防火墻解決ddos之道

ezsafe

文章出自：http://blog.sina.com.cn/s/blog_599767520100a9z2.html

現(xiàn)有的DDoS 攻擊檢測方法大多是通過監(jiān)視目標(biāo)主機上網(wǎng)絡(luò)信息流量的突變特性來實現(xiàn)攻擊檢測的。但這種檢測方法存在兩個問題: 一是檢測的滯后性問題。只有在目標(biāo)主機的流量發(fā)生突變的前提下才能檢測出攻擊已經(jīng)發(fā)生, 通常, DDoS 攻擊在很短時間內(nèi)可以發(fā)送上萬個攻擊數(shù)據(jù)包, 可能在攻擊還未檢測出來之前已經(jīng)造成網(wǎng)絡(luò)服務(wù)的堵塞或系統(tǒng)崩潰; 二是檢測結(jié)果的誤報率問題。雖然發(fā)生DDoS 攻擊的明顯特征是網(wǎng)絡(luò)流量的突變, 但流量的突變并不意味著DDoS攻擊發(fā)生。實際上, 當(dāng)大量合法用戶同時登陸同一站點時也會發(fā)生流量突變的現(xiàn)象。  

                 

而安易防火墻解決這個問題的基本思想是: 利用DDoS 攻擊預(yù)攻擊階段短時間內(nèi)系統(tǒng)目標(biāo)出現(xiàn)的大量網(wǎng)絡(luò)連接請求數(shù)據(jù)包這一特征, 從網(wǎng)絡(luò)連接次數(shù)入手, 檢測所有訪問者IP 地址并記錄它們的連接次數(shù)和時間戳, 引入概率分布函數(shù), 利用分布函數(shù)動態(tài)地描述系統(tǒng)的狀況, 依據(jù)統(tǒng)計量的特征分布, 動態(tài)調(diào)節(jié)檢測閾值的大小, 實現(xiàn)對DDoS 攻擊的檢測。

系統(tǒng)主要由統(tǒng)計引擎、分析引擎和檢測引擎三個部分構(gòu)成。統(tǒng)計引擎通過對網(wǎng)絡(luò)數(shù)據(jù)的統(tǒng)計分析, 建立目標(biāo)系統(tǒng)正常行為的分布規(guī)律和確定檢測閾值; 分析引擎將處理后的網(wǎng)絡(luò)數(shù)據(jù)與正常分布規(guī)律進(jìn)行比較, 區(qū)分出正常數(shù)據(jù)和異常數(shù)據(jù), 正常數(shù)據(jù)存入歷史數(shù)據(jù)中, 異常數(shù)據(jù)送入檢測引擎進(jìn)一步分析。偏差分析引擎使得攻擊檢測的計算量大為減少, 有效節(jié)省了計算開銷; 攻擊檢測引擎將檢測閾值作為檢測標(biāo)準(zhǔn), 對異常數(shù)據(jù)進(jìn)行分析, 以確定是否為攻擊行為。