拒绝服务攻击的一种防御对策研究
时间:2022-10-14 11:43:34
【前言】拒绝服务攻击的一种防御对策研究由文秘帮小编整理而成,但愿对你的学习工作带来帮助。1.攻击实验。本实验起用了两台Linux主机作为攻击工作站。为了检验启用防御方法的有效性,首先做了一个攻击实验:一台Linux主机作为攻击目标,另一台主机作为攻击方。具体操作如下:用netstat -na命令观察服务器在没受攻击情况下的状况。用编译好的syn攻击程序在攻击...
(重庆大学通信工程学院,重庆 400030;重庆电子工程职业学院,重庆 401331)
【摘 要】本文针对拒绝服务攻击中的SYN/Flooding攻击,提出了采用一种利用计时位,进行FIFO(先进先出)替换法的策略研究。采用Linux平台,通过模拟攻击实验验证该方法的防御效果。
【关键词】拒绝服务攻击;SYN/Flooding;FIFO(先进先出)
在网络攻击技术中,拒绝服务攻击是常用的一种,它是一种遍布全球的系统漏洞,这种攻击主要是用来攻击域名服务器、路由器以及其它网络操作服务,使被攻击者无法正常的服务,这是一类危害极大的攻击方式,严重的时候可以导致一个网络瘫痪。本文模拟了一种SYN/Flooding攻击实验并提出了一种FIFO(先进先出)淘汰法的对策研究。
一、方案设计
1.攻击实验。本实验起用了两台Linux主机作为攻击工作站。为了检验启用防御方法的有效性,首先做了一个攻击实验:一台Linux主机作为攻击目标,另一台主机作为攻击方。具体操作如下:用netstat -na命令观察服务器在没受攻击情况下的状况。用编译好的syn攻击程序在攻击方主机上运行,攻击linux主机,并伪装一个攻击主机IP地址为202.115.1.1,在被攻击方Linux主机上用netstat-na命令观察。将结果比较,在正常情况下,其连接状态一般处于ESTABLISHED ,而在系统受到攻击时,发现收到很多来自IP地址为202.115.1.1的连接请求,其状态处于SYN_RECV,占用了很大的空间,说明受到了syn/flooding攻击。
2.对策研究。(1)加大工作站的backlog长度,这样可以延长队列被占满的时间。在Linux系统下,为了能方便有效的比较改变队列长度前后的不同,先把被攻击的Linux主机的队列改小一些,设置成长度为16。通过下面的语句来实行:echo 16>/proc/sys/net/ipv4/tcp_max_syn_backlog,在改变了系统的backlog队列参数后,在主机上运行syn攻击程序来进行一组攻击实验。首先伪装IP地址为202.115.1.3,同样使用netstat -na命令,观察被攻击方的工作状态。结果发现缓冲队列很快就被填满,通过连接被攻击的端口,此时已经连接不上了,这说明此端口已经瘫痪掉。接下来执行第二步工作,加大backlog队列的长度,例如设置其值为2048,同样使用下面的命令:echo2048>/proc/sys/net/ipv4/tcp_max_syn_backlog,再利用攻击程序来看看改变参数后的情况。这次采用伪IP地址为202.115.1.2,使用netstat-na命令查看攻击情况,观察到比加大缓冲队列以前的连接请求容许数量增多。这时连接被攻击端口,发现被攻击工作站还是可以连接上,加大缓冲队列后端口并没有瘫痪,说明加大队列的长度相对提高了抗攻击能力。(2)查找计时位,进行FIFO替换:由于缓存队列中自身带有对收到的每个连接请求设置的计时位,以便在超时后删除此项。现在利用这一超时计时位,当backlog队列满而又有新的连接请求到达时,查找队列中各项的计时位并进行比较,将新到达的连接请求替换计时位最大的项,达到服务器总不拒绝新的连接请求。此项步骤总的流程如下:当新的syn请求来到时,首先查看缓存队列是否已满,若未满,按照正常情况加入队列中保存下来,转到步骤3。若缓存已满,查找队列中时间最大的项,用新的syn请求替换它。查找方法如图1所示。
注:Timemax为队列中最大时间值,Timequeue[i]是backlog队列中第i项的时间值,Lengthqueue为backlog队列的最大长度。返回的i既为查找的缓存队列中时间最大的项。我们就用新的请求替换第i项。(3)新的连接请求入缓冲队列以后,按照原来的TCP/IP协议栈三次握手原则进行syn请求连接。
二、实验分析
该方法的优点是不管受到怎样高强度的SYN/Flooding攻击,系统总不拒绝新来的连接请求,可以满足高速的合法用户请求连接,就不会因为不能接收请求而瘫痪,这种思想弥补了传统防范技术的不足。但加大backlog队列,替换backlog队列中时间最长的请求,也导致一些缺陷:一是消耗了系统资源;二是可能替换了合法的用户请求。
参 考 文 献
[1]Eric Cole.黑客——攻击透析与防范[M].电子工业出版社
[2]张小斌.严望佳.黑客分析与防范技术[M].清华大学出版社
[3]张明猛,赵天福.DDoS攻击检测技术研究[J].计算机与信息技术
[4]陈明奇.分布式拒绝服务攻击处理实例分析[J].信息网络安全
