一種面向分布式DDoS攻擊的防御體系模型研究.pdf

1、分布式拒絕服務(wù)（DDoS：Distributed Denial of Service）攻擊是近年來出現(xiàn)的一種全新的拒絕服務(wù)（DoS：Denial of Service）攻擊方式。由于其分布式的特性，使得DDoS攻擊比傳統(tǒng)的DoS攻擊擁有更多的攻擊資源，具有更強大的破壞力，而且更難以防范。 目前對DDoS攻擊的防御策略有基于攻擊源端網(wǎng)絡(luò)的、基于受害方網(wǎng)絡(luò)的、基于中間網(wǎng)絡(luò)（中間網(wǎng)絡(luò)是指攻擊數(shù)據(jù)包從源端網(wǎng)絡(luò)發(fā)出到達(dá)受害方網(wǎng)絡(luò)所經(jīng)過的網(wǎng)

2、絡(luò)）的和基于分布式概念的。對于前三種策略，目前已有許多成熟的技術(shù)及系統(tǒng)，如基于攻擊源端網(wǎng)絡(luò)的D-WARD系統(tǒng)，基于受害方網(wǎng)絡(luò)的入侵檢測系統(tǒng)，基于中間網(wǎng)絡(luò)的核心路由包過濾技術(shù)。分布式DDoS防御策略是通過一種體系構(gòu)架使得防御節(jié)點分布在攻擊源端網(wǎng)絡(luò)、受害方網(wǎng)絡(luò)及中間網(wǎng)絡(luò)，并能夠協(xié)調(diào)工作。但關(guān)于這類防御策略的研究比較少。 本文首先對DDoS的攻擊原理、攻擊分類及攻擊工具做了細(xì)致地分析，為抵御DDoS攻擊防御方案的提出提供了基本的依據(jù)。

3、然后從攻擊發(fā)生前、攻擊發(fā)生期間、攻擊發(fā)生后三個角度對DDoS防御方法做了詳盡闡述，分析比對了攻擊源端網(wǎng)絡(luò)、受害方網(wǎng)絡(luò)及中間網(wǎng)絡(luò)防御策略的優(yōu)缺點。在此基礎(chǔ)上提出了一種基于分布式策略的DDoS防御體系模型DDI（Distributed defense infrastructure）。 DDI體系模型包含五類不同功能的防御節(jié)點，分別是檢測節(jié)點、分類節(jié)點、速率限制節(jié)點、過濾節(jié)點及管理節(jié)點。這些節(jié)點分別部署在攻擊源端網(wǎng)絡(luò)、受害方網(wǎng)絡(luò)及中間

4、網(wǎng)絡(luò)，通過協(xié)作地工作完成了DDoS攻擊防御的任務(wù)。 本文在明確了DDI體系模型的總體目標(biāo)及設(shè)計需求后，對該體系的設(shè)計思想及體系結(jié)構(gòu)做了闡述并以實例分析了其防御過程。緊接著對DDI體系模型中涉及的數(shù)據(jù)包分類、速率限制、數(shù)據(jù)包過濾、分布式檢測機制進行了設(shè)計，從理論與算法角度對它們進行了描述。 DDI體系模型的特點主要有以下四個方面： 1. 分布式檢測：各檢測節(jié)點運用基于規(guī)則及流量異常的檢測算法分別對異常進行檢測，管理

5、節(jié)點對這些異常進行最后判決并確定攻擊； 2. 數(shù)據(jù)包的標(biāo)簽生成：該體系所覆蓋網(wǎng)絡(luò)內(nèi)的所有數(shù)據(jù)包都被打上攻擊、合法及可疑三種標(biāo)簽，標(biāo)簽由數(shù)據(jù)包過濾及分類節(jié)點生成，速率限制節(jié)點根據(jù)不同的標(biāo)簽值為數(shù)據(jù)包提供不同的帶寬服務(wù)； 3. 全局性動態(tài)速率控制：速率控制從攻擊源端至受害端層層進行，有效防止了受害方出口與入口鏈路的擁塞。速率控制值根據(jù)受害方的鏈路使用率動態(tài)生成； 4. 基于分?jǐn)?shù)的動態(tài)包過濾：給每一數(shù)據(jù)包打上分?jǐn)?shù)，根據(jù)