基于IP回溯的DDoS防御策略研究.pdf

1、分布式拒絕服務(wù)攻擊DDoS的全名是DistributedDenialofService，很多拒絕服務(wù)(DenialofService，DoS)攻擊源一起攻擊某臺(tái)服務(wù)器就組成了DDoS攻擊。DoS攻擊以及DDoS攻擊是目前Internet面臨的最具威脅性和破壞性的主要攻擊形式。攻擊來(lái)源的追蹤查找(IPTraceback)是抵御DDoS攻擊的一項(xiàng)主動(dòng)防范技術(shù)，對(duì)DDoS攻擊數(shù)據(jù)來(lái)源的追蹤有助于發(fā)現(xiàn)幕后攻擊者，并為追究其法律責(zé)任提供事實(shí)依據(jù)。

2、
　　 由于攻擊者在實(shí)施DDoS攻擊時(shí)大多結(jié)合IP地址欺騙技術(shù)(IPspoofing)，甚至動(dòng)用成千上萬(wàn)的“傀儡”主機(jī)，使得對(duì)DDoS攻擊的追蹤成為DDoS防御中一個(gè)難以解決的問(wèn)題。研究人員為此提出過(guò)多種方案，但這些方案普遍存在計(jì)算負(fù)荷重、追蹤速度慢和虛報(bào)率高等諸多不足。因此，DDoS攻擊防御方法的研究和改進(jìn)一直備受關(guān)注。本文對(duì)DDoS攻擊防御展開(kāi)研究，主要貢獻(xiàn)如下:
　　 (1)結(jié)合DDoS攻擊防御的最新研究情況，對(duì)D

3、DoS攻擊的防御技術(shù)進(jìn)行系統(tǒng)分析和研究，對(duì)不同檢測(cè)與防御方法進(jìn)行比較，為今后進(jìn)一步研究DDoS攻擊的防御打下理論基礎(chǔ)。
　　 (2)利用IP回溯的方法對(duì)DDoS攻擊進(jìn)行防御，可以在一定程度上阻止DDoS攻擊的發(fā)生。在這個(gè)工作的前提下，提出了一種基于TTL(TimetoLive)的路由器輕量級(jí)IP回溯方案，通過(guò)對(duì)IP報(bào)頭TTL的記錄來(lái)獲得其攻擊路徑。該方法在IP回溯過(guò)程中，不需要產(chǎn)生新的ICMP包，使得攻擊者無(wú)法察覺(jué)受害主機(jī)對(duì)其追

4、蹤該方法在任何強(qiáng)度的DDoS攻擊下都適用，解決了傳統(tǒng)PPM(ProbabilisticPacketMarking)方法在高強(qiáng)度的DDoS攻擊下失效的問(wèn)題。該方法可以有效解決分布式拒絕服務(wù)攻擊的重構(gòu)問(wèn)題，同時(shí)也提高了回溯的效率。
　　 (3)提出了因特網(wǎng)服務(wù)供應(yīng)商(InternetServiceProvider，ISP)級(jí)別下以互聯(lián)網(wǎng)自治域?yàn)榉烙鶈挝坏腄DoS防御方法EBPPM(EdgerouterBasedProbabilist

5、icPackageMarking)。在攻擊沒(méi)有發(fā)生時(shí)，邊界路由獲取樣本以及周期性的更新所取的樣本，使得樣本更加接近實(shí)際的訪問(wèn)量;當(dāng)攻擊可能發(fā)生的時(shí)候，通過(guò)記錄流量與樣本流量的比值α，來(lái)判定是否對(duì)該自治域進(jìn)行一定流量的限流，通過(guò)參數(shù)β的值來(lái)控制限流的程度。以自治域?yàn)閱挝贿M(jìn)行回溯，解決了傳統(tǒng)方法的大跳數(shù)失效的問(wèn)題，在攻擊跳數(shù)較大的時(shí)候時(shí)間復(fù)雜度，回溯成功率都有了很大的進(jìn)步。本方案在目前互聯(lián)網(wǎng)的發(fā)展局勢(shì)下有一定的實(shí)用價(jià)值，使得IP回溯的適用范