關于DDoS防御機制分析

簡校榮

（華南理工大學計算機科學與工程學院 510006）

DDoS是分布式拒絕服務攻擊的簡稱，DDoS工具不僅隨處可得、操作容易，而且簡單有效、隱蔽性相對較強，同時具有非常廣的攻擊范圍。近年來，DDoS攻擊發(fā)生的頻率不斷提高，對于網(wǎng)絡系統(tǒng)與業(yè)主主機系統(tǒng)造成了巨大的影響，被計算機網(wǎng)絡工程領域視為當前互聯(lián)網(wǎng)最難解決的關鍵問題之一。因此，我們必須要加強對計算機網(wǎng)絡安全的防護，綜合分析DDoS攻擊的防御機制，進而為網(wǎng)絡安全提供重要保障。

1 DDoS防御機制的科學分類

隨著DDoS攻擊頻率的不斷增加，以及DDoS問題的日益嚴重，DDoS防御機制隨之增加。根據(jù)DDoS防御機制的活動水平，DDoS防御機制又被分為預防型防御機制與反應型防御機制。

1.1 DDoS預防型防御機制

DDoS預防型預防機制又被分為DDoS攻擊預防型防御機制與拒絕服務預防機制。DDoS攻擊預防型防御機制是指通過對網(wǎng)絡系統(tǒng)配置進行修改來使得DDoS攻擊行為消除。拒絕服務預防機制能夠使得被DDoS攻擊的網(wǎng)絡承受住一定程度的攻擊，同時還能夠對合法用戶提供服務。拒絕服務預防機制可以通過使用強制資源使用政策，或者通過增加資源，使得合法用戶不受到影響。

1.2 DDoS反應型防御機制

DDoS反應型防御機制將DDoS攻擊對受害端的影響大大減少。DDoS反應型防御機制的分類主要是從攻擊的檢測策略、合作程度，以及響應策略方面進行的。按照攻擊的檢測策略進行分類，反應型防御機制又被分為基于模式的攻擊檢測機制、基于第三方的攻擊檢測機制，以及基于異常的攻擊檢測機制。按照響應策略進行分類，反應型防御機制又被分為DDoS攻擊識別機制、限流機制、重新配置機制，以及數(shù)據(jù)包過濾機制。按照合作程度進行分類，反應型防御機制又被分為自治機制、互依賴機制，以及助合作機制。

2 目前使用的DDoS防御機制

2.1 隨機丟包方法

當前，有一部分網(wǎng)絡設備為了能夠有效防御DDoS攻擊，使用了隨機丟包（Random Drop）的方法。隨機丟包的方法充分發(fā)揮了網(wǎng)絡設備的特性，網(wǎng)絡設備通常在流量較大的時候，會采取丟包的方法來使得其自身功能得到正常的發(fā)揮。隨機丟包的方法是在獲取有效特性有難度，或者沒有其他有效的DDoS防御措施的情況下使用的一種方法，要想保證網(wǎng)絡的正常工作，只好將數(shù)據(jù)包隨機丟棄，進而提供服務。當前，這樣的方法丟棄的數(shù)據(jù)包不一定是攻擊數(shù)據(jù)包，而放行的卻很有可能是攻擊數(shù)據(jù)包。

2.2 基于路由報文過濾

這個方法本質上是將入口報文的過濾工作進一步拓展到網(wǎng)絡上。基于路由報文過濾的機制在網(wǎng)絡的核心路由器中進行了大量報文過濾器的部署，能夠根據(jù)報文的目的地址與源地址，以及邊界網(wǎng)關的協(xié)議，進行報文的判斷。假如某個報文的來源與其自稱的的來源不相符合，那么這個報文就必須要被丟棄。基于路由報文過濾的優(yōu)點就在于這個機制不會使用個別的主機地址進行過濾，而是充分利用了AS的拓撲信息。

2.3 輸入調試法

通常情況下，路由器都是有調試功能的，是允許設備管理員對轉發(fā)包的信息進行查看的，諸如端口、IP地址等。如果發(fā)生了DDoS攻擊，網(wǎng)絡管理工作人員需要根據(jù)攻擊報文的特點，對被攻擊網(wǎng)絡的邊界路由器進行一定的調試，對網(wǎng)絡報文進行跟蹤，進而找到攻擊報文的輸入接口，最后實現(xiàn)對相關路由器的調試。為了能夠有效提高分析效率，Stone等開發(fā)了一個新的工具，即Center Track，這個工具能夠通過路由信息的改變來將管理區(qū)域內的路由攻擊包轉發(fā)到一個固定的路由器上，進而從這一個路由器上獲取所有路由器被攻擊的信息。輸入調試法通常只能使用在一個管理域內，分析工作主要由手工來完成。在跟蹤的整個過程中，攻擊活動必須始終在線，所有的這些不利因素都使得這個方法很難成為通用的DDoS攻擊防御方法。

2.4 有效洪泛法

Cheswich與Burch 提出了一種跟蹤方法，這個方法建立在鏈路測試的基礎上，必須要改動現(xiàn)有路由器的配置與相關功能。有限洪泛法是指充分利用之前生成的互聯(lián)網(wǎng)拓撲，對于一些可能在DDoS攻擊路徑上的路由器進行突發(fā)性流量的發(fā)送，進而實現(xiàn)對DDoS攻擊流的有效觀察。假如某個路由器位于攻擊路徑上面，那么在發(fā)送突發(fā)性流量的時候，此路由器的丟包率勢必會增加，進而使得被攻擊網(wǎng)絡的攻擊流減弱。有效洪泛法的優(yōu)點就在于其不需要對現(xiàn)有路由器的功能與配置進行改動。其主要的缺點在于追蹤方法本身就是DDoS攻擊，導致網(wǎng)絡堵塞是必然的，而且這個方法是不能夠用在DDoS攻擊中的，只用于DDoS攻擊的追蹤。

2.5 使用中繼防火墻

中繼防火墻的使用，能夠使用防火墻來代替服務器對客戶端的TCP連接請求給予響應。假如在一個特點的時間內，防護墻沒有得到從客戶端發(fā)送過來的ACK數(shù)據(jù)包，那么防火墻會自動中斷連接，而且會給該地址發(fā)送RST數(shù)據(jù)包，要求連接終止。假如這個TCP連接是出自于合法用戶的連接，那么防火墻會在收到客戶端發(fā)送的ACK數(shù)據(jù)包之后，與服務器的一端建立起一個新的連接，然后有效為客戶端與服務器端服務。中繼防火墻的主要優(yōu)點在于服務器能夠與拒絕服務區(qū)有效隔開，是不會收到偽造源IP地址發(fā)送來的TCP連接請求的。中繼防火墻在一定程度上可以說就是一個SYN代理，防火墻替服務器處理SYN攻擊，而SYN的代理程序是在用戶層，所以處理連接的數(shù)量非常有限，因此被攻擊也是很容易的。此外，由于需要進行TCP的三層握手，TCP連接的延遲也是不可避免的。

2.6 設置半透明式的網(wǎng)關防火墻

在網(wǎng)絡中，當客戶端發(fā)送的TCP連接請求到了時，防火墻通常會將數(shù)據(jù)包放到服務器端，當服務器做SYN+ACK數(shù)據(jù)包的回應時，防火墻就將這個數(shù)據(jù)包發(fā)送到客戶端，同時還會將一個ACK數(shù)據(jù)包發(fā)送給服務器端，進而實現(xiàn)TCP連接的提前完成。假如在一個特定的時間之內，防火墻并沒有二次接收到客戶端發(fā)來的ACK數(shù)據(jù)包，那么防火墻就會將一個RST數(shù)據(jù)包發(fā)送給服務器端，將連接斷開。假如是正常的用戶，那么客戶端就會收到兩次ACK數(shù)據(jù)包。當建立連接之后，數(shù)據(jù)傳輸是不會受到防火墻的控制的。這個方法的主要優(yōu)點在于不會延遲合法用戶。但是缺點也是存在的，其需要謹慎選擇防火墻的周期，保證反應時間相對較長的正常使用者不會受到拒絕服務。當然，這個方法還有一個重要的弊端，那就是對于使用合法源IP地址發(fā)動的拒絕服務攻擊是沒有辦法有效防御的。

當前使用的DDoS防御機制除了以上敘述的六種之外，還有諸如SYN Cookie和SYN Cache、入口報文過濾、網(wǎng)絡節(jié)流技術、基于聚集擁塞控制機制的DDoS防御算法、基于概率的數(shù)據(jù)包標記算法等。盡管當前廣泛使用的DDoS防御機制有很多，但是還沒有一種能夠科學有效的防御DDoS攻擊。因此，我們需要做的不僅僅是分析現(xiàn)有DDoS防御機制，更需要在現(xiàn)有防御機制的基礎上，研究新的DDoS防御方法，為我們的計算機網(wǎng)絡系統(tǒng)提供切實有效的安全保障。

3 總結

本篇文章總結了DDoS攻擊防御機制的分類，以及當前常用的防御方法與防御策略。到目前為止，還沒有一種科學有效的DDoS防御方法來對DDoS防御攻擊進行有效抵御，DDoS攻擊仍然是互聯(lián)網(wǎng)面臨的重要威脅。因此，我們不僅要全面分析現(xiàn)有的DDoS攻擊防御方法，而且要將這些方法綜合在一起來進行DDoS防御，同時我們還必須要不斷加強對DDoS防御機制的研究，創(chuàng)新DDoS攻擊防御策略，進而為計算機網(wǎng)絡系統(tǒng)的安全提供有力的保障。

[1]尚占鋒.章登義.DDoS防御機制研究[J].計算機技術與發(fā)展.2008.18(01).

[2]李小勇.劉東喜.谷大武.白英彩.DDoS防御與反應技術研究[J].計算機工程與應用.2003.39(12).

[3]李碩.杜玉杰.劉慶衛(wèi).DDoS攻擊防御機制綜述[J].微計算機信息2006.22(06).

[4]忽海娜.萬鴻運.程明.基于擁塞控制的DDoS防御機制的研究[J].微計算機信息.2006.22(18).

[5]韓竹.范磊.李建華.基于源端檢測的DDoS防御機制[J].計算機工程.2007.33(19).

[6]謝冬青.張婭婷.吳濤.一種基于分組漏斗的DDoS防御機制[J].湖南大學學報（自然科學版）.2007.34(11).