摘  要：DDoS攻擊表現形式有多種，主要造成后果是導致Web服務器無法提供網絡服務，最終造成一系列損失。針對通過某一網頁端口進行的DDosS攻擊，提出了一種預防算法，自定義動態密鑰，并采用自定義算法調用，動態改變被攻擊端口處的文件名。該算法使得攻擊者無法通過加密后的文件來得到原文件名稱，從而達到預防此種DDoS攻擊的目的。實驗證明，此算法有效。
關鍵詞： DDoS攻擊；黑客；預防算法；密鑰；網絡攻擊

    根據美國計算機應急響應中心的報告，到目前為止，還沒有很好的辦法真正解決分布式拒絕服務(DDoS)攻擊問題。一般認為，除非修改TCP/IP協議的內核，否則，從理論上沒有辦法徹底解決DDoS攻擊[1]。已有不少學者對DDoS攻擊進行了一些研究工作[2-6]，但效果不甚理想。
1 相關研究
    對源目的IP地址對進行累積分析，當訪問網絡中出現的IP地址在一定時期內重復出現次數增多，這就隱含著可以根據歷史IP記錄檢測異常的出現來檢測出DDoS攻擊[7]。DDoS攻擊所造成的網絡擁塞必須在路由器上進行處理，這就是基于IP擁塞控制來實現的預防DDoS攻擊[8]。但目前經過最新DDoS攻擊統計，大部分通過端口發布的是虛擬IP，重復的概率相當小，采用這些方法進行很多次攻擊但并未檢測出來。
    對網絡流量進行分析處理的方法，即對網絡流量進行高頻統計，然后對其相鄰時刻進行相似度分析，根據相似度的變化來發現異常，在大流量背景下，此方法更適合大規模網絡的異常檢測[9]。異常流量聚集、協議分析和流量處理，即過濾異常流量并測試當前聚積流量的擁塞控制特性，恢復被誤判的流量[10]。在研究 DDoS攻擊對網絡流量自相似性影響的基礎上，提出了小波分析檢測 DDoS 攻擊的方法[11]。引入非線性預處理網絡流量預測方法NLPP檢測DDoS攻擊[12]。
    目前大部分研究是通過針對網絡流量分析和對IP分析來檢測DDoS攻擊提出的。本文從預防的角度提出預防算法，使攻擊者找不到攻擊的入口，達不到攻擊的目的，從而為網絡服務提供商減少損失。
2 本文算法
2.1 動態密鑰
2.1.1 自定義字母值
    自定義字母值如表1所示。文件名加密前是6個數字串+6個字母串（如：123456abcDEF、658742AsbkKg），文件名加密后是6個與原文不同的數字+12個由字母經過密鑰轉化的數字串。如當天是2012-6-11（120611），動態獲取當天年月日，原文為（123456abcDEF），加密后為(239477283029100607)；如當天是2012-11-16(121116)，動態獲取當天年月日，原文為（123456abcDEF），加密后為(734577283030050612)。

2.1.2 自定義加密算法
    動態生成的字符（6個數字串+6個字母串）從左向右順序加密如表2所示。
2.1.3 自定義解密算法
    加密后生成的18位數字(前6位數字+后12位數字)解密算法如表3所示。

2.1.4 設計思想
    攻擊者不能確定文件名是否全是數字串，而且文件名每天都在變化。不易攻擊有幾點：
    （1）每天12個字符都是動態隨機生成的；
    （2）攻擊者只能看到入庫文件名是一串數字，如果按照數字去破解是無法破解并找到真正的文件名；
    （3）每天密鑰也是動態變化的，而且前后密鑰不統一；
    （4）字符轉成定義值是自定義的，也可以更換，隨便換兩個值，就無法知道，不是常規ASCII；
    （5）密鑰也是動態自定義的，其他相關研究人員借鑒可以換順序。
    自定義字母值一是為了安全，自定的順序；二是為了方便計算、減少算法的復雜度。字符不用ASCII碼最主要的原因是ASCII碼中有些字符不能作為文件名。
    如果想讓加密更復雜些，完全可以把自定義的字符打亂順序，在本機保存起來，方便計算。每個字符加減值也可按照其他規律來設定，隨機生成數據。
    加密解決之所以要有規律，主要是為方便網站管理等人員隨時可以查到今天文件名是否與配置文件名同步，一旦出現異?，F象能及時查到原因，盡快解決。
2.2 算法調用實現過程
    自定義動態密鑰實現過程：單獨開發一個程序軟件，生成單獨文件，文件中記錄原文件名、加密后文件名、修改時間，每天0:00啟動一次。服務器做好任務計劃。程序實現過程如圖1所示。
    算法調用主要思想是：攻擊者無法訪問服務器上web.config文件，借助這一點將原文件名和加密后密鑰字符共同存到web.config里做一個中轉點，可以使網頁顯示器的文件名和瀏覽器調用的文件名達到分離，這樣攻擊的黑客無法找到能入庫文件的真正文件名，無法找到真正的入口，從而無法用程序去攻擊。
3 實驗
    按數據庫設計的結構，準備一批數據包。選用3臺性能較高的主機。
    主機1：安裝上DDoS攻擊軟件，向另兩臺電腦上的交互頁面同時發送相同的數據包。同時還有兩個文件分別存儲返回的信息報告（成功發送或發送失?。?br />     主機2：建好數據庫、表、存儲過程，數據庫設置為1 024 MB且不自動增長，建一個常規的交互的網頁（表單頁），可以向數據庫提交數據。同時建一個頁面P顯示數據庫信息；
    主機3：建好數據庫、表、存儲過程，數據庫設置為1 024 MB且不自動增長，建一個常規的交互的網頁（表單頁），采用本文提出的自定義動態加密及調用算法。同時建立一個頁面P顯示數據庫信息。
    數據包里有10 000條信息，每條信息容量大約20 KB。設置發送頻率為15條/min（通過反復實驗發現，頻率設置太大，常會有返回信息報錯，個別信息沒入庫；設置太小，實驗周期長，不符合一般黑客攻擊的頻率）。
    通過主機1上兩個文件返回的信息報告，同時參考主機2、3數據庫中的數據。1 h內主機1攻擊信息：
    60 min×15條/min=900條。
    設信息條數為函數y，天數為x，數據庫容量為z，則y=24x×900；z=20×y
    主機2、主機3中測試頁面P主要是為測試網頁顯示本主機數據庫中數據時打開網頁的速度。由于網頁打開速度受多方面因素影響（數據庫容量、CPU占有率、網絡流量、數據處理速度等），每天定時測試主機2、主機3中測試頁P打開速度，分析網頁打開速度的走向。
    實驗時間為10天，顯示結果如圖2、圖3所示。

    分析圖2，主機2受到主機1的攻擊，到第3天及以后數據庫容量不再增長。容量已達到最大值。主機3在實驗的10天內一直沒有受到主機1攻擊的數據，數據庫容量幾乎沒有改變。
    分析圖3可知，主機2隨時間推移頁面打開速度越來越慢，到最后是無限慢，就是打不開，無法連接到數據庫，根據實驗數據顯示，快到第3天(即數據庫容量快達到設定值)時，頁面打開速度快速變慢，當在快到20 s左右的連接速度時，即已經連接不上數據庫，數據庫超過容量，此時自動報錯，服務停止，后面的天數一直就是連接不上，用虛線表示。主機3在實驗的10天內，沒有受到攻擊。數據庫沒有影響，頁面打開速度也沒有受到影響。以上實驗結果證明了本文提出算法的有效性。
    自定義動態密鑰打破傳統公用的加密方法，同時采用明碼密鑰，而非傳統的一串不認識的字符串，方便其他研究人員、開發人員借鑒。

    如果攻擊想把密鑰破解出來，僅看計算所有字符串時間，一臺性能不錯的電腦（計算機速度按40億次/s）去計算106×526，要花137.295 9 h，這個時間僅排列組合計算時間，每一次組合完要連接一次文件測試，當連接不上返回連接失敗信息，這個時間差不多1 s左右，把連接時間加上，要花的時間是相當驚人的(5.492E×1012 h)。也就是說想破解密鑰找出文件名，一臺計算機最長時間是這兩個時間加起來。每天零點重新隨機生成一批新的數據串，就會有一批新的密碼。攻擊者必須在24 h內找到密鑰。而且前提是要了解密碼真正的原文組成。從理論上來說幾乎不能攻破。
    本文提出的算法已應用到網絡中，已有10個月時間無異?，F象，解決了網站以前受數據包攻擊煩惱。希望本算法給其他科研人員、數據安全研究人員及程序開發人員以借鑒。
參考文獻
[l] 李德全.拒絕服務攻擊[M].北京：電子工業出版社，2007：161-180.
[2] MIRKOVIC J.Attacking DDoS at the source[C].Proceedings of the 10th IEEE International Conference on Network  Protocols，Paris，France，2002：366-369.
[3] FERGUSON P，SENIE D.Network ingress filtering：defeating  de-nial of service attacks which employ IP source address  spoofing[R].Internet Best Current Practice，RFC 2827，2000.
[4] WALFISH M，VUTUKURU M.DDoS defense by offense[C]. ACM SIGCOMM 2006，2006：1635-1639.
[5] 李德全，蘇璞睿，魏東梅，等.基于路由器編碼的自適應包標記[J].軟件學報，2007，18(10)：2652-2661.
[6] 曹曉梅，韓志杰，陳貴海.基于流量預測的傳感器網絡拒絕服務攻擊檢測方案[J].計算機學報，2007，30(10)：1798-1805.
[7] 孫知信，李清東.基于源目的IP地址對數據庫的防范DDoS攻擊策略[J].軟件學報，2007，18(10)：2613-2623.
[8] 吳國鋼.DDoS攻擊與IP擁塞控制研究[J].電子科技大學學報，2007，36(3)：614-655.
[9] 何慧，張宏莉，張偉哲，等.一種基于相似度的DDoS攻擊檢測方法[J].通信學報，2004，25(7)：176-184.
[10] 孫知信，姜舉良，焦琳.DDoS攻擊檢測和防御模型[J]. 軟件學報，2007，18(9)：2245-2258.
[11] 任勛益，王汝傳，王海艷.基于自相似檢測DDoS攻擊的小波分析方法[J].通信學報，2006，27(5)：6-11.
[12] 楊新宇，楊樹森，李娟.基于非線性預處理網絡流量預測方法的泛洪型DDoS攻擊檢測算法[J].計算機學報，2011，34(2)：395-405.