广西区通信产业服务有限公司技术服务分公司广西南宁530023
摘要:网络遭受攻击事件不断发生,值得注意的是,黑客摈弃了以往常常采用的更改主页这一对网站实际破坏性有限的做法,取而代之的是,在一定时间内,彻底使被攻击的网络丧失正常服务功能,这种攻击手段就是DDoS,即分布式拒绝服务攻击。这种攻击所产生的破坏力是巨大的。本文分析了基于源目的IP地址对数据库的防范DDos攻击策略。
关键词:源目的IP地址;数据库防范;DDos攻击策略
1DDoS攻击分类
典型的DDoS攻击包含四方面要素:一是实际攻击者;二是用来隐藏攻击者身份的机器,可能会被隐藏好几级,该机器一般用于控制僵尸网络(实际发起攻击的机器)并发送攻击命令;三是实际进行DDoS攻击的机器群,一般属于僵尸网络;四是被攻击目标即受害者,在DDoS反射攻击中,还利用IP源地址伪造,迫使合法的反射/放大方(如DNS服务器)向受害者发起攻击,就攻击包的内容而言,DDoS可分为两类:基于网络传输协议的攻击和应用层的攻击。前者比较流行的有SYN洪泛,ICMP洪泛,UDP洪泛和IP包分片洪泛。后者主要是在应用层上进行洪泛和资源占用攻击,常见的有HTTP洪泛,如MyDoom蠕虫,SIP洪泛和DNS请求洪泛,资源占用攻击包括数据库资源消耗如利用脚本查询数据库,及利用SMTP、SSL、VPN等进行攻击,就攻击效果而言,基于网络传输层协议的攻击主要以消耗攻击者带宽为目的,大部分应用层攻击以消耗CPU、内存、数据库等资源为目的。无论是攻击流量(比特每秒)还是攻击的包速度(包每秒),UDP洪泛,SYN洪泛和应用层攻击为最常用的DDoS攻击形式,占据了绝大部分的比例。
2源目的IP地址对数据库的防范DDos攻击策略
2.1攻击发生时的检测。DDoS攻击一旦发生,我们应该采取有效的措施来打断或者缓解攻击的危害,以下是常用的技术。入侵检测技术一般分为异常检测和特征检测。一是异常检测。基于数据流量的异常检测。这种检测主要是为源地址或源地址段设定一个流量范围,超出范围就认为出现异常。在统计的基础上建立网络流量的正常模式,通过实时检测到的数据,如果偏离此模式即判定攻击存在。例如基于网络流量的自相似性的检测该方法在对网络流量自相似性系数变化进行观测的基础上,来判断攻击的发生。二是特征检测。这种检测是建立一个所有已知攻击方式的特征数据库,如实时检测到的数据与数据库中的某些特征参数匹配即判定攻击存在。主要采用传统的基于模式匹配的检测思想,对网络连接,数据源、数据内容、数据包等网络元素进行检测。
2.1攻击发生后的追踪。DDoS攻击通常使用虚假的源地址,这给我们的防范造成了非常大的困难,所以找到攻击的真正源头,对于DDoS攻击的防范有着非常重要的意义,目前,IP追踪技术有很多,大体可分两种,即被动型和主动型。
(1)被动型IP追踪。被动型IP追踪只有在受到DDoS攻击时才会启动。而且在回溯过程中要求攻击一直在进行,直到追溯到攻击源为止。一旦攻击突然停止,被动性IPtraceback将失去作用。一是输入处过虑该方法通过在路由器上做设置来防止一些源地址不合法的数据包通过。这要求路由器有足够的知识分析数据包的源地址。这种方法会增加路由器的负担,而且一些拥有合法地址的攻击数据包可以通过。二是输入测试该方法是说在受害方受到攻击时,从攻击包中提取特征,然后在上一级路由器上做设置,过滤具有此特征的数据包。从而发现上游链路,找到上游路由器,上一级路由器再重复此过程,直到找到攻击源。三是受控淹没这种方法的思路是人为地加入UDP流量来淹没整个链路,由于路由器缓存区是共享的,所以每条链路的丢包率大大增加,也包括攻击包。通过观测下一跳收到攻击包的速率变化,就可以找到上一级攻击数据流的来源。同样通过一级一级的迭代,最终找到攻击源。但它本身就是一种拒绝服务攻击,同时受害者还保存着网络拓扑图。受淹没时很难将上游的多个攻击链路分开,所以,它对DDoS攻击的追踪能力极为有限。
(2)主动型IP追踪。主动型IP追踪方法在受害者发现攻击的同时就可以追踪到攻击的发起者。而且它并不要求DDoS攻击一直持续到追溯结束。它包括:一是日志记录分析。在重要路由器上对上游链路的数据包进行日志记录,当遭到攻击时受害着提取出数据包的一些特征,与路由器日志中的一记录进行比较,一级一级恢复出攻击包所经过的路由器,最终找到攻击源。二是利用ICMP数据包。此方法是设置一些路由器以概率向目的主机发送ICMP数据包。数据包通常包含本路由器的IP地址和上一级路由器的IP地址,以及时间戳,诱发的数据包的拷贝。当受害者收到足够多的数据包,就可以构出攻击路径,找出攻击源。三是数据包标记技术。尽管IP数据包中的护地址可能是假的,但数据包要经过攻击者和受害者之间的路由器。数据包经过路由器时路由器在数据包中标记上一些信息,当受害者收到大量这样的数据包,就可以提取和分析这些标记信息构出攻击路径。
2.3基于CDN和重叠网络。以前的研究中,利用重叠网来抵御DDoS攻击,如SOS、Mayday和WebSOS,其目标是用重叠网络隐藏被攻击服务器,仅适用于非开放性的服务,将客户端与被攻击的服务器在IP层隔离,只有重叠网络的节点才能访问服务器端,客户端不能直接访问服务器端,它只需要在服务器端所属的ISP进行部署,ISP可以部署MPLS、VPN等隧道的方式让重叠网络与服务器互相访问,在一定程度上能减轻DDoS攻击,需要服务器端通过应用层验证的方式区分攻击者,然后通知重叠网络的节点过滤掉这些攻击流量,CDN即内容分发网,用于加快网络访问速率和质量,一般会在不同ISP内部署节点,形成很大的分布式网络,将用户请求自动指向到健康可用且距离用户最近CDN节点上,由于具有很大的带宽,CDN具有防御DDoS带宽消耗攻击的能力,尤其对静态和动态可缓存的页面非常适合,但对于动态不可缓存的页面,CDN节点也需要从原始的服务器实时访问获取信息,然后提供给用户,如果攻击者大量的请求此类页面,也可能造成DDoS攻击.与重叠网络相比,CDN除了提供网络可访问性,还提供应用层服务,需要在服务器的主动请求下,才能发送给服务器,这样,服务器能够有效控制到达它的流量。工作机制能够很好的控制流量到达目的端,但也会对连接造成一些延时,并且,基于解难题的认证并不能有效的区分攻击者和正常用户。
DDoS攻击是控制成千上万台主机协同攻击,威力巨大,是危害网络安全的主要因素之一。但由于人们很早就意识到了对该类攻击防御的重要性,所以近年来出现了大量的DDoS攻击防御机制,本文在总结了基于源目的IP地址对数据库的防范DDos攻击策略,对御防DDoS攻击提供了很大的参考价值。
参考文献:
[1]陈勇,李卓桓.反垃圾邮件完全手册[M].北京:清华大学出版社,2016.
[2]李洋,方滨兴,王申.基于用户反馈的反垃圾邮件技术[J].计算机工程,2015,(4):130-132.
[3]RiordanRM.设计有效的数据库系统[M].何玉洁,张俊超译.北京:机械工业出版社,2015.