一种改进的DDOS攻击检测与防御系统设计摘要摘要：提出一种检测与防御的路由器架构，即在服务器与外界输入之间放置具有检测与过滤功能的路由器以防范攻击。检测中，运用报文差检测算法，对网络中当前数据流量进行监测与分析，实现攻击检测。防御中，将路由器作为外界与服务器之间的TCP握手代理，通过对网络中TCP数据包进行分析筛选保证服务器的正常工作。关键词：报文差检测算法;TCP握手代理；NetFPGA；路由器架构：TP393.08文献标识码：A：1672?7800（2011）012?0131?04作者简介：王亦品（1989-），男，江苏盐城人，东南大学信息科学工程学院硕士研宄生，研宄方向为计算机通讯工程；范志明（1990-），男，山西临汾人，东南大学信息科学工程学院硕士研究生，研究方向为计算机通讯工程。1实现方案1.1设计原理在正常的服务器通信中，路由器主要发挥流量监测的功能即对网络中存在的数据流量进行实时监测，并采用报文差检验算法对得到的数据流量进行实时处理与分析，以判断当前网络数据是否存在异常。当发现异常时，会认为有攻击产生，并自动切换到防御状O在防御状态中，对于每个由外界发起的TCP连接都会在路由器处进行TCP三次握手的预处理即将路由器作为服务器的代理，确认客户端是否可完成完整的TCP三次握手。对于通过认证的TCP连接请求，路由器会再作为客户端代理与服务器进行TCP握手，如此等价实现客户端与服务器的TCP的握手连接，之后客户端便可与服务器进行正常的TCP通信了。在此过程中，路由器会开辟出一块空间作为TCP信息存储队列，该系统共用到了两个队列分别为外界TCP申请队列、确认正常的TCP信息队列，其功能将在1.2.4中提到。下图1对整个设计原理进行了简要描述。图1系统设计原理1.2模块化设计1.2.1DD0S攻击源产生无论对于系统的设计还是测试，合理的DDOS攻击源都必不可少即要能在短时间内产生大量的具有虚假源地址的TCP/IP数据包，并将这些数据包同时发送至同一服务器主机。对此，实验中以TCP/IP包发送工具HPING为基础上设计出一个能够采用虚假源地址发送TCP包的DDOS攻击器。其设计原理是通过更改IP包头设置中的对应字节，得到需要类型的数据包包括IP包的源地址，目的地址以及通信协议等，然后将其从对应网络端口发出。1.2.2网络数据流量监测模块该模块用于实现将网络中流过服务器的TCP包数量，以图形方式动态显示，从而便于人员观测当前网络流量状态，其设计原理主要分为数据包的获取解析与流量图的绘制。在设计中，通过编写接口程序，对经过网络端口的IP包包头进行校验，以此判断包的类型。当检测到TCP的SYN包、数据包等特殊包后，响应计数器记录加一，并将此记录反馈至绘图模块，实现对网络TCP流量的图形观测。1.2.3DDOS攻击检测模块在SYNFlooding攻击中，攻击者向服务器发送大量伪造源IP地址的SYN请求包，服务器返回SYN/ACK应答包后得不到确认，就会不断地对伪造的IP地址进行重试直至超时丢弃，由于SYN连接请求的速度远大于服务器超时丢弃的处理速度。因此，服务器的半连接列表很快就被塞满，致使客户的正常请求得不到响应，以实现拒绝服务的目的。介于DDOS这种攻击特性，系统运用正确建立连接数的差别实现对DDOS攻击检测报警。首先对TCP连接信号SYN进行抽样，设d为检测周期，SYN_n*抽样间隔内源端网络中SYN包的数量，FIN_n为FIN包的数量。记：det_n=SYN_n?FIN_n一般情况下、det_n与网络的规模、抽样间隔相关，为减少上述因素的影响，提高算法的通用性，对det_n进行归一化处理：记：detn=detn/SYNn=(SYNn?FINn)/SYNnn=l,2实验中给出一个门限值h，当_n>h,则报警。1.2.4TCP连接代理模块当路由器检测到流量异常时，会自动进入智能防御方式。在此阶段，路由器会接受到分别来自服务器与外界输入两个方向的TCP数据包，因此需要在路由器上建立两个缓存队列，分别为外界TCP队列以及确认正常的TCP信息队列。外界TCP队列(队列1)主要用于记录外界向服务器发起的TCP连接信息，其中主要包括该TCP连接的MAC源地址、IP源地址、IP源端口、IP目的端口、路由器向外部提供的序列号SEQ、连接状态标志位State。通过此队列所记录的信息，路由器实现了与外界输入的模拟TCP三次握手过程。表1外...