DDOS概要

DDoS概要

DDoS即分佈式拒絕服務，從第一次有記載的攻擊到如今,DDoS已經有20多年了，儘管你可能意識到二十年來，隨着信息高速公路的建設以及摩爾定律，網絡帶寬已經出現了極大程度的提升，可是一個簡單的事實就是破壞比維護簡單的多。更重要的是，在過去的二十年裏，咱們對DDoS的防護措施沒有根本上的變化，而攻擊技術卻在不斷進步。DDoS防護技術依然集中在流量清洗措施。總體來說，網絡安全是一種不對稱的對抗，DDoS尤甚。

對於檢測來說，挑戰在於如何區分DDoS流量和正常的業務流量，這其中的區別一般只能在應用層可見。應用層一般還會對該數據進行加密，這致使試圖解析網絡流量行爲將帶來巨大的運算開銷，甚至將檢測引擎擊穿。從DoS到DDoS彷佛也在告訴咱們，應對分佈式的網絡攻擊，分佈式防護也多是最終的的去路。

 

這裏將DDos分爲兩種

一、 Volumetric DDoS

二、 Resource Exhaustion Attacks

Volumetric DDoS常常見之於新聞報告，近期報道中就有Github 披露的Memcahced反射攻擊，大部分攻擊行爲依賴於源IP地址欺騙，經過在攻擊中使用源IP spoofing 獲取放大因子，利用無狀態的DDoS攻擊達到目的。常見被利用的協議包括DNS、SNMP、NTP等。

Resource Exhaustion Attacks對公衆來講比較少見，直觀來講，當一個網站頁面被多人訪問時，網站的響應速度就會變慢，資源耗盡攻擊利用大量「真實「的請求，消耗服務器資源，使得網站響應遲緩甚至奔潰，達到拒絕服務的目的。比較出名的有CC攻擊以及慢速攻擊等。資源耗盡攻擊在沒有抗D設備的狀況下可能會形成嚴重破壞，但因爲攻擊體積不會達到基於流量的級別，也就不多成爲媒體報道的對象。常見的受害協議包括HTTPS以及TCP SYN-Flood。

 

下面主要講一些常見的DDoS檢測思路

一、 用戶行爲建模

常見的如HMM模型，利用已有的數據對正經常使用戶的行爲進行建模，合法的用戶請求網站都會存在一個序列化的請求，若是這樣假設的話，有限狀態機也能夠做爲一種思路。

有限狀態機經常使用於地址檢查（好比快遞的地址自動解析）

二、 信用評估

經過用戶的歷史訪問記錄，來檢測

兩種方法都存在必定問題，用戶行爲建模須要用戶完整的訪問會話，這方面數據比較少，可能須要較多的數據清洗，信用評估方式會對新IP的訪問持悲觀態度

三、 流量檢測

檢測流量突變，發生變化後檢測IP請求速度， IP request length等變化

四、 深度學習

這塊沒有看到較好的實踐

有時間再寫幾篇論文的思路,若有錯誤歡迎指正