为什么非对称路由环境下正常单向流会导致DDoS误判?
主干网中常采用多路径网络架构,为了提高网络传输效率,会采用策略路由和负载均衡技术。这会使得同一流的上行和下行报文经过不同路径,在某个节点只能观测到单向流量,形成非对称路由。
目前一些DDoS检测方法是基于流量的不对称性来判断网络中是否存在DDoS攻击,即受攻击方接收的报文远多于发送的报文。
但是在非对称路由环境下,由于节点只能观测到单向流量,这些正常的单向流在DDoS检测时其流量在某个节点也呈现出了不对称性,也会被判定为存在不对称性,从而被误判为DDoS攻击流量。
如果DDoS检测方法没有考虑到非对称路由的影响,仅依据流量不对称性来判断,则非对称路由环境下的正常单向流很容易被误报为DDoS攻击,导致较高的误报率。
怎么在流量检测特征选取上避免了对非对称路由环境下正常单向流的误判呢?
除了选择流量的发送量和接收量作为特征,还额外选择了报文速率和端址分布作为特征。
报文速率可以反映出流量的突发性。DDoS攻击流量的报文发送速率明显高于非对称路由下正常的单向流量。端址分布也不同,DDoS攻击使用大量分散的僵尸主机,源端址分散;而非对称路由下单向流的源端址集中。
由于考虑了报文速率和端址分布特征,即使流量存在不对称性,也可以区分DDoS攻击流量和正常单向流量。
- DDoS攻击流量的报文速率高,端址分散
- 正常单向流量的报文速率低,端址集中
还可以选择报文长度均值,这可以区分不同类型的UDP反射放大DDoS攻击。
