都是以DDoS的攻击方式来实施的。DDoS攻击是或完全阻止为合法用户提供服务。目前,DoS攻击对服务器实施DoS攻击的方法有两种:计算机与现代化2010年第4期JISUANJIYUXIANDAIHUA总第176期文章编号:1006-2475(2010)04-0070-03蜜罐技术在防御DDoS中的应用汪北阳(长江大学计算机科学学院,湖北荆州434023)摘要:通过分析DDoS攻击的基本原理,本文提出蜜罐技术在防御分布式拒绝服务(DistributedDoS,DDoS)攻击中的一种应用,并在实验环境下对其性能进行了分析。关键词:拒绝服务攻击;蜜罐;DDoS;网络安全中图分类号:TP309文献标识码:Ado:i10.3969/.jissn.1006-2475.2010.04.020ApplicationofHoney-potSysteminDefensingDDoSWANGBe-iyang(ComputerScienceSchoolofYangtzeUniversity,Jingzhou434023,China)Abstract:BasedonanalysisofthebasicprinciplesofDDoSattacks,thispaperpresentsanapplicationthatdefensesDDoSatticksviahoneypottechnology,andanalyzestheeffectivenessunderthelaboratoryconditions.Keywords:denialofserviceattack;Honeypot;DDoS;networksecurity0引言拒绝服务(DenialofService,DoS)攻击手段多样、攻击简单、危害大、防范难,是目前互联网上攻击最频制的受控主机。繁,防范难度最大的攻击方式之一[1]。目前,在技术手段上尚无完全有效的防范方法[2]。蜜罐技术是一种陷阱技术,能够用来吸引攻击者[3]。本文重点研究利用蜜罐技术引诱攻击者,避免受保护主机受到DoS攻击的方法,并对该方法的效果进行仿真分析。1DDoS攻击原理拒绝服务是以一台接入互联网的单机向目标发动攻击,消耗目标主机或目标网络的资源,从而干扰[4][5]利用一批主机对目标进行攻击,所以需要事先入侵一图1DDoS攻击原理[8](1)耗竭服务器缓冲区,使其无法接收新的服务请求;(2)IP欺骗,迫使服务器将合法用户的连接复位,影响合法用户的连接。2应用蜜罐技术防御DDoS攻击批主机,植入木马并控制这些主机进行攻击[6]。2.1物理结构DDoS攻击原理如图1所示[7],由攻击者指挥控制傀DDoS攻击的防御就是要切断它的攻击链,方法儡机,然后再由控制傀儡机命令攻击傀儡机向目标发有两个[9]:起攻击。两种类型的傀儡机都是被攻击者入侵并控(1)使攻击者得不到足够数量的受控主机发动收稿日期:2009-08-06作者简介:汪北阳(1973-),男,湖北仙桃人,长江大学计算机科学学院讲师,硕士,研究方向:网络安全,软件工程。。一旦防火墙发低安全措施、有漏洞的真实系统,在前主流的防火墙都有检测DDoS攻击的功能2010年第4期汪北阳:蜜罐技术在防御DDoS中的应用71具有足够威胁的攻击;破防火墙,这时蜜罐就能起到混淆攻击者,诱骗这些(2)使攻击者攻击不到真正的目标[10]。攻击流进入蜜罐系统。蜜罐系统将这些攻击行为记具体方式是切断图1中的两个控制信息流中的录加密后发送到日志服务器,这台服务器是低交互并任意一个,或者切断攻击流。蜜罐布置如图2所示的加固的,很难被入侵[13]。网络结构,在DMZ区有Web、E-mail、DNS、FTP四个服务器,这些服务器是向外提供Internet服务的,在DMZ区同时也布置一些蜜罐系统,这些蜜罐系统中也分别配置成以上四种服务器中的一种,DMZ区与Internet用一个防火墙隔离。这些蜜罐的作用是代替真实服务器接收由攻击傀儡机发送的攻击包。内部局域网被一个防火墙与DMZ区隔离,包括若干台主3应用蜜罐技术防御DoS攻击的性能分析ddos攻击器http://www.blddos.com/对上述方案进行了攻击防范实验。攻击采用分布式的SYNFlood,设置攻击傀儡机的攻击速度从2.2Mbps开始逐渐提高,网络带宽为100Mbps。服务器方由4个真实系统和4个伪装成服务器的蜜罐主机机和伪装成存在安全漏洞的局域网主机的蜜罐。在组成[13]。在SYNFlood攻击过程中,单个服务器主防火墙中同时运行入侵检测、攻击扫描和网络数据包机和蜜罐受到的攻击流量如图4所示。的重定向机制[11]。图2蜜罐布置图2.2安全防范框架(1)蜜罐技术在防范DDoS攻击中的作用:¹目[12]防火墙检测到DDoS攻击后启用重定向功能,将攻击流重定向到蜜罐主机(切断攻击流);º同时蜜罐主机由于也配置有服务器相同的服务软件,并且由于蜜罐系统具有相对容易攻击的特点,可以吸引黑客的攻击,稀释对受保护主机的攻击;»吸引黑客入侵...