DDOS概要
DDoS概要
DDoS即分布式拒绝服务,从第一次有记载的攻击到现在,DDoS已经有20多年了,尽管你可能意识到二十年来,随着信息高速公路的建设以及摩尔定律,网络带宽已经出现了极大程度的提高,但是一个简单的事实就是破坏比维护简单的多。更重要的是,在过去的二十年里,我们对DDoS的防御措施没有根本上的变化,而攻击技术却在不断进步。DDoS防御技术依然集中在流量清洗措施。整体来讲,网络安全是一种不对称的对抗,DDoS尤甚。
对于检测来讲,挑战在于如何区分DDoS流量和正常的业务流量,这其中的区别通常只能在应用层可见。应用层通常还会对该数据进行加密,这导致试图解析网络流量行为将带来巨大的运算开销,甚至将检测引擎击穿。从DoS到DDoS似乎也在告诉我们,应对分布式的网络攻击,分布式防御也可能是最终的的去路。
这里将DDos分为两种
1、 Volumetric DDoS
2、 Resource Exhaustion Attacks
Volumetric DDoS经常见之于新闻报告,近期报道中就有Github 披露的Memcahced反射攻击,大部分攻击行为依赖于源IP地址欺骗,通过在攻击中使用源IP spoofing 获取放大因子,利用无状态的DDoS攻击达到目的。常见被利用的协议包括DNS、SNMP、NTP等。
Resource Exhaustion Attacks对公众来说比较少见,直观来说,当一个网站页面被多人访问时,网站的响应速度就会变慢,资源耗尽攻击利用大量“真实“的请求,消耗服务器资源,使得网站响应迟缓甚至奔溃,达到拒绝服务的目的。比较出名的有CC攻击以及慢速攻击等。资源耗尽攻击在没有抗D设备的情况下可能会造成严重破坏,但由于攻击体积不会达到基于流量的级别,也就很少成为媒体报道的对象。常见的受害协议包括HTTPS以及TCP SYN-Flood。
下面主要讲一些常见的DDoS检测思路
1、 用户行为建模
常见的如HMM模型,利用已有的数据对正常用户的行为进行建模,合法的用户请求网站都会存在一个序列化的请求,如果这样假设的话,有限状态机也可以作为一种思路。
有限状态机常用于地址检查(比如快递的地址自动解析)
2、 信用评估
通过用户的历史访问记录,来检测
两种方法都存在一定问题,用户行为建模需要用户完整的访问会话,这方面数据比较少,可能需要较多的数据清洗,信用评估方式会对新IP的访问持悲观态度
3、 流量检测
检测流量突变,发生变化后检测IP请求速度, IP request length等变化
4、 深度学习
这块没有看到较好的实践
有时间再写几篇论文的思路,如有错误欢迎指正