一種面向分布式DDoS攻擊的防御體系模型研究.pdf

1、分布式拒絕服務(wù)（DDoS：Distributed Denial of Service）攻擊是近年來出現(xiàn)的一種全新的拒絕服務(wù)（DoS：Denial of Service）攻擊方式。由于其分布式的特性，使得DDoS攻擊比傳統(tǒng)的DoS攻擊擁有更多的攻擊資源，具有更強(qiáng)大的破壞力，而且更難以防范。 目前對(duì)DDoS攻擊的防御策略有基于攻擊源端網(wǎng)絡(luò)的、基于受害方網(wǎng)絡(luò)的、基于中間網(wǎng)絡(luò)（中間網(wǎng)絡(luò)是指攻擊數(shù)據(jù)包從源端網(wǎng)絡(luò)發(fā)出到達(dá)受害方網(wǎng)絡(luò)所經(jīng)過的網(wǎng)

2、絡(luò)）的和基于分布式概念的。對(duì)于前三種策略，目前已有許多成熟的技術(shù)及系統(tǒng)，如基于攻擊源端網(wǎng)絡(luò)的D-WARD系統(tǒng)，基于受害方網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，基于中間網(wǎng)絡(luò)的核心路由包過濾技術(shù)。分布式DDoS防御策略是通過一種體系構(gòu)架使得防御節(jié)點(diǎn)分布在攻擊源端網(wǎng)絡(luò)、受害方網(wǎng)絡(luò)及中間網(wǎng)絡(luò)，并能夠協(xié)調(diào)工作。但關(guān)于這類防御策略的研究比較少。 本文首先對(duì)DDoS的攻擊原理、攻擊分類及攻擊工具做了細(xì)致地分析，為抵御DDoS攻擊防御方案的提出提供了基本的依據(jù)。

3、然后從攻擊發(fā)生前、攻擊發(fā)生期間、攻擊發(fā)生后三個(gè)角度對(duì)DDoS防御方法做了詳盡闡述，分析比對(duì)了攻擊源端網(wǎng)絡(luò)、受害方網(wǎng)絡(luò)及中間網(wǎng)絡(luò)防御策略的優(yōu)缺點(diǎn)。在此基礎(chǔ)上提出了一種基于分布式策略的DDoS防御體系模型DDI（Distributed defense infrastructure）。 DDI體系模型包含五類不同功能的防御節(jié)點(diǎn)，分別是檢測(cè)節(jié)點(diǎn)、分類節(jié)點(diǎn)、速率限制節(jié)點(diǎn)、過濾節(jié)點(diǎn)及管理節(jié)點(diǎn)。這些節(jié)點(diǎn)分別部署在攻擊源端網(wǎng)絡(luò)、受害方網(wǎng)絡(luò)及中間

4、網(wǎng)絡(luò)，通過協(xié)作地工作完成了DDoS攻擊防御的任務(wù)。 本文在明確了DDI體系模型的總體目標(biāo)及設(shè)計(jì)需求后，對(duì)該體系的設(shè)計(jì)思想及體系結(jié)構(gòu)做了闡述并以實(shí)例分析了其防御過程。緊接著對(duì)DDI體系模型中涉及的數(shù)據(jù)包分類、速率限制、數(shù)據(jù)包過濾、分布式檢測(cè)機(jī)制進(jìn)行了設(shè)計(jì)，從理論與算法角度對(duì)它們進(jìn)行了描述。 DDI體系模型的特點(diǎn)主要有以下四個(gè)方面： 1. 分布式檢測(cè)：各檢測(cè)節(jié)點(diǎn)運(yùn)用基于規(guī)則及流量異常的檢測(cè)算法分別對(duì)異常進(jìn)行檢測(cè)，管理

5、節(jié)點(diǎn)對(duì)這些異常進(jìn)行最后判決并確定攻擊； 2. 數(shù)據(jù)包的標(biāo)簽生成：該體系所覆蓋網(wǎng)絡(luò)內(nèi)的所有數(shù)據(jù)包都被打上攻擊、合法及可疑三種標(biāo)簽，標(biāo)簽由數(shù)據(jù)包過濾及分類節(jié)點(diǎn)生成，速率限制節(jié)點(diǎn)根據(jù)不同的標(biāo)簽值為數(shù)據(jù)包提供不同的帶寬服務(wù)； 3. 全局性動(dòng)態(tài)速率控制：速率控制從攻擊源端至受害端層層進(jìn)行，有效防止了受害方出口與入口鏈路的擁塞。速率控制值根據(jù)受害方的鏈路使用率動(dòng)態(tài)生成； 4. 基于分?jǐn)?shù)的動(dòng)態(tài)包過濾：給每一數(shù)據(jù)包打上分?jǐn)?shù)，根據(jù)