為什么非對稱路由環(huán)境下正常單向流會導(dǎo)致DDoS誤判茧吊?
主干網(wǎng)中常采用多路徑網(wǎng)絡(luò)架構(gòu)笛谦,為了提高網(wǎng)絡(luò)傳輸效率液兽,會采用策略路由和負(fù)載均衡技術(shù)庶弃。這會使得同一流的上行和下行報文經(jīng)過不同路徑,在某個節(jié)點只能觀測到單向流量尺碰,形成非對稱路由。
目前一些DDoS檢測方法是基于流量的不對稱性來判斷網(wǎng)絡(luò)中是否存在DDoS攻擊,即受攻擊方接收的報文遠(yuǎn)多于發(fā)送的報文亲桥。
但是在非對稱路由環(huán)境下洛心,由于節(jié)點只能觀測到單向流量,這些正常的單向流在DDoS檢測時其流量在某個節(jié)點也呈現(xiàn)出了不對稱性题篷,也會被判定為存在不對稱性词身,從而被誤判為DDoS攻擊流量。
如果DDoS檢測方法沒有考慮到非對稱路由的影響番枚,僅依據(jù)流量不對稱性來判斷法严,則非對稱路由環(huán)境下的正常單向流很容易被誤報為DDoS攻擊,導(dǎo)致較高的誤報率葫笼。
怎么在流量檢測特征選取上避免了對非對稱路由環(huán)境下正常單向流的誤判呢深啤?
除了選擇流量的發(fā)送量和接收量作為特征,還額外選擇了報文速率和端址分布作為特征路星。
報文速率可以反映出流量的突發(fā)性溯街。DDoS攻擊流量的報文發(fā)送速率明顯高于非對稱路由下正常的單向流量。端址分布也不同洋丐,DDoS攻擊使用大量分散的僵尸主機(jī)呈昔,源端址分散;而非對稱路由下單向流的源端址集中友绝。
由于考慮了報文速率和端址分布特征堤尾,即使流量存在不對稱性,也可以區(qū)分DDoS攻擊流量和正常單向流量迁客。
- DDoS攻擊流量的報文速率高郭宝,端址分散
- 正常單向流量的報文速率低,端址集中
還可以選擇報文長度均值哲泊,這可以區(qū)分不同類型的UDP反射放大DDoS攻擊剩蟀。
