超级会员免费看
基于包 ID 异常检测的 SYN 洪泛伪造源 DDoS 攻击防御
1. 引言
分布式拒绝服务攻击(DDoS)是攻击者利用大量受感染计算机发起的网络攻击,会使应用程序、服务或信息系统无法正常使用。随着联网计算机数量增加、信息安全漏洞增多以及恶意软件泛滥,DDoS 攻击愈发危险且难以防范。尽管已有诸多研究,但目前仍缺乏有效的防御措施,近期这类攻击给机构、组织和企业带来了严重影响。
DDoS 攻击形式多样,其中 TCP SYN 洪泛攻击最难防范。攻击者针对 TCP 握手的三个步骤,发送带有伪造源 IP 地址的 SYN 包,使服务器为无法完成的半开 TCP 连接分配资源,导致资源耗尽。攻击者可通过创建恶意软件感染大量设备,形成僵尸网络,利用多种方法发送伪造包,如随机伪造任意源地址、子网内源地址或预定义列表中的源地址。
我们提出的方法基于 TCP/IP 协议栈原理,计算机发送的数据包的包标识字段(PID)值默认会逐包递增。同一计算机发送的数据包具有相同源 IP 地址且 PID 值连续递增,但由于计算机可能同时运行多个进程,接收端看到的 PID 值可能是间断递增的。因此,我们可以将具有间断连续递增 PID 值但源 IP 地址随机的数据包检测为伪造包。为检测 DDoS 攻击中的伪造包,我们使用 DBSCAN 算法将不同源地址但 PID 值连续递增的数据包聚类,并为每个聚类定义预期 PID 值(EPID)。新数据包的 PID 值与某个聚类的 EPID 值相等时,该数据包将被视为伪造包。
以下是一些常用英文术语的解释:
|术语|含义|
| ---- | ---- |
|DDoS|分布式拒绝服务攻击|
|SYN|TCP 协议栈中用于初始建立
订阅专栏 解锁全文
扫一扫
1234
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
