一種面向分布式DDoS攻擊的防御體系模型研究.pdf

1、分布式拒絕服務（DDoS：Distributed Denial of Service）攻擊是近年來出現(xiàn)的一種全新的拒絕服務（DoS：Denial of Service）攻擊方式。由于其分布式的特性，使得DDoS攻擊比傳統(tǒng)的DoS攻擊擁有更多的攻擊資源，具有更強大的破壞力，而且更難以防范。 目前對DDoS攻擊的防御策略有基于攻擊源端網絡的、基于受害方網絡的、基于中間網絡（中間網絡是指攻擊數據包從源端網絡發(fā)出到達受害方網絡所經過的網

2、絡）的和基于分布式概念的。對于前三種策略，目前已有許多成熟的技術及系統(tǒng)，如基于攻擊源端網絡的D-WARD系統(tǒng)，基于受害方網絡的入侵檢測系統(tǒng)，基于中間網絡的核心路由包過濾技術。分布式DDoS防御策略是通過一種體系構架使得防御節(jié)點分布在攻擊源端網絡、受害方網絡及中間網絡，并能夠協(xié)調工作。但關于這類防御策略的研究比較少。 本文首先對DDoS的攻擊原理、攻擊分類及攻擊工具做了細致地分析，為抵御DDoS攻擊防御方案的提出提供了基本的依據。

3、然后從攻擊發(fā)生前、攻擊發(fā)生期間、攻擊發(fā)生后三個角度對DDoS防御方法做了詳盡闡述，分析比對了攻擊源端網絡、受害方網絡及中間網絡防御策略的優(yōu)缺點。在此基礎上提出了一種基于分布式策略的DDoS防御體系模型DDI（Distributed defense infrastructure）。 DDI體系模型包含五類不同功能的防御節(jié)點，分別是檢測節(jié)點、分類節(jié)點、速率限制節(jié)點、過濾節(jié)點及管理節(jié)點。這些節(jié)點分別部署在攻擊源端網絡、受害方網絡及中間

4、網絡，通過協(xié)作地工作完成了DDoS攻擊防御的任務。 本文在明確了DDI體系模型的總體目標及設計需求后，對該體系的設計思想及體系結構做了闡述并以實例分析了其防御過程。緊接著對DDI體系模型中涉及的數據包分類、速率限制、數據包過濾、分布式檢測機制進行了設計，從理論與算法角度對它們進行了描述。 DDI體系模型的特點主要有以下四個方面： 1. 分布式檢測：各檢測節(jié)點運用基于規(guī)則及流量異常的檢測算法分別對異常進行檢測，管理

5、節(jié)點對這些異常進行最后判決并確定攻擊； 2. 數據包的標簽生成：該體系所覆蓋網絡內的所有數據包都被打上攻擊、合法及可疑三種標簽，標簽由數據包過濾及分類節(jié)點生成，速率限制節(jié)點根據不同的標簽值為數據包提供不同的帶寬服務； 3. 全局性動態(tài)速率控制：速率控制從攻擊源端至受害端層層進行，有效防止了受害方出口與入口鏈路的擁塞。速率控制值根據受害方的鏈路使用率動態(tài)生成； 4. 基于分數的動態(tài)包過濾：給每一數據包打上分數，根據