè)的滯后性問(wèn)題。只有在目標(biāo)主機(jī)的流量發(fā)生突變的前提下才能檢測(cè)出攻擊已經(jīng)發(fā)生, 通常, DDoS 攻擊在很短時(shí)間內(nèi)可以發(fā)送上萬(wàn)個(gè)攻擊數(shù)據(jù)包, 可能在攻擊還未檢測(cè)出來(lái)之前已經(jīng)造成網(wǎng)絡(luò)服務(wù)的堵塞或系統(tǒng)崩潰; 二是檢測(cè)結(jié)果的誤報(bào)率問(wèn)題。雖然發(fā)生DDoS 攻擊的明顯特征是網(wǎng)絡(luò)流量的突變, 但流量的突變并不意味著DDoS攻擊發(fā)生。實(shí)際上, 當(dāng)大量合法用戶同時(shí)登陸同一站點(diǎn)時(shí)也會(huì)發(fā)生流量突變的現(xiàn)象。  

                 

而安易防火墻解決這個(gè)問(wèn)題的基本思想是: 利用DDoS 攻擊預(yù)攻擊階段短時(shí)間內(nèi)系統(tǒng)目標(biāo)出現(xiàn)的大量網(wǎng)絡(luò)連接請(qǐng)求數(shù)據(jù)包這一特征, 從網(wǎng)絡(luò)連接次數(shù)入手, 檢測(cè)所有訪問(wèn)者IP 地址并記錄它們的連接次數(shù)和時(shí)間戳, 引入概率分布函數(shù), 利用分布函數(shù)動(dòng)態(tài)地描述系統(tǒng)的狀況, 依據(jù)統(tǒng)計(jì)量的特征分布, 動(dòng)態(tài)調(diào)節(jié)檢測(cè)閾值的大小, 實(shí)現(xiàn)對(duì)DDoS 攻擊的檢測(cè)。

系統(tǒng)主要由統(tǒng)計(jì)引擎、分析引擎和檢測(cè)引擎三個(gè)部分構(gòu)成。統(tǒng)計(jì)引擎通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的統(tǒng)計(jì)分析, 建立目標(biāo)系統(tǒng)正常行為的分布規(guī)律和確定檢測(cè)閾值; 分析引擎將處理后的網(wǎng)絡(luò)數(shù)據(jù)與正常分布規(guī)律進(jìn)行比較, 區(qū)分出正常數(shù)據(jù)和異常數(shù)據(jù), 正常數(shù)據(jù)存入歷史數(shù)據(jù)中, 異常數(shù)據(jù)送入檢測(cè)引擎進(jìn)一步分析。偏差分析引擎使得攻擊檢測(cè)的計(jì)算量大為減少, 有效節(jié)省了計(jì)算開(kāi)銷; 攻擊檢測(cè)引擎將檢測(cè)閾值作為檢測(cè)標(biāo)準(zhǔn), 對(duì)異常數(shù)據(jù)進(jìn)行分析, 以確定是否為攻擊行為。