在對(duì)相關(guān)技術(shù)和入侵檢測(cè)系統(tǒng)進(jìn)行研究的基礎(chǔ)上，設(shè)計(jì)了該插件的各功能，對(duì)插件內(nèi)各模塊進(jìn)行了詳細(xì)描述，并給出了插件的工作流程。除外，隨著設(shè)計(jì)的進(jìn)行在逐步測(cè)試入侵檢測(cè)系統(tǒng)中完成攻擊插件的測(cè)試工作。本文利用DoS攻擊檢測(cè)系統(tǒng)充分的驗(yàn)證了插件功能和統(tǒng)計(jì)效果。通過(guò)以上工作，本文較好完成了Snort插件的功能，實(shí)驗(yàn)結(jié)果表明該插件通過(guò)統(tǒng)計(jì)分析能有效的檢測(cè)判斷出攻擊的存在。

【關(guān)鍵詞】檢測(cè)系統(tǒng) DDoS攻擊 Snort 插件

拒絕服務(wù)攻擊（DoS）是利用偽造服務(wù)數(shù)據(jù)以及偽造用戶(hù)的服務(wù)請(qǐng)求來(lái)?yè)砣峁┓?wù)的設(shè)備，使服務(wù)降速、忽略用戶(hù)、合法請(qǐng)求被丟失、失效。本文是以對(duì)DDoS攻擊檢測(cè)方法以及檢測(cè)過(guò)程中DDoS在攻擊后所造成的響應(yīng)作為本文研究的主要目的，通過(guò)構(gòu)建將DDoS檢測(cè)和DDoS響應(yīng)集成在一起所搭建的系統(tǒng)，來(lái)完成對(duì)網(wǎng)絡(luò)中所出現(xiàn)的攻擊流的發(fā)現(xiàn)，并盡可能的對(duì)攻擊進(jìn)行阻斷以免發(fā)生攻擊。

1 DDoS防御思路簡(jiǎn)述

本次設(shè)計(jì)是以DDoS防御為主，因此為了能夠更好的完成本次對(duì)攻擊行為的防御以及達(dá)到較好的防御效果，對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)中的數(shù)據(jù)流速率及其分布做如下假設(shè)：

（1）在近似于和等于的時(shí)間間隔內(nèi)，在節(jié)點(diǎn)中的數(shù)據(jù)流速率大小和概率分布基本不會(huì)產(chǎn)生劇烈波動(dòng)；

（2）相鄰時(shí)間間隔內(nèi)如果間隔時(shí)間較短，針對(duì)大型網(wǎng)絡(luò)中的網(wǎng)絡(luò)節(jié)點(diǎn)通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)流在其速率和概率分布上應(yīng)該保持其基本不變。

基于這兩點(diǎn)假設(shè)，當(dāng)特征數(shù)據(jù)包異常升高時(shí)，可能發(fā)生了DDoS攻擊。本設(shè)計(jì)主要是通過(guò)統(tǒng)計(jì)的方法，識(shí)別出是否處于被DDoS攻擊的狀態(tài)，區(qū)分攻擊者的IP與正常使用者的IP，通過(guò)多種的方法阻止攻擊。

2 插件實(shí)現(xiàn)

2.1 網(wǎng)絡(luò)數(shù)據(jù)流統(tǒng)計(jì)模塊

該模塊的主要功能是進(jìn)行數(shù)據(jù)包特征值的記錄和運(yùn)算，使系統(tǒng)能夠提取到包含特征標(biāo)志位的數(shù)據(jù)包異常升高的信號(hào)，將網(wǎng)絡(luò)數(shù)據(jù)流數(shù)據(jù)包的統(tǒng)計(jì)屬性值信息利用相應(yīng)轉(zhuǎn)換公式或轉(zhuǎn)換方法將其轉(zhuǎn)換為具有一定信息的記值，然后將轉(zhuǎn)換后的記值信息存入到主機(jī)的內(nèi)存中進(jìn)行保存，并且在以后對(duì)模塊分析過(guò)程中再將其從內(nèi)存中調(diào)出以備使用。

2.2 運(yùn)算分析模塊

運(yùn)算分析模塊是針對(duì)數(shù)據(jù)流的相關(guān)信息進(jìn)行的一系列操作，由于該模塊是進(jìn)行分析和運(yùn)算，所以對(duì)于運(yùn)算分析模塊所起到的功能進(jìn)行分析，其主要有以下幾種功能：

（1）數(shù)據(jù)流的區(qū)分。

（2）創(chuàng)建Time Thread線程。

（3）對(duì)UDP數(shù)據(jù)包的數(shù)據(jù)載荷字段進(jìn)行hash。

2.3 響應(yīng)模塊

進(jìn)行日志記錄和阻斷分別通過(guò)Snort本身的日志輸出插件和Guardian防火墻合作完成。Guardian是基于iptables+Snort而設(shè)計(jì)的一種防火墻，其功能是利用Snort入侵檢測(cè)系統(tǒng)所提供的日志文件進(jìn)行分析，然后根據(jù)分析結(jié)果將某些惡意IP加入iptables的輸入鏈，達(dá)到阻斷目的。

2.4 模塊間通信說(shuō)明

插件是完成模塊間通信的主要手段，采用多線程、利用信號(hào)多少，互斥鎖等機(jī)制實(shí)現(xiàn)線程之間的同步，通過(guò)共享內(nèi)存實(shí)現(xiàn)線程之間的數(shù)據(jù)共享。Time Thread線程在設(shè)定的時(shí)間間隔內(nèi)將會(huì)發(fā)出相應(yīng)的觸發(fā)信號(hào)，然后由該信號(hào)來(lái)觸發(fā)Computing Thread線程，利用Computing Thread線程功能來(lái)獲取目前的總流量與當(dāng)前時(shí)間間隔的分流量值，從而在數(shù)據(jù)分類(lèi)中獲得正常數(shù)據(jù)流在發(fā)送總數(shù)據(jù)流中所占的特征比例。

3 部分測(cè)試結(jié)果

3.1 對(duì)UDP Flood攻擊的防御測(cè)試

進(jìn)行UDP攻擊前，查看主機(jī)B防火墻狀態(tài)信息：

root@bt：/etc/snort# iptables -L -n

Chain INPUT （policy ACCEPT）targetprotopt sourcedestination

ChainFORWARD（policyACCEPT）targetprot opt sourcedestination

Chain OUTPUT （policy ACCEPT）targetprot opt sourcedestination

You have new mail in /var/mail/root

攻擊后：

root@bt：～# iptables -L -n

Chain INPUT （policy ACCEPT）target prot opt source destination

DROP all -- 192.168.40.4 0.0.0.0/0

Chain FORWARD （policy ACCEPT）target prot opt source destination

Chain OUTPUT （policy ACCEPT）target prot opt source destination

攻擊者的IP被加入到防火墻中。

4 總結(jié)

DDoS攻擊被稱(chēng)為是網(wǎng)絡(luò)中的“核武器”，F(xiàn)lood攻擊在DDoS攻擊中是最為常見(jiàn)的一種攻擊行為。本論文以Flood所存在的兩種攻擊行為進(jìn)行了較為詳細(xì)的分析和總結(jié)，并以此作為基礎(chǔ)對(duì)當(dāng)前網(wǎng)絡(luò)上的各種各樣的攻擊行為所采用的防御方法進(jìn)行分析，以及攻擊過(guò)程中對(duì)協(xié)議棧內(nèi)容的修改和其他缺陷所呈現(xiàn)的現(xiàn)狀，從防御終端的角度，結(jié)合基于數(shù)據(jù)流統(tǒng)計(jì)方法，提出了以防御Flood攻擊方案的具體設(shè)計(jì)和實(shí)現(xiàn)，同時(shí)在該方案的設(shè)計(jì)過(guò)程中為了更好的實(shí)現(xiàn)防御方案，在整個(gè)系統(tǒng)設(shè)計(jì)中采用了Snort插件技術(shù)。

參考文獻(xiàn)

[1]劉文濤.網(wǎng)絡(luò)安全開(kāi)發(fā)包詳解[M].電子工業(yè)出版社，2005.

[2]李瑞民.網(wǎng)絡(luò)掃描技術(shù)揭秘[M].機(jī)械工業(yè)出版社，2011.

[3]韓東海.入侵檢測(cè)系統(tǒng)及實(shí)例剖析[M].清華大學(xué)出版社，2002.

[4]曹元大.入侵檢測(cè)技術(shù)[M].北京：人民郵電出版社，2007.

作者簡(jiǎn)介

曲春航（1987-），女，吉林省長(zhǎng)春市人。碩士學(xué)位。講師。主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)與信息安全。

作者單位

長(zhǎng)春建筑學(xué)院電氣信息學(xué)院 吉林省長(zhǎng)春市 130607endprint