如发现有乱码，请点击下面链接浏览原文
正文摘录:

《现代电子技术》2006年第19期总第234期》通信与信息技术司是否有入侵发生[3]。当然，基于主机的入侵检测也存在不足，入侵者可以通过学习设法逃避HIDS审计，在实际中，HIDS需要与NIDS等安全防护手段结合以满足日益增强的计算机系统安全的需求。但是从研究的角度看，主机入侵检测的基础理论、方法和技术仍然是未来若干年内网络安全研究的热点之一。因此，随着攻击技术的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火和入侵检测墙策略已经无法满足对网络安全的需要，网络安全必须采取一种纵深的、多样的手段。2DDoS攻击原理1999年7月，一种新的攻击形式引起了人们的注意，称为分布式拒绝服务攻击(【)istributedI)enialofService，DDoS)[4…，根据其攻击的方式也可称为协同拒绝服务攻击。D【MS是一种基于【MS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，象商业公司、搜索引擎和政府部门的站点。分布式拒绝服务攻击一般是基于客户机／服务器模式，其特点是先使用一些典型的黑客入侵手段控制一些高带宽的服务器，然后在这些服务器上安装攻击进程，集数百台甚至上千台机器的力量对单一目标实施攻击。在悬殊的带宽力量对比下，目标主机会很快因不胜重负而瘫痪。‘DIMS技术发展十分迅速，由于其隐蔽性和分布性很难被识别和防御。I)oS攻击只要一台单机和一个Modem就可实现，而DI)oS攻击是利用一批受控制的机器向一台机器发起攻击，使得来势迅猛的攻击更令人难以防备，因此具有较大的破坏性。D【)oS的攻击原理如图1所示。图1DDoS攻击原理从图l可以看出，D【)oS攻击分为3层：攻击者、主控端、傀儡机，三者在攻击中扮演着不同的角色。攻击者攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，他向主控端发送攻击命令。主控端主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的傀儡主机。主控端主机安装了特定的程序，因此他们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。傀儡机傀儡机同样也是攻击者侵入并控制的一批主机，上面运行攻击器程序，接收和运行主控端发来的命令。傀儡机主机是攻击的执行者，真正向受害者主机发送攻击。发动D【)oS攻击主要分为2个阶段：首先，是初始的大规模入侵阶段。攻击者寻找在Internet上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的傀儡机。最后大规模I)oS攻击阶段。即通过主控端(handle／master)和傀儡机(Zombie)对目标受害主机发起大规模拒绝服务攻击。在攻击者的调遣下对攻击对象发起攻击。由于攻击者在幕后操纵，所以在攻击时不会受到监控系统的跟踪，身份不容易被发现。3DDoS攻击的安全防御系统D【)oS攻击的安全防御体系结构，如图2所示。依据分布式并行系统”’，本体系结构通过在整个网络中的不同位置上设置性能不同的工作组件，由工作组件间的相互合作建立针对网络中大量存在的分布式拒绝服务攻击的安全防御体系。该体系中包括3种类型的工作组件，分别是总控组件(ControlModule)、分析组件(Analyzer·Module)和响应组件(ResponderModule)。总控组件(ControlModule)是网络中的任意一台计算机，可以位于Intei·net网络中的任意位置，负责控制、协调分析组件和响应组件之间的工作。分析组件(AnalyzerModule)可以位于网络中的任何位置，但是为了能及时响应，分析组件通常和总控组件位于同一子网中(可以和总控组件位于同一台计算机上)实现对各边界路由器的网络业务流的分析。分析组件得到全网的数据流的流量信息后，进行分析。得到正常和攻击情况下的关联规则，由此判断傀儡机所在的子网的边界路由器，实现了对攻击源的定位。该体系中还通过在各边界路由器上布置响应组件(ResponderModule)，监测、记录通过本地边界路由器的输入、输出到本地子网的数据流量，响应总控组件的对流量采样的要求，以及将流量信息按要求发送到分析组件所在的计算机上。3.1总控组件(Contr01.ModuIe)总控组件位于网络中的任意子网中的一台计算机上，是D[)oS攻击安全防御体系中的总控制者。(；ontrolModule和同一子网中的AnalyzerModule通信，启动分析组件工作或停止工作。(]ontrolModule可以55