A taxonomy of DDoS attack and DDoS defense mechanisms
Mirkovic J, Reiher P. A taxonomy of DDoS attack and DDoS defense mechanisms[J]. ACM SIGCOMM Computer Communication Review, 2004, 34(2): 39-53.
本文不错,就是老了点,对DDoS攻击和防御做了总结和分类,而不是提供个具体的方法。
DDoS攻击总结
攻击overview
网络架构的缺点:
- 网络安全性高度独立
- 网络资源有限
- 攻击者协调工作
- 实体与网络带宽不一致,使攻击者有大量的资源可使用。
- 没有强制审计
- 网络是分布式
- 分布式管理,每个网络在本地管理下运行。
攻击策略
找slave,slave再找slave,进行spoof攻击。
DDoS目的
威望,钱,斗争,仇。
Taxonomy of ddos attack
贴上攻击分类图:
DA:自动化程度
分为手动,自动,半自动。
DA-1:手动
攻击手动扫描主机,黑它,插入恶意代码,启动,现在基本没有了。
DA-2:半自动
使用handler控制agent来进行攻击。
DA-2:CM:交流机制
handler与agent交流手段分:直接,间接。
DA-2:CM-1:直接
需要将handler的IP写死在攻击代码中,因此一个agent被发现可能导致整个攻击的失败
DA-2:CM-2:间接
间接通信,handler与agent通过IRC[19]进行交流,DDoS更稳定,攻击代码可更新,还可以定期更换IRC使其更难被发现。
DA-3:自动
全自动化,handler与agent之间不需要通信,攻击属性写死在攻击代码里。handler要做的就是启动攻击脚本。缺点:攻击系统不够灵活。
DA-2 DA-3:SS:扫描策略
一般使用worm自动感染主机,扫描方式分很多种,下面介绍
DA-2 DA-3:SS-1:随机扫描
被感染的主机使用种子随机扫描IP。这会导致大量流量,触发攻击检测系统。
DA-2 DA-3:SS-2:命中表检测
每感染一个就给被感染者发送一部分感染列表。优:快速,无碰撞;劣:列表可能太长,传输流量大;列表需要事先收集。
DA-2 DA-3:SS-3:路标检测
使用被感染的主机信息对新的主机进行扫描;优:流量小;缺:慢。
DA-2 DA-3:SS-4:置换扫描
所有被感染者有共同的IP表,IP对应下标。agent从随机下标开始,遇到被感染的再从随机下标开始。速度一般,有可能导致攻击检测。
DA-2 DA-3:SS5:本地子网扫描
该方法可附加到前面各扫描方法中,可以防炎墙内找弱机。
DA-2 DA-3:PM:传播机制
基于感染阶段的传播机制可分为:central source propagation,back-chaining propagation,autonomous propogation.
DA-2 DA-3:PM-1:中心源传播
感染机器从中心服务器下载代码。缺:会有单点失败问题。
DA-2 DA-3:PM-2:连式传播
当前感染的机器将代码传给下一个。优:稳定。
DA-2 DA-3:PM-3:自治传播
在探索阶段注入攻击指令。优:流量小。
EV:探索可攻击的弱点
EV-1:语义法
利用弱机已安装的协议或应用的缺点,如:TCP SYN,CGI请求攻击,NAPTHA 攻击。
EV-2:Brute-Force
发送超过弱机处理能力的大量流量。
SAV:源地址验证
安源地址验证类型的攻击可分:spoofed source address,valid source address
SAV-1:源地址欺骗
这个方法很流行
SAV-1:AR:地址是否可路由
这个可以再分:routable source sdress,non-routable source address
SAV-1:AR-1:可路由
反射攻击,如:Smurf attack
SAV-1:AR-2:不可路由
一般使用网络空间中被分配却未被使用的地址
SAV-1:ST:欺骗策略
按选欺骗地址的技术可分:random,subnet,enroute
SAV-1:ST-1:随机源地址
使用随机生成的地址。缺:容易被入口过滤器丢弃。
SAV-1:ST-2:子网欺骗地址
使用agent的子网地址
SAV-1:ST-3:使用agent出口路由地址
SAV-2:验证源地址
有的攻击需要请求/响应,所以需要用真实的地址。
ARD:攻击频率
可以分为:constant rate,variable rate
ARD-1:持续攻击
agent以固定频率发包,通常是最大。缺:触发攻击检测
ARD-2:变频攻击
通过改变攻击频率的方式避免触发攻击检测
ARD-2:RCM:变频机制
可分为:increasing rate,fluctuating rate
ARD-2:RCM-1:逐增
慢慢提高,逐渐增加耗victim的资源。可以延迟被检测
ARD-2:RCM-2:跳频
跳动攻击,可多组协作,保持有一组活跃攻击。优:难以被发现。
PC:是否定制
根据是否定制包头包内容可分:characterizable and non-characterizable attacks.
PC-1:Characterizable
定制攻击一般用于特定主机或协议
PC-1:RAVS:基于attack和victim服务的关系
可分:filterable and non-filterable
PC-1:RAVS-1:可过滤
发畸形包给victim的非标准服务,如UDP flood,ICMP ECHO flood。缺:可由防火墙拦截。
PC-2:RAVS-2:Non-Filterable
向victim请求合法服务的攻击,如:HTTP request flood,DNS request flood。优:难解决。
PC-2:Non-characterizable
使用随机生成的包。缺:攻击效果不行。
PAS:Agent的持续性
一直活跃会被检测,按Agent的持续性分:constant agent set,attack with variable agent set.
PAS-1:Constant Agent Set
所有Agent收到的指令一致,一起开一起关。
PAS-2:Variable Agent Set
Agent分组,组内同步,如ARD-2 RCM-2
VT:victim类别
可分为:application,host,network,infrastructure
VT-1:应用
攻击机器上的某个应用,耗尽其资源使合法用户无法使用。优:难检测
VT-2:主机
针对主机,耗尽资源使其不可用。如:TCP SYN。一般通过防火墙防御。
VT-3 网络
耗网络带宽。用防火墙容易防御。
VT-4 基础设施
攻击一些服务,如:DNS,ROUTER等。
IV:对victim的影响
可分为:disruptive,degrading
IV-1:Disruptive
使服务不可用
IV-1:PDR:被攻击后是否可恢复
可分为:revoverable,non-recoverable
IV-1:PDR-1:可恢复
当攻击停止,victim就恢复,如UDP flooding
IV-1:PDR-2:不可恢复
攻击停止victim无法恢复如使其死机等
IV-2:degrading
攻击只降低服务质量。这种攻击难以检测,威害巨大。
DDoS防御总结
防御challenge
- 布署
- 成效不好
- 攻击意图了解少
- 没有防御标准
- 无法进行大范围测试
Taxonomy of DDoS Defenses
贴上防御分类图
AL:防御机制活跃等级
可分为:preventive,reactive
AL-1:阻止
通过避免攻击发生,保护主机不受攻击
AL-1:PG:阻止目标
可分为:attack prevention,denial of service prevention
AL-1:PG-1:attack prevention
修改系统和协议以避免攻击发生。
AL-1:PG-1:ST:保护目标
根据保护目标可再分为:system security,protocol security
AL-1:PG-1:ST-1:系统安全
保护主机和router使他们成为强机。
AL-1:PG-1:ST-2:协议安全
完善协议,不好的协议使Server易受攻击,如TCP-SYN
AL-1:PG-2:Dos Prevertion
AL-1:PG-2:PM:防御手段
可分为:resource accounting,resource multiplication
AL-1:PG-2:PM-1:资源审计
user需要验证才会被分配资源。
AL-1:PG-2:PM-1:资源增加
用大量资源进行负载均衡,让attack耗不完。
AL-2:被动响应
致力于攻击发生时减小攻击的影响
AL-2:ADS:攻击检测策略
可分为:pattern detection,anomaly dettection,third-party detection
AL-2:ADS-1:模式匹配
将模式存于数据库,对新包匹配。缺:新的攻击不会检测到。优:FP低。
AL-2:ADS-2:异常检测
定期与正常系统行为模型比较来发现异常。
AL-2:ADS-2:NBS:normal behavior specification
可分为:standard,trained
AL-2:ADS-2:NBS-1:standard
依靠协议标准特征进行检测,没有FP,但复杂攻击可以伪装成标准特征。
AL-2:ADS-2:NBS-1:trained
训练正常特征生成阈值来区分。缺:阈值不好定;模型更新可能会误训练。
AL-2:ADS-3:第三方检测
不自已检测。
AL-2:ARS:攻击响应策略
可分为:agent identification,rate-limiting,filtering,reconfiguration
AL-2:ARS-1:Agent识别
使victim可以识别出Agent,结合其他策略降低攻击影响。
AL-2:ARS-2:rate限制
给恶意流限速,通常用于FP高的情况
AL-2:ARS-3:过滤
将恶意流完全过滤。缺:攻击者可以利用它误判性来达到dos目的。
AL-2:ARS-4:重配置
重配置TOPO,境加资源或隔离attacker.
CD:协作程度
可分为:autonomous,cooperative,interdependent
CD-1:Autonomous
防御机制与其他实体不合作。
CD-2:Cooperative
防御机制与其他实体协作,如:将防御决策发给router
CD-3:Interdependent
防御机制需要依靠其他实体进行攻击阻止,攻击检测,高效响应。
DL:布署位置
可分为:victim,intermediate,source network
DL-1:Victim Network
在victim网络布署来保护这个网络
DL-2:Intermediate network
以中件设备形式存在,保护大量主机,victim可以向其请求保护服务。 ####DL-3:Source network 在源头阻止攻击的产生。缺:谁来付错布署这个?
总结
本文是一篇不错的总结,被引用了1943次,许多参文献中都出更本文,有的文章里推荐阅读本文。本文的参考文献中有很多关于攻击的网站和资料。
文若可采,幸赐清茗一盏,以助笔耕不辍
福生无量
