DoS攻擊防御插件的設計與實現(xiàn)

在對相關技術和入侵檢測系統(tǒng)進行研究的基礎上，設計了該插件的各功能，對插件內各模塊進行了詳細描述，并給出了插件的工作流程。除外，隨著設計的進行在逐步測試入侵檢測系統(tǒng)中完成攻擊插件的測試工作。本文利用DoS攻擊檢測系統(tǒng)充分的驗證了插件功能和統(tǒng)計效果。通過以上工作，本文較好完成了Snort插件的功能，實驗結果表明該插件通過統(tǒng)計分析能有效的檢測判斷出攻擊的存在。

【關鍵詞】檢測系統(tǒng) DDoS攻擊 Snort 插件

拒絕服務攻擊（DoS）是利用偽造服務數(shù)據以及偽造用戶的服務請求來擁塞提供服務的設備，使服務降速、忽略用戶、合法請求被丟失、失效。本文是以對DDoS攻擊檢測方法以及檢測過程中DDoS在攻擊后所造成的響應作為本文研究的主要目的，通過構建將DDoS檢測和DDoS響應集成在一起所搭建的系統(tǒng)，來完成對網絡中所出現(xiàn)的攻擊流的發(fā)現(xiàn)，并盡可能的對攻擊進行阻斷以免發(fā)生攻擊。

1 DDoS防御思路簡述

本次設計是以DDoS防御為主，因此為了能夠更好的完成本次對攻擊行為的防御以及達到較好的防御效果，對網絡節(jié)點中的數(shù)據流速率及其分布做如下假設：

（1）在近似于和等于的時間間隔內，在節(jié)點中的數(shù)據流速率大小和概率分布基本不會產生劇烈波動；

（2）相鄰時間間隔內如果間隔時間較短，針對大型網絡中的網絡節(jié)點通過的網絡數(shù)據流在其速率和概率分布上應該保持其基本不變。

基于這兩點假設，當特征數(shù)據包異常升高時，可能發(fā)生了DDoS攻擊。本設計主要是通過統(tǒng)計的方法，識別出是否處于被DDoS攻擊的狀態(tài)，區(qū)分攻擊者的IP與正常使用者的IP，通過多種的方法阻止攻擊。

2 插件實現(xiàn)

2.1 網絡數(shù)據流統(tǒng)計模塊

該模塊的主要功能是進行數(shù)據包特征值的記錄和運算，使系統(tǒng)能夠提取到包含特征標志位的數(shù)據包異常升高的信號，將網絡數(shù)據流數(shù)據包的統(tǒng)計屬性值信息利用相應轉換公式或轉換方法將其轉換為具有一定信息的記值，然后將轉換后的記值信息存入到主機的內存中進行保存，并且在以后對模塊分析過程中再將其從內存中調出以備使用。

2.2 運算分析模塊

運算分析模塊是針對數(shù)據流的相關信息進行的一系列操作，由于該模塊是進行分析和運算，所以對于運算分析模塊所起到的功能進行分析，其主要有以下幾種功能：

（1）數(shù)據流的區(qū)分。

（2）創(chuàng)建Time Thread線程。

（3）對UDP數(shù)據包的數(shù)據載荷字段進行hash。

2.3 響應模塊

進行日志記錄和阻斷分別通過Snort本身的日志輸出插件和Guardian防火墻合作完成。Guardian是基于iptables+Snort而設計的一種防火墻，其功能是利用Snort入侵檢測系統(tǒng)所提供的日志文件進行分析，然后根據分析結果將某些惡意IP加入iptables的輸入鏈，達到阻斷目的。

2.4 模塊間通信說明

插件是完成模塊間通信的主要手段，采用多線程、利用信號多少，互斥鎖等機制實現(xiàn)線程之間的同步，通過共享內存實現(xiàn)線程之間的數(shù)據共享。Time Thread線程在設定的時間間隔內將會發(fā)出相應的觸發(fā)信號，然后由該信號來觸發(fā)Computing Thread線程，利用Computing Thread線程功能來獲取目前的總流量與當前時間間隔的分流量值，從而在數(shù)據分類中獲得正常數(shù)據流在發(fā)送總數(shù)據流中所占的特征比例。

3 部分測試結果

3.1 對UDP Flood攻擊的防御測試

進行UDP攻擊前，查看主機B防火墻狀態(tài)信息：

root@bt：/etc/snort# iptables -L -n

Chain INPUT （policy ACCEPT）targetprotopt sourcedestination

ChainFORWARD（policyACCEPT）targetprot opt sourcedestination

Chain OUTPUT （policy ACCEPT）targetprot opt sourcedestination

You have new mail in /var/mail/root

攻擊后：

root@bt：～# iptables -L -n

Chain INPUT （policy ACCEPT）target prot opt source destination

DROP all -- 192.168.40.4 0.0.0.0/0

Chain FORWARD （policy ACCEPT）target prot opt source destination

Chain OUTPUT （policy ACCEPT）target prot opt source destination

攻擊者的IP被加入到防火墻中。

4 總結

DDoS攻擊被稱為是網絡中的“核武器”，F(xiàn)lood攻擊在DDoS攻擊中是最為常見的一種攻擊行為。本論文以Flood所存在的兩種攻擊行為進行了較為詳細的分析和總結，并以此作為基礎對當前網絡上的各種各樣的攻擊行為所采用的防御方法進行分析，以及攻擊過程中對協(xié)議棧內容的修改和其他缺陷所呈現(xiàn)的現(xiàn)狀，從防御終端的角度，結合基于數(shù)據流統(tǒng)計方法，提出了以防御Flood攻擊方案的具體設計和實現(xiàn)，同時在該方案的設計過程中為了更好的實現(xiàn)防御方案，在整個系統(tǒng)設計中采用了Snort插件技術。

參考文獻

[1]劉文濤.網絡安全開發(fā)包詳解[M].電子工業(yè)出版社，2005.

[2]李瑞民.網絡掃描技術揭秘[M].機械工業(yè)出版社，2011.

[3]韓東海.入侵檢測系統(tǒng)及實例剖析[M].清華大學出版社，2002.

[4]曹元大.入侵檢測技術[M].北京：人民郵電出版社，2007.

作者簡介

曲春航（1987-），女，吉林省長春市人。碩士學位。講師。主要研究方向為計算機網絡與信息安全。

作者單位

長春建筑學院電氣信息學院 吉林省長春市 130607endprint