DoS攻擊防御插件的設計與實現

在對相關技術和入侵檢測系統進行研究的基礎上，設計了該插件的各功能，對插件內各模塊進行了詳細描述，并給出了插件的工作流程。除外，隨著設計的進行在逐步測試入侵檢測系統中完成攻擊插件的測試工作。本文利用DoS攻擊檢測系統充分的驗證了插件功能和統計效果。通過以上工作，本文較好完成了Snort插件的功能，實驗結果表明該插件通過統計分析能有效的檢測判斷出攻擊的存在。

【關鍵詞】檢測系統 DDoS攻擊 Snort 插件

拒絕服務攻擊（DoS）是利用偽造服務數據以及偽造用戶的服務請求來擁塞提供服務的設備，使服務降速、忽略用戶、合法請求被丟失、失效。本文是以對DDoS攻擊檢測方法以及檢測過程中DDoS在攻擊后所造成的響應作為本文研究的主要目的，通過構建將DDoS檢測和DDoS響應集成在一起所搭建的系統，來完成對網絡中所出現的攻擊流的發現，并盡可能的對攻擊進行阻斷以免發生攻擊。

1 DDoS防御思路簡述

本次設計是以DDoS防御為主，因此為了能夠更好的完成本次對攻擊行為的防御以及達到較好的防御效果，對網絡節點中的數據流速率及其分布做如下假設：

（1）在近似于和等于的時間間隔內，在節點中的數據流速率大小和概率分布基本不會產生劇烈波動；

（2）相鄰時間間隔內如果間隔時間較短，針對大型網絡中的網絡節點通過的網絡數據流在其速率和概率分布上應該保持其基本不變。

基于這兩點假設，當特征數據包異常升高時，可能發生了DDoS攻擊。本設計主要是通過統計的方法，識別出是否處于被DDoS攻擊的狀態，區分攻擊者的IP與正常使用者的IP，通過多種的方法阻止攻擊。

2 插件實現

2.1 網絡數據流統計模塊

該模塊的主要功能是進行數據包特征值的記錄和運算，使系統能夠提取到包含特征標志位的數據包異常升高的信號，將網絡數據流數據包的統計屬性值信息利用相應轉換公式或轉換方法將其轉換為具有一定信息的記值，然后將轉換后的記值信息存入到主機的內存中進行保存，并且在以后對模塊分析過程中再將其從內存中調出以備使用。

2.2 運算分析模塊

運算分析模塊是針對數據流的相關信息進行的一系列操作，由于該模塊是進行分析和運算，所以對于運算分析模塊所起到的功能進行分析，其主要有以下幾種功能：

（1）數據流的區分。

（2）創建Time Thread線程。

（3）對UDP數據包的數據載荷字段進行hash。

2.3 響應模塊

進行日志記錄和阻斷分別通過Snort本身的日志輸出插件和Guardian防火墻合作完成。Guardian是基于iptables+Snort而設計的一種防火墻，其功能是利用Snort入侵檢測系統所提供的日志文件進行分析，然后根據分析結果將某些惡意IP加入iptables的輸入鏈，達到阻斷目的。

2.4 模塊間通信說明

插件是完成模塊間通信的主要手段，采用多線程、利用信號多少，互斥鎖等機制實現線程之間的同步，通過共享內存實現線程之間的數據共享。Time Thread線程在設定的時間間隔內將會發出相應的觸發信號，然后由該信號來觸發Computing Thread線程，利用Computing Thread線程功能來獲取目前的總流量與當前時間間隔的分流量值，從而在數據分類中獲得正常數據流在發送總數據流中所占的特征比例。

3 部分測試結果

3.1 對UDP Flood攻擊的防御測試

進行UDP攻擊前，查看主機B防火墻狀態信息：

root@bt：/etc/snort# iptables -L -n

Chain INPUT （policy ACCEPT）targetprotopt sourcedestination

ChainFORWARD（policyACCEPT）targetprot opt sourcedestination

Chain OUTPUT （policy ACCEPT）targetprot opt sourcedestination

You have new mail in /var/mail/root

攻擊后：

root@bt：～# iptables -L -n

Chain INPUT （policy ACCEPT）target prot opt source destination

DROP all -- 192.168.40.4 0.0.0.0/0

Chain FORWARD （policy ACCEPT）target prot opt source destination

Chain OUTPUT （policy ACCEPT）target prot opt source destination

攻擊者的IP被加入到防火墻中。

4 總結

DDoS攻擊被稱為是網絡中的“核武器”，Flood攻擊在DDoS攻擊中是最為常見的一種攻擊行為。本論文以Flood所存在的兩種攻擊行為進行了較為詳細的分析和總結，并以此作為基礎對當前網絡上的各種各樣的攻擊行為所采用的防御方法進行分析，以及攻擊過程中對協議棧內容的修改和其他缺陷所呈現的現狀，從防御終端的角度，結合基于數據流統計方法，提出了以防御Flood攻擊方案的具體設計和實現，同時在該方案的設計過程中為了更好的實現防御方案，在整個系統設計中采用了Snort插件技術。

參考文獻

[1]劉文濤.網絡安全開發包詳解[M].電子工業出版社，2005.

[2]李瑞民.網絡掃描技術揭秘[M].機械工業出版社，2011.

[3]韓東海.入侵檢測系統及實例剖析[M].清華大學出版社，2002.

[4]曹元大.入侵檢測技術[M].北京：人民郵電出版社，2007.

作者簡介

曲春航（1987-），女，吉林省長春市人。碩士學位。講師。主要研究方向為計算機網絡與信息安全。

作者單位

長春建筑學院電氣信息學院 吉林省長春市 130607endprint