全部栏目

首页 旅游资讯 线路攻略 景点大全 国内游 境外游 美食特产
您的当前位置:首页正文

DDoS攻击过程特征提取详解

2022-04-26 来源:钮旅网


DDoS攻击过程特征提取详解

1 渗透扫描

先进行IP扫描,看哪些IP是存活的,再进行端口扫描。

提取出来的计算特征:

(1) 目的IP点分格式时四个域的标准差分布

(2) 目的IP十进制时相邻IP的差值是否相等

(3) 当前源IP对应所有目标IP的中位数

(4) 当前源IP对应所有目标IP的平均值

(5) 目的IP点分格式时的差分特征

(6) 当前源和目的IP对应所有目的端口的平均值

(7) 当前源和目的IP对应所有目的端口的中位数

(8) 具体的ACK、SYN、FIN扫描方式等用具体的标志位判断

(9) 异常流量检测(针对随机生成的)

(10) IP包头检测(针对特定字段)

(11) 当前源IP单位时间内的发包数量

(12) 单位时间当前源IP对应的所有目的IP的数量

(13) 单位时间下行流量

(14) 单位时间下行数据包数量

1.1 IP扫描特征

1.1.1 IP扫描总特征

IP扫描(单一扫描源)时IP的分布特征为一对多,源IP固定,目的IP特征如下:

(1) 目的IP随机生成;

(2) 目的IP逐个递增;

(3) 目的IP集中在某一片网络区域;

(4) 目的IP点分格式时呈现特殊格式,如相邻域之间的差值相等;

(5) 端口分布通过端口扫描特征部分分析;

(6) 异常的IP包头(Header Length和IP Options);

(7) IP头中设置无效错误的字段值;

(8) Icmp.type = 8的扫描;

1.2 端口扫描特征

1.2.1 端口扫描总特征:

当确定该IP被扫描后,根据具体的协议再分析。TCP扫描根据FIN、SYN、ACK等标志位的值确定扫描类型,UDP扫描根据UDP扫描的特征确定。

(1) 目的端口随机生成;

(2) 目的端口逐渐递增。

1.2.2 TCP ACK扫描特征:

(1) 源端口固定;

(2) 目的端口随机生成;

(3) ACK字段为1,其余为0.

1.2.3 TCP FIN扫描特征:

(1) 源端口固定;

(2) 目的端口随机生成;

(3) Fin字段为1,其余为0。

1.2.4 TCP NULL扫描特征:

(1) 源端口固定;

(2) 目的端口随机生成;

(3) 所有标志位均为0。

1.2.5 TCP SYN扫描特征:

(1) 源端口依次增加;

(2) 目的端口随机生成;

(3) Syn标志位为1,其余为0。

1.2.6 UDP扫描特征:

(1) 源端口固定;

(2) 目的端口随机生成;

(3) 数据包内容为空。

2 木马植入

2.1 提取的计算特征

(1)流速

(2)传输数据长度

(3)单个源IP与目的IP之间的数据包数量

(4)单位时间下行流量

(5)特殊字段的特征值匹配

2.2 木马植入过程的特征

一台主机被成功扫描之后会有相应的目标机对其进行木马植入,使其感染病毒继而才能传播病毒给其他主机,木马植入的特征如下:

(1) 被扫描的基础上,一对一的流速异常;

(2) 传输数据长度特征(缓冲区溢出);

(3) 目标IP属地特征

(4) 数据包的载荷区

3 传播&CC

3.1 提取的计算特征

(1) 流速,报文传输速率

(2) 单位时间内的总数据包数量

(3) 多个数据包长度分布

(4) 单个目的IP单位时间接收数据包的数量

(5) 信息散度(PktLen&&(DstIP||SrcIP))

(6) 单个IP单位时间内TCP会话数

3.2 传播过程的特征

被感染了病毒的主机会继续传播感染其他的主机,考虑传播为同时多台主机对一台非业务主机进行的异常传输,特征如下:

(1) 某些IP、端口的数据包数量急剧增加;

(2) 较短时间内产生大量内容相似的数据包;

(3) 产生大量数据包长度一致性较高且IP地址和端口号相对集中的数据包,这些数据包将引起网络流量在数据包长、目的IP、源IP、目的端口和源端口等流量属性分布概率的改变,导致上述属性在信息散度上的异常;

4 DDoS攻击

4.1 提取的计算特征

(1)源IP点分格式时的差分特征

(2)源IP为十进制表示时相邻IP的差值是否相等

(3)源IP与目的IP以及端口是否相等

(4)异常流量检测(针对随机生成的)

(5)特殊目的端口的处理(137、138、139等)

(6)payload长度大于65535(ICMP)

(7)源端口之间的差值是否相等

(8)连接建立失败占成功的比例

(9)半连接的个数(syn_num – ack_num)

(10)单个IP拥有的连接数

(11)源IP地址的分布熵,度量源IP地址的分散程度

(12)源目的IP、源目的端口以及协议号的熵值,设权重

(13)单位时间TCP会话数

(14)单位时间上、下行流量

(15)单位时间上、下行数据包数量

(16)单位时间通信IP数量

4.2 发起DDoS攻击的特征

发起DDoS攻击时考虑IP分布特征为多对一的情况,即多个源IP同时攻击一个目的IP,则源IP的分布特征为:

(1) 源IP随机生成;

(2) 源IP逐个递增;

(3) 源IP点分格式时呈现特殊格式,如相邻域之间的差值相等;

(4) 源IP和目的IP相等,端口相等;

(5) 瞬间网络流量异常增大;

(6) 特殊目的端口的流量攻击(urg==1);

(7) POD攻击时为ICMP协议且payload长度大于65535;

(8) 源端口依次增加(针对需要建链的);

(9) 连接建立失败很多(syn flood);

(10) 同一源IP与目的IP突然大量建立连接(TCP Flood);

因篇幅问题不能全部显示,请点此查看更多更全内容

查看全文