蜜罐技术在防御DDoS中的应用
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
万方数据
2010年第4期汪北阳:蜜罐技术在防御DDoS中的应用
7l
具有足够威胁的攻击;
(2)使攻击者攻击不到真正的目标[10】。
具体方式是切断图1中的两个控制信息流中的任意一个,或者切断攻击流。蜜罐布置如图2所示的
网络结构,在DMZ区有web、E—mail、DNS、m四个
服务器,这些服务器是向外提供Internet服务的,在DMZ区同时也布置一些蜜罐系统,这些蜜罐系统中也分别配置成以上四种服务器中的一种,DIVIZ区与Intemet用一个防火墙隔离。这些蜜罐的作用是代替
真实服务器接收由攻击傀儡机发送的攻击包。内部
局域网被一个防火墙与DMZ区隔离,包括若干台主机和伪装成存在安全漏洞的局域网主机的蜜罐。在防火墙中同时运行入侵检测、攻击扫描和网络数据包
的重定向机制¨¨。
图2蜜罐布置网
2.2安全防范框架
(1)蜜罐技术在防范DDoS攻击中的作用:①目前主流的防火墙都有检测DDoS攻击的功能[121,在防火墙检测到DDoS攻击后启用重定向功能,将攻击流重定向到蜜罐主机(切断攻击流);②同时蜜罐主机由于也配置有服务器相同的服务软件,并且由于蜜罐系统具有相对容易攻击的特点,可以吸引黑客的攻击,稀释对受保护主机的攻击;③吸引黑客入侵蜜罐,以蜜罐主机为控制傀儡机,由蜜罐系统控制这些信息流(切断控制信息);④蜜罐系统内安装安全日志,可以记录不同的攻击行为,以供学习。
攻击流
防火±i{{}
芷常访问
服务器
日志服务器
图3网络安全系统框图
(2)利用蜜罐技术防范DDoS攻击的原理,如图3所示。防火墙系统将攻击流量重定向到蜜罐,由蜜罐系统做出回应并进行日志记录。有些攻击可能突
破防火墙,这时蜜罐就能起到混淆攻击者,诱骗这些攻击流进入蜜罐系统。蜜罐系统将这些攻击行为记录加密后发送到日志服务器,这台服务器是低交互并加固的,很难被入侵u31。
3应用蜜罐技术防御DoS攻击的性能分析
对上述方案进行了攻击防范实验。攻击采用分
布式的SYNFlood,设置攻击傀儡机的攻击速度从2.
2Mbps开始逐渐提高,网络带宽为100Mbps。服务器方由4个真实系统和4个伪装成服务器的蜜罐主机
组成[131。在SYNFlood攻击过程中,单个服务器主
机和蜜罐受到的攻击流量如图4所示。
"I∞l∞∞0m
图4单个服务器主机和蜜罐受到的攻击流量
为避免被攻击者察觉,这里所选用的蜜罐设置为低安全措施、有漏洞的真实系统[141。一旦防火墙发现攻击者在试图搜寻或入侵网络主机,就会通过地址重定向将这些信息发送到合适的蜜罐,蜜罐将根据初始设置向攻击者发送他所期待的应答,使攻击者认为该主机已经被控制。攻击者将使用这些“受控主机”,在蜜罐上安装攻击软件并向这些蜜罐发送控制信息。设攻击者在搜索和入侵有漏洞主机时被入侵检测系统发现并重定向到蜜罐的概率为P.,一个网络中有普通主机数k,每一台主机被成功入侵的概率
为P2,伪装成漏洞主机的蜜罐数为g,可得到入侵真实主机成功的概率为P2(1-P。)k/(k+g),入侵蜜罐的概率是Pl+(1一P1)g/(k+g)。
通过分析蜜罐日志所得的信息加强入侵检测、加固主机,可以不断提高入侵检测系统发现攻击行为的概率P。,降低主机被入侵的概率P2。由图4可见,采用上述蜜罐方案,能明显降低攻击者通过入侵足够数量的主机发起高强度DDoS攻击的概率,并能够有效地降低服务器主机所受到的攻击强度。
”¨¨
”蛐¨“
“n
攻击覆量¨
H
黜攀
啵卫机生撇
重一
万方数据
万方数据
蜜罐技术在防御DDoS中的应用
作者:汪北阳, WANG Bei-yang
作者单位:长江大学计算机科学学院,湖北,荆州,434023
刊名:
计算机与现代化
英文刊名:COMPUTER AND MODERNIZATION
年,卷(期):2010(4)
1.Barlow J;Thrower W TFN2K-An Analysis 2008
2.黄传河;杜瑞颖;张沪寅网络安全 2004
3.Gibson Steve DRDoS,Distributed Reflection Denial of Service 2008
4.Dittrich David The "Tribe Flood Network" Distributed Denial of Service Attack Tool 1999
5.Feinstein L;Schnackenberg D;Balupari R Statistical approaches to DDoS attack detection and response 2003
6.Howard John D An Analysis of Security Incidents on the Internet 1998
7.Dittrich David The "Stacheldraht"Distributed Denial of Service Attack Tool 2009
8.Chen Zhaole;Lee Moon-Chuen An IP traceback technique against Denial-of-Service attacks 2003
9.Cooperative Association for Internet Data Analysis(CA1DA)The Kitter Project 2008
10.赛迪资讯顾问公司2006-2007中国网络安全软件市场研究年度报告 2007
11.Weiler N Honeypots for distributed denial of service attacks 2002
12.Kuznetsov Vadim;Sandstr m Helena;Simkin Andrei An evaluation of different IP traceback approaches 2002
13.Pervasive Technology Labs at Indiana University Advanced Networking Management
Lab(ANML)Distributed Denial of Service Attacks(DDoS) Resources 2009
puter Crime Research Center2003 CSI/FBI Computer Crime and Security Survey 2004
本文链接:/Periodical_jsjyxdh201004020.aspx