在云計(jì)算環(huán)境，云主機(jī)提供被請(qǐng)求的云服務(wù)，有時(shí)在收到大量的請(qǐng)求時(shí)可能崩潰。這就是發(fā)生了拒絕服務(wù)(DoS)攻擊。它放正常用戶不能正常訪問(wèn)。DoS攻擊通常采用IP欺騙的手法用來(lái)隱藏真正的攻擊源，同時(shí)使得攻擊源地址看起來(lái)都不相同。

本文中我們提供了一個(gè)在云計(jì)算環(huán)境下防御DDoS攻擊的方法，這個(gè)新的跳數(shù)統(tǒng)計(jì)過(guò)濾的方法提供了一個(gè)在云計(jì)算環(huán)境下的獨(dú)立網(wǎng)絡(luò) ，可以容易的的防止DoS的解決方案。這個(gè)方法也能夠降低正常用戶云服務(wù)的不可用率，降低更新的數(shù)量，節(jié)省了計(jì)算時(shí)間。該方法模擬了CloudSim Toolkit環(huán)境和相應(yīng)的產(chǎn)生的結(jié)果。

一、介紹

云計(jì)算被定義為一種新型的計(jì)算形式，以可以動(dòng)態(tài)擴(kuò)展的虛擬資源在互聯(lián)網(wǎng)上提供服務(wù)。高級(jí)的云計(jì)算技術(shù)包括了，節(jié)省消耗，高可用和可擴(kuò)展的特性。

DoS 攻擊不在于通過(guò)修改數(shù)據(jù)獲得非法訪問(wèn)，而是希望使目標(biāo)的服務(wù)或者整個(gè)網(wǎng)絡(luò)崩潰，或者是擾亂正常用戶的訪問(wèn)。DoS攻擊能在一個(gè)源或者多個(gè)源發(fā)起。多個(gè)源的攻擊被稱為分布式拒絕服務(wù)攻擊(DDoS)。

當(dāng)操作系統(tǒng)注意到某個(gè)服務(wù)的工作負(fù)載較高，它將分配更多的計(jì)算資源來(lái)應(yīng)付增加的負(fù)載。攻擊者可以淹沒(méi)一個(gè)單點(diǎn)的，系統(tǒng)基礎(chǔ)的地址來(lái)達(dá)到使目標(biāo)服務(wù)的全不可用目的。這些攻擊者比較典型的手法就是洪水攻擊，基本是由攻擊者發(fā)起大量的無(wú)意義的報(bào)文給某一確定的在云上面開(kāi)放的服務(wù)。每一個(gè)請(qǐng)求都會(huì)被服務(wù)去處理以驗(yàn)證是否為合法請(qǐng)求，這就使得每個(gè)共計(jì)請(qǐng)求都會(huì)占用一定量的工作負(fù)載。在洪水般的攻擊下通常會(huì)造成服務(wù)器的拒絕服務(wù)。

二、跳數(shù)計(jì)算

雖然跳數(shù)信息沒(méi)有直接存儲(chǔ)在IP頭中，但它可以試用TTL字段計(jì)算出來(lái)。TTL在IP頭中是一個(gè)8位的字段，起初是用來(lái)指定互聯(lián)網(wǎng)上每個(gè)報(bào)的最大生命周期的。每個(gè)中間的路由器會(huì)把經(jīng)過(guò)它的IP包在轉(zhuǎn)發(fā)到下一跳前把TTL值減一。

A.提取最終的TTL值

當(dāng)一個(gè)數(shù)據(jù)包到達(dá)目的地址提取TTL字段值的時(shí)候，這個(gè)值被稱為最終TTL值。跳數(shù)統(tǒng)計(jì)的挑戰(zhàn)在于在目的地址只能看到最終TTL值。如果所有的操作系統(tǒng)都是用相同的TTL初始值的將會(huì)很簡(jiǎn)單，但實(shí)際他們并沒(méi)有再初始TTL值上達(dá)成共識(shí)。另外，由于操作系統(tǒng)對(duì)于給定的IP地址可能會(huì)隨時(shí)改變，我們就不能假設(shè)每個(gè)IP地址都使用一個(gè)不變的TTL初始值。

B.研究TTL的初始值

根據(jù)以上得出，大多數(shù)現(xiàn)代的操作系統(tǒng)只選擇使用幾種初始TTL值，如 30，32，60，64，128和255.只有很少的互聯(lián)網(wǎng)主機(jī)會(huì)被分割超過(guò)30跳以上，因此我們可以初步判定數(shù)據(jù)包的初始TTL值為在以上集合總大于最終TTL值的最小數(shù)值。

例如，如果最終TTL值為112，那么在可能的128和255中選擇最小的是128為初始值。這樣給出最終的TTL值就能夠找到初始的TTL值。初始TTL值可以由以下方法計(jì)算得出：

Initial TTL=32 if final TTL <=32

Initial TTL =64 if 32

Initial TTL =128 if 64

Initial TTL =255 if 128

C.IP2HC表

IP2HC表是一個(gè)在數(shù)據(jù)包源IP地址和這個(gè)IP的跳數(shù)做映射的表。這是一個(gè)以源IP地址為索引來(lái)匹配跳數(shù)信息。

三、防止DoS攻擊的算法

該算法使用跳數(shù)過(guò)濾機(jī)制，并且提供了一個(gè)在云計(jì)算環(huán)境中執(zhí)行的明確思想。

這個(gè)算法需要在云上連續(xù)的監(jiān)控通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)包，然后我們從監(jiān)控到的TCP/IP包中提取出SYN標(biāo)識(shí)、TTL值和源IP信息。該算法識(shí)別每個(gè)捕獲的包的四元組的整個(gè)操作如下，

如果SYN標(biāo)識(shí)被設(shè)置，并且源IP地址在IP2HC表中存在，然后試用IP包的TTL值計(jì)算跳數(shù)�，F(xiàn)在檢查跳數(shù)是否和存儲(chǔ)的跳數(shù)是否一致，如果不一致就更新這個(gè)IP地址對(duì)應(yīng)的跳數(shù)字段的值。

如果SYN標(biāo)識(shí)被設(shè)置但是源IP地址在IP2HC表中不存在，那么就計(jì)算跳數(shù)，然后把源IP地址和對(duì)應(yīng)的跳數(shù)作為新的條目添加到該表中。

如果SYN標(biāo)識(shí)沒(méi)有被設(shè)置，并且IP地址存在于IP2HC表中，那么就計(jì)算跳數(shù)。如果跳數(shù)與IP2HC表中存儲(chǔ)的對(duì)應(yīng)跳數(shù)不符，那么可以判定這個(gè)包是虛假的或者這個(gè)包是非法的。

如果SYN標(biāo)識(shí)沒(méi)有被設(shè)置并且源IP地址不存在于IP2HC表中，這意味著這個(gè)包是虛假的，因?yàn)槊總�(gè)合法的IP地址都有一個(gè)可用的TCP連接信息記錄在IP2HC表中的。

這個(gè)檢測(cè)算法提取去了每個(gè)IP包的源IP地址和最終TTL值。算法用推測(cè)出初始的TTL值減去最終的TTL值來(lái)獲得中間的跳數(shù)。源IP地址作為表的索引檢索這個(gè)IP地址的正確跳數(shù)。如果某個(gè)數(shù)據(jù)包計(jì)算跳數(shù)和表中的匹配，這個(gè)包為可信的，反之這個(gè)包就比較像是虛假的。

算法-1

參考下面的標(biāo)識(shí)：

synflag = Syn bit of TCP packet.

mcount =malicious packet counter.

Tf= final value of TTL.

Ti=initial value of TTL.

偽代碼如下：

For each packet Set TTL = ExtractFinalValueOfTTL( ); //get time-to-leave field of IP packet Set srcIp = ExtractSourceIP( ); //get source IP address from IP packet Set synflag = ExtractSynBit( ); //get Syn flag value from TCP packet If (synflag is set) { If (establish_tcp_connection( )) //true when connection established { If ( srcIp is exist in IP2HC table ) { ComputePacket ( srcIp , TTL , synflag); // function call which filter the spoofed Packet } else //new connection packet { Hc=ComputeHopCount( TTL ); //get hop-count value NewEntryInTable(srcIp,Hc); //Add entry into IP2HC table } } else { // ignore packet } } else //synflag is not set { If ( srcIp exist in IP2HC Table) { ComputePacket ( srcIp , TTL, synflag ); // function call which filter the spoofed packet } else { ‘drop the packet’ //Packet is spoofed mcount++; // increment in malicious packet by 1 } } ComputePacket ( string srcIp , int Tf , boolean synflag) { Hc=ComputeHopCount( Tf ); //get hop-count value Hs=RetreiveStoredHopCount(srcIp); //get stored hop-count value If ( Hc != Hs ) { if( synflag is set) { UpdateTable ( srcIp , Hc); //update hop-count value in IP2HC table } else { ‘drop the packet’ //Packet is spoofed mcount++; // increment in malicious packet by 1 } } else { ‘a(chǎn)llow the packet’ // packet is legitimate } } int ComputeHopCount( int Tf ) { Set Ti= InvestigateInitialTTL(Tf); return Ti - Tf; //return hop-count value }

四、模擬結(jié)果

我們?cè)贑loudSim Toolkit上模擬我們的算法，在云主機(jī)上已經(jīng)到達(dá)了1000 pps。實(shí)驗(yàn)結(jié)果見(jiàn)表1，其中包括了包的SYN標(biāo)識(shí)(Syn)和源IP地址(Src)的各種情況,Syn=0表示SYN 標(biāo)識(shí)沒(méi)有被設(shè)置，Syn=1表示SYN標(biāo)識(shí)已經(jīng)被設(shè)置。同樣Src標(biāo)識(shí)當(dāng)前源IP地址是否在IP2HC表中。Src=0表示條目不存在，Src=1表示條目存在。

第一個(gè)實(shí)驗(yàn)包括了580(337+243,見(jiàn)表1)個(gè)惡意包，和173個(gè)新條目，并且只有83個(gè)條目被更新。相反，需要在表中需要被更新的包是 130(Syn=1且Src=1)。所以有效包的(實(shí)際上已縮減)是47個(gè)(130-83)。總共縮減在表中更新數(shù)是30.15%(總共允許的報(bào)數(shù)/所有包數(shù))，這比常規(guī)的方法改善了很多。

在對(duì)模擬樣本輸入到達(dá)率為‘A’的計(jì)算時(shí)間的各種結(jié)果進(jìn)行了分析匯總為表2。

表2：樣本輸入

圖3中展示了我們提出的方法可能節(jié)省的計(jì)算時(shí)間，在2，3，4的用樣本里趨勢(shì)有變化。樣本2需要更多的時(shí)間，樣本3和4因?yàn)橐蕾囉诮邮瞻�的字段。�?jì)算時(shí)間是云網(wǎng)絡(luò)性能衡量的相關(guān)因素。它提高了云主機(jī)的處理能力，可用資源損失達(dá)到最小化。

圖3：計(jì)算時(shí)間

五、結(jié)論

云計(jì)算越來(lái)越流行，但是隨著云的廣泛使用，其安全問(wèn)題也越來(lái)越明顯。一個(gè)運(yùn)安全的主要的威脅是分布式拒絕服務(wù)攻擊(DDoS)或者是更為簡(jiǎn)單的拒絕服務(wù)攻擊(DoS)。提高資源的可用率，是很有必要提供一種防御DDoS攻擊的機(jī)制。其中一種防御方法就是跳數(shù)過(guò)濾方法(HCF)。本文展示了一個(gè)版本的跳數(shù)統(tǒng)計(jì)方法，不只是檢測(cè)惡意數(shù)據(jù)包也包括了更新IP的跳數(shù)表的機(jī)制。通過(guò)分析TCP協(xié)議的SYN標(biāo)識(shí)減少了更新次數(shù)，也就節(jié)省了計(jì)算時(shí)間。

在不久的將來(lái)，云計(jì)算一定會(huì)徹底走入我們的生活，有興趣入行未來(lái)前沿產(chǎn)業(yè)的朋友，可以收藏云計(jì)算，及時(shí)獲取人工智能、大數(shù)據(jù)、云計(jì)算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識(shí)，讓我們一起攜手，引領(lǐng)人工智能的未來(lái)！

標(biāo)簽： ddos 安全 大數(shù)據(jù) 代碼 防御ddos 服務(wù)器 互聯(lián)網(wǎng) 網(wǎng)絡(luò) 云服務(wù) 云計(jì)算 云計(jì)算技術(shù) 云主機(jī)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。