基于guard的ddos攻擊防護策略

1、基于基于GUARD的DDOS攻擊防護策略攻擊防護策略夏元軼趙俊峰摘要分布式拒絕服務（distributeddenialofservice，簡稱DDOS）攻擊是當今互聯(lián)網(wǎng)的重要威脅之一?；诠舭幘W(wǎng)絡層次，將DDOS攻擊分為網(wǎng)絡層DDOS攻擊和應用層DDOS攻擊，介紹了基于GUARD的DDOS攻擊防護策略，最后分析了現(xiàn)有檢測和控制方法應對DDOS攻擊的不足，并探究了GUARD在DDOS攻擊防護中的應用與發(fā)展趨勢?！娟P(guān)鍵詞】DDOS攻擊

2、GUARD技術(shù)1DDOS攻擊與防護的現(xiàn)狀大多數(shù)情況下，網(wǎng)絡中的數(shù)據(jù)包利用TCPIP協(xié)議傳輸，這些數(shù)據(jù)包遵循正常的協(xié)議規(guī)范，是無害的，但是如果出現(xiàn)過多的異常數(shù)據(jù)包，就會造成網(wǎng)絡設備或者服務器過載；或者數(shù)據(jù)包利用了某些協(xié)議的缺陷，人為的不完整或畸形，就會造成網(wǎng)絡設備或服務器無法正常處理，迅速消耗了系統(tǒng)資源，造成拒絕服務，這就是DDOS的工作原理。DDOS攻擊之所以難以防范，就在于攻擊流和正常流混合在一起，很難有效地分辨出攻擊流。2傳統(tǒng)防護方

3、案的不足傳統(tǒng)安全設備對DDOS的防護策略為“簡單閾值策略”，“簡單閾值策略”是一種基于網(wǎng)絡層的檢測機制，即統(tǒng)計單位時間（通常以秒為單位時間）內(nèi)來自同一源IP的數(shù)據(jù)包數(shù)量，當單位時間內(nèi)來自同一源IP的數(shù)據(jù)包數(shù)量超過臨界值時，就認為該IP為隱患攻擊者以進一步確定隱藏在后臺的流量攻擊報文，輸出StreamFlow流量的Flow的網(wǎng)絡設備的信息，通過分析和對流量的檢測，以實現(xiàn)準確的高效地鑒定。高度的使用和分發(fā)多核硬件配置，以便產(chǎn)生一個高性能清洗

4、異常業(yè)務到因特網(wǎng)，可以通過智能多裝置簇群集方法來實現(xiàn)自動牽引和業(yè)務流的靈活重新注入。路由器交換機到DDOS攻擊，當發(fā)現(xiàn)異常流量的清洗設備的鄰位路由器。BGP路由更新通過線路自動發(fā)布，快速使用用戶流量。在另一方面，基于策略的路由的MPLSVPN中和通過GRE的VPN清洗設備，二層透明傳輸，清洗等方法并重新注入高速流量用戶后，正常的流量不會受到影響。3.2異常流量清洗設備的指紋識別防護當網(wǎng)絡出現(xiàn)異常的時候，會有某一種指紋分布出現(xiàn)波動，超過我

5、們建立的分布模型值，這時就可以根據(jù)這個指紋特征對異常報文進行過濾。如果僅采用單個指紋特征的進行防護的效果不會理想（單個指紋特征就像“簡單閾值防護”），所以可采用多個報文特征聚合成一個指紋特征的方法，例如源IP和TTL組合成一個整體，作為一個指紋進行統(tǒng)計過濾，這樣對于一些復雜的異常流量攻擊會有更好的效果。流量清洗防護將成為專業(yè)的，日常和攻擊時都不會影響業(yè)務的防護模式。4總結(jié)與展望在某些情況下，機器可能成為所有者同意的DDOS攻擊的一部分，