在云計算環境，云主機提供被請求的云服務，有時在收到大量的請求時可能崩潰。這就是發生了拒絕服務（DoS）攻擊。它放正常用戶不能正常訪問。DoS攻擊通常采用IP欺騙的手法用來隱藏真正的攻擊源，同時使得攻擊源地址看起來都不相同。

本文中我們提供了一個在云計算環境下防御DDoS攻擊的方法，這個新的跳數統計過濾的方法提供了一個在云計算環境下的獨立網絡 ，可以容易的的防止DoS的解決方案。這個方法也能夠降低正常用戶云服務的不可用率，降低更新的數量，節省了計算時間。該方法模擬了CloudSim Toolkit環境和相應的產生的結果。

一、介紹

云計算被定義為一種新型的計算形式，以可以動態擴展的虛擬資源在互聯網上提供服務。高級的云計算技術包括了，節省消耗，高可用和可擴展的特性。

DoS 攻擊不在于通過修改數據獲得非法訪問，而是希望使目標的服務或者整個網絡崩潰，或者是擾亂正常用戶的訪問。DoS攻擊能在一個源或者多個源發起。多個源的攻擊被稱為分布式拒絕服務攻擊（DDoS）。

當操作系統注意到某個服務的工作負載較高，它將分配更多的計算資源來應付增加的負載。攻擊者可以淹沒一個單點的，系統基礎的地址來達到使目標服務的全不可用目的。這些攻擊者比較典型的手法就是洪水攻擊，基本是由攻擊者發起大量的無意義的報文給某一確定的在云上面開放的服務。每一個請求都會被服務去處理以驗證是否為合法請求，這就使得每個共計請求都會占用一定量的工作負載。在洪水般的攻擊下通常會造成服務器的拒絕服務。

二、跳數計算

雖然跳數信息沒有直接存儲在IP頭中，但它可以試用TTL字段計算出來。TTL在IP頭中是一個8位的字段，起初是用來指定互聯網上每個報的最大生命周期的。每個中間的路由器會把經過它的IP包在轉發到下一跳前把TTL值減一。

A.提取最終的TTL值

當一個數據包到達目的地址提取TTL字段值的時候，這個值被稱為最終TTL值。跳數統計的挑戰在于在目的地址只能看到最終TTL值。如果所有的操作系統都是用相同的TTL初始值的將會很簡單，但實際他們并沒有再初始TTL值上達成共識。另外，由于操作系統對于給定的IP地址可能會隨時改變，我們就不能假設每個IP地址都使用一個不變的TTL初始值。

B.研究TTL的初始值

根據以上得出，大多數現代的操作系統只選擇使用幾種初始TTL值，如 30，32，60，64，128和255.只有很少的互聯網主機會被分割超過30跳以上，因此我們可以初步判定數據包的初始TTL值為在以上集合總大于最終TTL值的最小數值。

例如，如果最終TTL值為112，那么在可能的128和255中選擇最小的是128為初始值。這樣給出最終的TTL值就能夠找到初始的TTL值。初始TTL值可以由以下方法計算得出：

Initial TTL=32 if final TTL <=32
Initial TTL =64 if 32<final TTL<=64
Initial TTL =128 if 64<final TTL <=128
Initial TTL =255 if 128<final TTL <=255

C.IP2HC表

IP2HC表是一個在數據包源IP地址和這個IP的跳數做映射的表。這是一個以源IP地址為索引來匹配跳數信息。

三、防止DoS攻擊的算法

該算法使用跳數過濾機制，并且提供了一個在云計算環境中執行的明確思想。

這個算法需要在云上連續的監控通過網絡的數據包，然后我們從監控到的TCP/IP包中提取出SYN標識、TTL值和源IP信息。該算法識別每個捕獲的包的四元組的整個操作如下，

如果SYN標識被設置，并且源IP地址在IP2HC表中存在，然后試用IP包的TTL值計算跳數。現在檢查跳數是否和存儲的跳數是否一致，如果不一致就更新這個IP地址對應的跳數字段的值。

如果SYN標識被設置但是源IP地址在IP2HC表中不存在，那么就計算跳數，然后把源IP地址和對應的跳數作為新的條目添加到該表中。

如果SYN標識沒有被設置，并且IP地址存在于IP2HC表中，那么就計算跳數。如果跳數與IP2HC表中存儲的對應跳數不符，那么可以判定這個包是虛假的或者這個包是非法的。

如果SYN標識沒有被設置并且源IP地址不存在于IP2HC表中，這意味著這個包是虛假的，因為每個合法的IP地址都有一個可用的TCP連接信息記錄在IP2HC表中的。

這個檢測算法提取去了每個IP包的源IP地址和最終TTL值。算法用推測出初始的TTL值減去最終的TTL值來獲得中間的跳數。源IP地址作為表的索引檢索這個IP地址的正確跳數。如果某個數據包計算跳數和表中的匹配，這個包為可信的，反之這個包就比較像是虛假的。

算法-1

參考下面的標識：

synflag = Syn bit of TCP packet.
mcount =malicious packet counter.
Tf= final value of TTL.
Ti=initial value of TTL.

偽代碼如下：

For each packet  
Set TTL = ExtractFinalValueOfTTL( );  
//get time-to-leave field of IP packet  
Set srcIp = ExtractSourceIP( );  
//get source IP address from IP packet  
Set synflag = ExtractSynBit( );  
//get Syn flag value from TCP packet  
If (synflag is set)  
{  
If (establish_tcp_connection( ))  
//true when connection established  
{  
If ( srcIp is exist in IP2HC table )  
{  
ComputePacket ( srcIp , TTL , synflag);  
// function call which filter the spoofed  
Packet  
}  
else //new connection packet  
{  
Hc=ComputeHopCount( TTL );  
//get hop-count value  
NewEntryInTable(srcIp,Hc);  
//Add entry into IP2HC table  
}  
}  
else  
{  
// ignore packet  
}  
}  
else //synflag is not set  
{  
If ( srcIp exist in IP2HC Table)  
{  
ComputePacket ( srcIp , TTL, synflag );  
// function call which filter the spoofed  
packet  
}  
else  
{  
‘drop the packet’ //Packet is spoofed  
mcount++; // increment in malicious  
packet by 1  
}  
}  
ComputePacket ( string srcIp , int Tf , boolean  
synflag)  
{  
Hc=ComputeHopCount( Tf ); //get hop-count  
value  
Hs=RetreiveStoredHopCount(srcIp);  
//get stored hop-count value  
If ( Hc != Hs )  
{  
if( synflag is set)  
{  
UpdateTable ( srcIp , Hc);  
//update hop-count value in IP2HC  
table  
}  
else  
{  
‘drop the packet’ //Packet is spoofed  
mcount++;  
// increment in malicious packet by 1  
}  
}  
else  
{  
‘allow the packet’ // packet is legitimate  
}  
}  
int ComputeHopCount( int Tf )  
{  
Set Ti= InvestigateInitialTTL(Tf);  
return Ti - Tf; //return hop-count value  
} 

四、模擬結果

我們在CloudSim Toolkit上模擬我們的算法，在云主機上已經到達了1000 pps。實驗結果見表1，其中包括了包的SYN標識（Syn）和源IP地址（Src）的各種情況,Syn=0表示SYN 標識沒有被設置，Syn=1表示SYN標識已經被設置。同樣Src標識當前源IP地址是否在IP2HC表中。Src=0表示條目不存在，Src=1表示條目存在。

第一個實驗包括了580（337+243,見表1）個惡意包，和173個新條目，并且只有83個條目被更新。相反，需要在表中需要被更新的包是130（Syn=1且Src=1）。所以有效包的（實際上已縮減）是47個（130-83）。總共縮減在表中更新數是30.15%（總共允許的報數/所有包數），這比常規的方法改善了很多。

在對模擬樣本輸入到達率為‘A’的計算時間的各種結果進行了分析匯總為表2。

表2：樣本輸入

圖3中展示了我們提出的方法可能節省的計算時間，在2，3，4的用樣本里趨勢有變化。樣本2需要更多的時間，樣本3和4因為依賴于接收包的字段。計算時間是云網絡性能衡量的相關因素。它提高了云主機的處理能力，可用資源損失達到最小化。

圖3：計算時間

五、結論

云計算越來越流行，但是隨著云的廣泛使用，其安全問題也越來越明顯。一個運安全的主要的威脅是分布式拒絕服務攻擊（DDoS）或者是更為簡單的拒絕服務攻擊（DoS）。提高資源的可用率，是很有必要提供一種防御DDoS攻擊的機制。其中一種防御方法就是跳數過濾方法（HCF）。本文展示了一個版本的跳數統計方法，不只是檢測惡意數據包也包括了更新IP的跳數表的機制。通過分析TCP協議的SYN標識減少了更新次數，也就節省了計算時間。

原文地址:http://irnet.sg/irnet_journal/journal/IJCSEE/IJCSEE_Vol1Iss1/06.pdf