桐城网

 找回密码
 我要注册

QQ登录

只需一步,快速开始

查看: 2137|回复: 0

[DIY] 防火墙解决ddos之道

[复制链接]

2

主题

0

回帖

2

积分

文都童生

Rank: 1

积分
2
鲜花(0) 鸡蛋(0)
发表于 2008-10-4 11:29:57 | 显示全部楼层 |阅读模式

文章出自:http://blog.sina.com.cn/s/blog_599767520100a9z2.html

现有的DDoS 攻击检测方法大多是通过监视目标主机上网络信息流量的突变特性来实现攻击检测的。但这种检测方法存在两个问题: 一是检测的滞后性问题。只有在目标主机的流量发生突变的前提下才能检测出攻击已经发生, 通常, DDoS 攻击在很短时间内可以发送上万个攻击数据包, 可能在攻击还未检测出来之前已经造成网络服务的堵塞或系统崩溃; 二是检测结果的误报率问题。虽然发生DDoS 攻击的明显特征是网络流量的突变, 但流量的突变并不意味着DDoS攻击发生。实际上, 当大量合法用户同时登陆同一站点时也会发生流量突变的现象。  
                 

而安易防火墙解决这个问题的基本思想是: 利用DDoS 攻击预攻击阶段短时间内系统目标出现的大量网络连接请求数据包这一特征, 从网络连接次数入手, 检测所有访问者IP 地址并记录它们的连接次数和时间戳, 引入概率分布函数, 利用分布函数动态地描述系统的状况, 依据统计量的特征分布, 动态调节检测阈值的大小, 实现对DDoS 攻击的检测。

系统主要由统计引擎、分析引擎和检测引擎三个部分构成。统计引擎通过对网络数据的统计分析, 建立目标系统正常行为的分布规律和确定检测阈值; 分析引擎将处理后的网络数据与正常分布规律进行比较, 区分出正常数据和异常数据, 正常数据存入历史数据中, 异常数据送入检测引擎进一步分析。偏差分析引擎使得攻击检测的计算量大为减少, 有效节省了计算开销; 攻击检测引擎将检测阈值作为检测标准, 对异常数据进行分析, 以确定是否为攻击行为。
【分享精彩·网聚未来】 我骄傲,我是桐城人! 桐城网宗旨:弘扬主旋律,讴歌真善美,传播正能量,彰显精气神。
您需要登录后才可以回帖 登录 | 我要注册

本版积分规则

快速回复 返回顶部 返回列表