簡校榮

（華南理工大學(xué)計算機科學(xué)與工程學(xué)院 510006）

DDoS是分布式拒絕服務(wù)攻擊的簡稱，DDoS工具不僅隨處可得、操作容易，而且簡單有效、隱蔽性相對較強，同時具有非常廣的攻擊范圍。近年來，DDoS攻擊發(fā)生的頻率不斷提高，對于網(wǎng)絡(luò)系統(tǒng)與業(yè)主主機系統(tǒng)造成了巨大的影響，被計算機網(wǎng)絡(luò)工程領(lǐng)域視為當(dāng)前互聯(lián)網(wǎng)最難解決的關(guān)鍵問題之一。因此，我們必須要加強對計算機網(wǎng)絡(luò)安全的防護，綜合分析DDoS攻擊的防御機制，進而為網(wǎng)絡(luò)安全提供重要保障。

1 DDoS防御機制的科學(xué)分類

隨著DDoS攻擊頻率的不斷增加，以及DDoS問題的日益嚴重，DDoS防御機制隨之增加。根據(jù)DDoS防御機制的活動水平，DDoS防御機制又被分為預(yù)防型防御機制與反應(yīng)型防御機制。

1.1 DDoS預(yù)防型防御機制

DDoS預(yù)防型預(yù)防機制又被分為DDoS攻擊預(yù)防型防御機制與拒絕服務(wù)預(yù)防機制。DDoS攻擊預(yù)防型防御機制是指通過對網(wǎng)絡(luò)系統(tǒng)配置進行修改來使得DDoS攻擊行為消除。拒絕服務(wù)預(yù)防機制能夠使得被DDoS攻擊的網(wǎng)絡(luò)承受住一定程度的攻擊，同時還能夠?qū)戏ㄓ脩籼峁┓?wù)。拒絕服務(wù)預(yù)防機制可以通過使用強制資源使用政策，或者通過增加資源，使得合法用戶不受到影響。

1.2 DDoS反應(yīng)型防御機制

DDoS反應(yīng)型防御機制將DDoS攻擊對受害端的影響大大減少。DDoS反應(yīng)型防御機制的分類主要是從攻擊的檢測策略、合作程度，以及響應(yīng)策略方面進行的。按照攻擊的檢測策略進行分類，反應(yīng)型防御機制又被分為基于模式的攻擊檢測機制、基于第三方的攻擊檢測機制，以及基于異常的攻擊檢測機制。按照響應(yīng)策略進行分類，反應(yīng)型防御機制又被分為DDoS攻擊識別機制、限流機制、重新配置機制，以及數(shù)據(jù)包過濾機制。按照合作程度進行分類，反應(yīng)型防御機制又被分為自治機制、互依賴機制，以及助合作機制。

2 目前使用的DDoS防御機制

2.1 隨機丟包方法

當(dāng)前，有一部分網(wǎng)絡(luò)設(shè)備為了能夠有效防御DDoS攻擊，使用了隨機丟包（Random Drop）的方法。隨機丟包的方法充分發(fā)揮了網(wǎng)絡(luò)設(shè)備的特性，網(wǎng)絡(luò)設(shè)備通常在流量較大的時候，會采取丟包的方法來使得其自身功能得到正常的發(fā)揮。隨機丟包的方法是在獲取有效特性有難度，或者沒有其他有效的DDoS防御措施的情況下使用的一種方法，要想保證網(wǎng)絡(luò)的正常工作，只好將數(shù)據(jù)包隨機丟棄，進而提供服務(wù)。當(dāng)前，這樣的方法丟棄的數(shù)據(jù)包不一定是攻擊數(shù)據(jù)包，而放行的卻很有可能是攻擊數(shù)據(jù)包。

2.2 基于路由報文過濾

這個方法本質(zhì)上是將入口報文的過濾工作進一步拓展到網(wǎng)絡(luò)上。基于路由報文過濾的機制在網(wǎng)絡(luò)的核心路由器中進行了大量報文過濾器的部署，能夠根據(jù)報文的目的地址與源地址，以及邊界網(wǎng)關(guān)的協(xié)議，進行報文的判斷。假如某個報文的來源與其自稱的的來源不相符合，那么這個報文就必須要被丟棄?；诼酚蓤笪倪^濾的優(yōu)點就在于這個機制不會使用個別的主機地址進行過濾，而是充分利用了AS的拓撲信息。

2.3 輸入調(diào)試法

通常情況下，路由器都是有調(diào)試功能的，是允許設(shè)備管理員對轉(zhuǎn)發(fā)包的信息進行查看的，諸如端口、IP地址等。如果發(fā)生了DDoS攻擊，網(wǎng)絡(luò)管理工作人員需要根據(jù)攻擊報文的特點，對被攻擊網(wǎng)絡(luò)的邊界路由器進行一定的調(diào)試，對網(wǎng)絡(luò)報文進行跟蹤，進而找到攻擊報文的輸入接口，最后實現(xiàn)對相關(guān)路由器的調(diào)試。為了能夠有效提高分析效率，Stone等開發(fā)了一個新的工具，即Center Track，這個工具能夠通過路由信息的改變來將管理區(qū)域內(nèi)的路由攻擊包轉(zhuǎn)發(fā)到一個固定的路由器上，進而從這一個路由器上獲取所有路由器被攻擊的信息。輸入調(diào)試法通常只能使用在一個管理域內(nèi)，分析工作主要由手工來完成。在跟蹤的整個過程中，攻擊活動必須始終在線，所有的這些不利因素都使得這個方法很難成為通用的DDoS攻擊防御方法。

2.4 有效洪泛法

Cheswich與Burch 提出了一種跟蹤方法，這個方法建立在鏈路測試的基礎(chǔ)上，必須要改動現(xiàn)有路由器的配置與相關(guān)功能。有限洪泛法是指充分利用之前生成的互聯(lián)網(wǎng)拓撲，對于一些可能在DDoS攻擊路徑上的路由器進行突發(fā)性流量的發(fā)送，進而實現(xiàn)對DDoS攻擊流的有效觀察。假如某個路由器位于攻擊路徑上面，那么在發(fā)送突發(fā)性流量的時候，此路由器的丟包率勢必會增加，進而使得被攻擊網(wǎng)絡(luò)的攻擊流減弱。有效洪泛法的優(yōu)點就在于其不需要對現(xiàn)有路由器的功能與配置進行改動。其主要的缺點在于追蹤方法本身就是DDoS攻擊，導(dǎo)致網(wǎng)絡(luò)堵塞是必然的，而且這個方法是不能夠用在DDoS攻擊中的，只用于DDoS攻擊的追蹤。

2.5 使用中繼防火墻

中繼防火墻的使用，能夠使用防火墻來代替服務(wù)器對客戶端的TCP連接請求給予響應(yīng)。假如在一個特點的時間內(nèi)，防護墻沒有得到從客戶端發(fā)送過來的ACK數(shù)據(jù)包，那么防火墻會自動中斷連接，而且會給該地址發(fā)送RST數(shù)據(jù)包，要求連接終止。假如這個TCP連接是出自于合法用戶的連接，那么防火墻會在收到客戶端發(fā)送的ACK數(shù)據(jù)包之后，與服務(wù)器的一端建立起一個新的連接，然后有效為客戶端與服務(wù)器端服務(wù)。中繼防火墻的主要優(yōu)點在于服務(wù)器能夠與拒絕服務(wù)區(qū)有效隔開，是不會收到偽造源IP地址發(fā)送來的TCP連接請求的。中繼防火墻在一定程度上可以說就是一個SYN代理，防火墻替服務(wù)器處理SYN攻擊，而SYN的代理程序是在用戶層，所以處理連接的數(shù)量非常有限，因此被攻擊也是很容易的。此外，由于需要進行TCP的三層握手，TCP連接的延遲也是不可避免的。

2.6 設(shè)置半透明式的網(wǎng)關(guān)防火墻

在網(wǎng)絡(luò)中，當(dāng)客戶端發(fā)送的TCP連接請求到了時，防火墻通常會將數(shù)據(jù)包放到服務(wù)器端，當(dāng)服務(wù)器做SYN+ACK數(shù)據(jù)包的回應(yīng)時，防火墻就將這個數(shù)據(jù)包發(fā)送到客戶端，同時還會將一個ACK數(shù)據(jù)包發(fā)送給服務(wù)器端，進而實現(xiàn)TCP連接的提前完成。假如在一個特定的時間之內(nèi)，防火墻并沒有二次接收到客戶端發(fā)來的ACK數(shù)據(jù)包，那么防火墻就會將一個RST數(shù)據(jù)包發(fā)送給服務(wù)器端，將連接斷開。假如是正常的用戶，那么客戶端就會收到兩次ACK數(shù)據(jù)包。當(dāng)建立連接之后，數(shù)據(jù)傳輸是不會受到防火墻的控制的。這個方法的主要優(yōu)點在于不會延遲合法用戶。但是缺點也是存在的，其需要謹慎選擇防火墻的周期，保證反應(yīng)時間相對較長的正常使用者不會受到拒絕服務(wù)。當(dāng)然，這個方法還有一個重要的弊端，那就是對于使用合法源IP地址發(fā)動的拒絕服務(wù)攻擊是沒有辦法有效防御的。

當(dāng)前使用的DDoS防御機制除了以上敘述的六種之外，還有諸如SYN Cookie和SYN Cache、入口報文過濾、網(wǎng)絡(luò)節(jié)流技術(shù)、基于聚集擁塞控制機制的DDoS防御算法、基于概率的數(shù)據(jù)包標(biāo)記算法等。盡管當(dāng)前廣泛使用的DDoS防御機制有很多，但是還沒有一種能夠科學(xué)有效的防御DDoS攻擊。因此，我們需要做的不僅僅是分析現(xiàn)有DDoS防御機制，更需要在現(xiàn)有防御機制的基礎(chǔ)上，研究新的DDoS防御方法，為我們的計算機網(wǎng)絡(luò)系統(tǒng)提供切實有效的安全保障。

3 總結(jié)

本篇文章總結(jié)了DDoS攻擊防御機制的分類，以及當(dāng)前常用的防御方法與防御策略。到目前為止，還沒有一種科學(xué)有效的DDoS防御方法來對DDoS防御攻擊進行有效抵御，DDoS攻擊仍然是互聯(lián)網(wǎng)面臨的重要威脅。因此，我們不僅要全面分析現(xiàn)有的DDoS攻擊防御方法，而且要將這些方法綜合在一起來進行DDoS防御，同時我們還必須要不斷加強對DDoS防御機制的研究，創(chuàng)新DDoS攻擊防御策略，進而為計算機網(wǎng)絡(luò)系統(tǒng)的安全提供有力的保障。

[1]尚占鋒.章登義.DDoS防御機制研究[J].計算機技術(shù)與發(fā)展.2008.18(01).

[2]李小勇.劉東喜.谷大武.白英彩.DDoS防御與反應(yīng)技術(shù)研究[J].計算機工程與應(yīng)用.2003.39(12).

[3]李碩.杜玉杰.劉慶衛(wèi).DDoS攻擊防御機制綜述[J].微計算機信息2006.22(06).

[4]忽海娜.萬鴻運.程明.基于擁塞控制的DDoS防御機制的研究[J].微計算機信息.2006.22(18).

[5]韓竹.范磊.李建華.基于源端檢測的DDoS防御機制[J].計算機工程.2007.33(19).

[6]謝冬青.張婭婷.吳濤.一種基于分組漏斗的DDoS防御機制[J].湖南大學(xué)學(xué)報（自然科學(xué)版）.2007.34(11).