基于IP回溯的DDoS防御策略研究.pdf

1、分布式拒絕服務攻擊DDoS的全名是DistributedDenialofService，很多拒絕服務(DenialofService，DoS)攻擊源一起攻擊某臺服務器就組成了DDoS攻擊。DoS攻擊以及DDoS攻擊是目前Internet面臨的最具威脅性和破壞性的主要攻擊形式。攻擊來源的追蹤查找(IPTraceback)是抵御DDoS攻擊的一項主動防范技術，對DDoS攻擊數(shù)據(jù)來源的追蹤有助于發(fā)現(xiàn)幕后攻擊者，并為追究其法律責任提供事實依據(jù)。

2、
　　 由于攻擊者在實施DDoS攻擊時大多結合IP地址欺騙技術(IPspoofing)，甚至動用成千上萬的“傀儡”主機，使得對DDoS攻擊的追蹤成為DDoS防御中一個難以解決的問題。研究人員為此提出過多種方案，但這些方案普遍存在計算負荷重、追蹤速度慢和虛報率高等諸多不足。因此，DDoS攻擊防御方法的研究和改進一直備受關注。本文對DDoS攻擊防御展開研究，主要貢獻如下:
　　 (1)結合DDoS攻擊防御的最新研究情況，對D

3、DoS攻擊的防御技術進行系統(tǒng)分析和研究，對不同檢測與防御方法進行比較，為今后進一步研究DDoS攻擊的防御打下理論基礎。
　　 (2)利用IP回溯的方法對DDoS攻擊進行防御，可以在一定程度上阻止DDoS攻擊的發(fā)生。在這個工作的前提下，提出了一種基于TTL(TimetoLive)的路由器輕量級IP回溯方案，通過對IP報頭TTL的記錄來獲得其攻擊路徑。該方法在IP回溯過程中，不需要產生新的ICMP包，使得攻擊者無法察覺受害主機對其追

4、蹤該方法在任何強度的DDoS攻擊下都適用，解決了傳統(tǒng)PPM(ProbabilisticPacketMarking)方法在高強度的DDoS攻擊下失效的問題。該方法可以有效解決分布式拒絕服務攻擊的重構問題，同時也提高了回溯的效率。
　　 (3)提出了因特網(wǎng)服務供應商(InternetServiceProvider，ISP)級別下以互聯(lián)網(wǎng)自治域為防御單位的DDoS防御方法EBPPM(EdgerouterBasedProbabilist

5、icPackageMarking)。在攻擊沒有發(fā)生時，邊界路由獲取樣本以及周期性的更新所取的樣本，使得樣本更加接近實際的訪問量;當攻擊可能發(fā)生的時候，通過記錄流量與樣本流量的比值α，來判定是否對該自治域進行一定流量的限流，通過參數(shù)β的值來控制限流的程度。以自治域為單位進行回溯，解決了傳統(tǒng)方法的大跳數(shù)失效的問題，在攻擊跳數(shù)較大的時候時間復雜度，回溯成功率都有了很大的進步。本方案在目前互聯(lián)網(wǎng)的發(fā)展局勢下有一定的實用價值，使得IP回溯的適用范