基于P2P的僵尸网络防治技术研究

�趇(��i��i"{^�w�?c������"{^�w���C��������O���0�H:��i?c����K�i��i�+�z�^�����v�+�z�^��i ������Ԯ���z��z�h�+�z�h�+�z�h�+�z�h�S��J�^�-��v��iJ�^�-
��e��A+�z�h�+�z�h��m������iJ�^�-=��R����Oy���Ԯ������z�b{���Չ�����R����JI_���R����Oy��z��z�^�+�z�h��iJ�^�-J�^�-J�^�-=��Oy���Ԯ���zԮ������n?��R� D�<u*�餤JP����JD�?�����R���5�R����u���B�t�������n�=��R����R����v�t���������
3�z�^��i=�5�R������������6��O���=+�z�^�+�z�h����-�����?�i:"��á á á/�R�i��i��i� �0�K�i: ��}H?�i�]���𿦑.u騟�i��R o��i�0�K���v��w��x��w�o�K�zj'�M4:��u��v��w��x<�����i�o�}���C��<����R a<�M�� o�R��v ����"https://www.baiyiya777.com/t/xuexi/" target="_blank" class="keylink">学习；

（3） 对攻击判定的的静态流量阈值进行配置；

（4） 为每个攻击目的IP配置默认或指定专用的限流策略，同时可指定相同域中的某个清洗设备；

（5） 受到攻击的目标IP被识别后，将受到的攻击类型和相应的清洗方案发送到目标IP指定的清洗设备上进行清洗；

（6） 将DIG设备上学习到的目的IP指纹发送给FW；

（7） 可识别的攻击种类有：分片攻击、UDP Flood、TCP Flood、SYN Flood、ICMP Flood、DNS Flood、IN Flood、HTTP Get Flood、ACK Flood、FRST Flood异常报文。

3.2.2 攻击流量引流方案

当攻击被安全控制中心识别后，会通知清洗中心的防火墙并发送清洗策略。主要清洗策略包括：攻击特征、攻击类型和受攻击目标的IP地址，也可以手动向防火墙发送针对某个具体目标IP地址的清洗策略。

核心路由器和防火墙预先建好BGP连接，防火墙将针对目标IP地址发送一条主记录，通过BGP将该路由发布到核心路由器上。因为主机路由有限，后续到该IP地址的流量将被直接引入防火墙。

3.2.3 DDoS流量清洗技术

（1） 防御性能。Eudemon8000系列的防火墙以先进的分布式NP架构为基础，接口类型丰富，接口密度大，整机最大吞吐量为16 Gb/s；每个防火墙板有速度不小于100万包/s的攻击报文处理，整机最大处理量为400万包/s。

（2） 防范技术。Eudemon防火墙不仅可以对来自城域网络的各种攻击进行有效的防范，还能够对各种非法报文和蠕虫病毒以及各种扫描的攻击进行防范。

（3） 流量日志。方案中的日志分析服务器详尽的记录了攻击类型和攻击流量的防范日志，同时还特别的记录了基于IP地址的流量清洗日志，可以得到受攻击的目标IP的流量情况及流量清洗效果。

3.2.4 正常流量回注技术

在回注被防火墙清洗后的正常流量时，为了避免出现环路，回注的方法如下：

（1） 引流设备和回注设备非同一台设备，发布工作通过控制引流路由器的动态路由来完成；

（2） 引流和回注设备是同一台设备，由策略路由进行回注；

（3） 引流和回注设备是同一台设备，由MPLS VPN进行回注。

4 结 论

本文通过对典型P2P僵尸网络SuperNet的架构、传播和引导策略、抖动处理方法、交互和控制策略以及参数选择的研究，给出了传统防御方法的不足，进而提出了IP城域网清洗方案。以管理中心、清洗中心、流量牵引系统和攻击检测系统组成的异常流量清洗系统可以实现攻击流量的识别、引流、清洗和正常流量回注功能，实现了对城域网和客户网络的保护，对建设安全可用的网络环境具有重要意义。

参考文献

[1] CANAVAN J. The evolution of malicious IRC bots [R]. US： Symantec Security Response， 2012： 23⁃25.

[2] PAXSON V. An analysis of using reflectors for distributed denial⁃of⁃service attacks [J]. ACM SIGCOMM computer communication review， 2001， 31（3）： 76⁃89.

[3] 李金猛，王剑，唐朝京.一种基于流量分析的P2P僵尸网络检测模型[J].现代电子技术，2015，38（19）：106⁃109.

[4] 薛立军.分布式拒绝服务攻击检测与防护[D].西安：西安电子科技大学，2011：48⁃50.

[5] RAJAB M A， MONROSE F， TERZIS A. On the impact of dynamic addressing on malware are propagation [C]// Proceedings of 4th ACM Workshop on Recurring Malcode. US： ACM， 2006： 51⁃56.

[6] 诸葛建伟.僵尸网络研究与进展[J].软件学报，2013，19（1）：152⁃165.

[7] LEONARD D， RAI V， LOGUINOV D. On lifetime based node failure and stochastic resilience of decentralized peer to peer networks [J]. ACM SIGMETRICS performance evaluation review， 2005， 35（1）： 26⁃37.

[8] BINKLEY J R， SINGH S. An algorithm for anomaly⁃based botnet detection [C]// Proceedings of 2006 ACM Conference on Steps to Reducing Unwanted Traffic Internet. US： ACM， 2006： 43⁃48.

推荐访问:僵尸 技术研究 防治 网络 P2P