DDoS防御系统关键技术的研究——防御策略的研究与实现

摘要

拒绝服务攻击（DoS），特别是分布式拒绝服务攻击（DDoS）已经成为网络服务甚至是网络本身的一个巨大威胁。通常，攻击者通过控制数量巨大的攻击源发送无用数据来发动分布式拒绝服务攻击，被攻击者的网络服务因为主机或网络资源被消耗完而崩溃。如今攻击者通过流行操作系统的漏洞在非常多的计算机上传播蠕虫病毒来发动攻击，从而使得分布式拒绝服务攻击的危害更加巨大。 DDoS的防御面临技术和社会方面的挑战。技术方面的挑战来源于DDoS攻击本身的复杂性，而社会方面的挑战则在于成功的防御需要牵涉到Internet各方面的利益。 本文分析了DDoS防御所面临的挑战，并通过对现有防御方法的学习与研究，指出了现有方法的优点与不足。针对DDoS攻击的特点，提出了一种分阶段的防御模型，即第一阶段根据历史IP过滤（HIF），第二阶段提取攻击包特征规则，根据该规则进行进一步的过滤。实施基于IP源地址过滤的DDoS防御方法，在边界路由器上保留了以前正常访问网络的合法用户的IP，当路由器由于被攻击而过载时，防御系统将通过历史IP来过滤数据包。与其他防御方法的不同在于，系统可以通过自学习来更新IP地址数据库（IP Address Database，IAD），使得IAD更加精确和完善，而且确保大多数合法用户的数据包能够及时地通过路由器。在第二阶段中对剩余的包进行分析，提取出攻击包的特征，再进行过滤。这样就能够使源IP不在IAD中的正常流量也能够通过。从而有效地防御DDoS攻击。系统的实验结果表明系统在防御DDoS攻击的有效性，而且响应速度较快。