關(guān)于DDoS防御機(jī)制分析

簡(jiǎn)校榮

（華南理工大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院 510006）

DDoS是分布式拒絕服務(wù)攻擊的簡(jiǎn)稱，DDoS工具不僅隨處可得、操作容易，而且簡(jiǎn)單有效、隱蔽性相對(duì)較強(qiáng)，同時(shí)具有非常廣的攻擊范圍。近年來(lái)，DDoS攻擊發(fā)生的頻率不斷提高，對(duì)于網(wǎng)絡(luò)系統(tǒng)與業(yè)主主機(jī)系統(tǒng)造成了巨大的影響，被計(jì)算機(jī)網(wǎng)絡(luò)工程領(lǐng)域視為當(dāng)前互聯(lián)網(wǎng)最難解決的關(guān)鍵問(wèn)題之一。因此，我們必須要加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)，綜合分析DDoS攻擊的防御機(jī)制，進(jìn)而為網(wǎng)絡(luò)安全提供重要保障。

1 DDoS防御機(jī)制的科學(xué)分類

隨著DDoS攻擊頻率的不斷增加，以及DDoS問(wèn)題的日益嚴(yán)重，DDoS防御機(jī)制隨之增加。根據(jù)DDoS防御機(jī)制的活動(dòng)水平，DDoS防御機(jī)制又被分為預(yù)防型防御機(jī)制與反應(yīng)型防御機(jī)制。

1.1 DDoS預(yù)防型防御機(jī)制

DDoS預(yù)防型預(yù)防機(jī)制又被分為DDoS攻擊預(yù)防型防御機(jī)制與拒絕服務(wù)預(yù)防機(jī)制。DDoS攻擊預(yù)防型防御機(jī)制是指通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)配置進(jìn)行修改來(lái)使得DDoS攻擊行為消除。拒絕服務(wù)預(yù)防機(jī)制能夠使得被DDoS攻擊的網(wǎng)絡(luò)承受住一定程度的攻擊，同時(shí)還能夠?qū)戏ㄓ脩籼峁┓?wù)。拒絕服務(wù)預(yù)防機(jī)制可以通過(guò)使用強(qiáng)制資源使用政策，或者通過(guò)增加資源，使得合法用戶不受到影響。

1.2 DDoS反應(yīng)型防御機(jī)制

DDoS反應(yīng)型防御機(jī)制將DDoS攻擊對(duì)受害端的影響大大減少。DDoS反應(yīng)型防御機(jī)制的分類主要是從攻擊的檢測(cè)策略、合作程度，以及響應(yīng)策略方面進(jìn)行的。按照攻擊的檢測(cè)策略進(jìn)行分類，反應(yīng)型防御機(jī)制又被分為基于模式的攻擊檢測(cè)機(jī)制、基于第三方的攻擊檢測(cè)機(jī)制，以及基于異常的攻擊檢測(cè)機(jī)制。按照響應(yīng)策略進(jìn)行分類，反應(yīng)型防御機(jī)制又被分為DDoS攻擊識(shí)別機(jī)制、限流機(jī)制、重新配置機(jī)制，以及數(shù)據(jù)包過(guò)濾機(jī)制。按照合作程度進(jìn)行分類，反應(yīng)型防御機(jī)制又被分為自治機(jī)制、互依賴機(jī)制，以及助合作機(jī)制。

2 目前使用的DDoS防御機(jī)制

2.1 隨機(jī)丟包方法

當(dāng)前，有一部分網(wǎng)絡(luò)設(shè)備為了能夠有效防御DDoS攻擊，使用了隨機(jī)丟包（Random Drop）的方法。隨機(jī)丟包的方法充分發(fā)揮了網(wǎng)絡(luò)設(shè)備的特性，網(wǎng)絡(luò)設(shè)備通常在流量較大的時(shí)候，會(huì)采取丟包的方法來(lái)使得其自身功能得到正常的發(fā)揮。隨機(jī)丟包的方法是在獲取有效特性有難度，或者沒(méi)有其他有效的DDoS防御措施的情況下使用的一種方法，要想保證網(wǎng)絡(luò)的正常工作，只好將數(shù)據(jù)包隨機(jī)丟棄，進(jìn)而提供服務(wù)。當(dāng)前，這樣的方法丟棄的數(shù)據(jù)包不一定是攻擊數(shù)據(jù)包，而放行的卻很有可能是攻擊數(shù)據(jù)包。

2.2 基于路由報(bào)文過(guò)濾

這個(gè)方法本質(zhì)上是將入口報(bào)文的過(guò)濾工作進(jìn)一步拓展到網(wǎng)絡(luò)上。基于路由報(bào)文過(guò)濾的機(jī)制在網(wǎng)絡(luò)的核心路由器中進(jìn)行了大量報(bào)文過(guò)濾器的部署，能夠根據(jù)報(bào)文的目的地址與源地址，以及邊界網(wǎng)關(guān)的協(xié)議，進(jìn)行報(bào)文的判斷。假如某個(gè)報(bào)文的來(lái)源與其自稱的的來(lái)源不相符合，那么這個(gè)報(bào)文就必須要被丟棄。基于路由報(bào)文過(guò)濾的優(yōu)點(diǎn)就在于這個(gè)機(jī)制不會(huì)使用個(gè)別的主機(jī)地址進(jìn)行過(guò)濾，而是充分利用了AS的拓?fù)湫畔ⅰ?/p>

2.3 輸入調(diào)試法

通常情況下，路由器都是有調(diào)試功能的，是允許設(shè)備管理員對(duì)轉(zhuǎn)發(fā)包的信息進(jìn)行查看的，諸如端口、IP地址等。如果發(fā)生了DDoS攻擊，網(wǎng)絡(luò)管理工作人員需要根據(jù)攻擊報(bào)文的特點(diǎn)，對(duì)被攻擊網(wǎng)絡(luò)的邊界路由器進(jìn)行一定的調(diào)試，對(duì)網(wǎng)絡(luò)報(bào)文進(jìn)行跟蹤，進(jìn)而找到攻擊報(bào)文的輸入接口，最后實(shí)現(xiàn)對(duì)相關(guān)路由器的調(diào)試。為了能夠有效提高分析效率，Stone等開(kāi)發(fā)了一個(gè)新的工具，即Center Track，這個(gè)工具能夠通過(guò)路由信息的改變來(lái)將管理區(qū)域內(nèi)的路由攻擊包轉(zhuǎn)發(fā)到一個(gè)固定的路由器上，進(jìn)而從這一個(gè)路由器上獲取所有路由器被攻擊的信息。輸入調(diào)試法通常只能使用在一個(gè)管理域內(nèi)，分析工作主要由手工來(lái)完成。在跟蹤的整個(gè)過(guò)程中，攻擊活動(dòng)必須始終在線，所有的這些不利因素都使得這個(gè)方法很難成為通用的DDoS攻擊防御方法。

2.4 有效洪泛法

Cheswich與Burch 提出了一種跟蹤方法，這個(gè)方法建立在鏈路測(cè)試的基礎(chǔ)上，必須要改動(dòng)現(xiàn)有路由器的配置與相關(guān)功能。有限洪泛法是指充分利用之前生成的互聯(lián)網(wǎng)拓?fù)洌瑢?duì)于一些可能在DDoS攻擊路徑上的路由器進(jìn)行突發(fā)性流量的發(fā)送，進(jìn)而實(shí)現(xiàn)對(duì)DDoS攻擊流的有效觀察。假如某個(gè)路由器位于攻擊路徑上面，那么在發(fā)送突發(fā)性流量的時(shí)候，此路由器的丟包率勢(shì)必會(huì)增加，進(jìn)而使得被攻擊網(wǎng)絡(luò)的攻擊流減弱。有效洪泛法的優(yōu)點(diǎn)就在于其不需要對(duì)現(xiàn)有路由器的功能與配置進(jìn)行改動(dòng)。其主要的缺點(diǎn)在于追蹤方法本身就是DDoS攻擊，導(dǎo)致網(wǎng)絡(luò)堵塞是必然的，而且這個(gè)方法是不能夠用在DDoS攻擊中的，只用于DDoS攻擊的追蹤。

2.5 使用中繼防火墻

中繼防火墻的使用，能夠使用防火墻來(lái)代替服務(wù)器對(duì)客戶端的TCP連接請(qǐng)求給予響應(yīng)。假如在一個(gè)特點(diǎn)的時(shí)間內(nèi)，防護(hù)墻沒(méi)有得到從客戶端發(fā)送過(guò)來(lái)的ACK數(shù)據(jù)包，那么防火墻會(huì)自動(dòng)中斷連接，而且會(huì)給該地址發(fā)送RST數(shù)據(jù)包，要求連接終止。假如這個(gè)TCP連接是出自于合法用戶的連接，那么防火墻會(huì)在收到客戶端發(fā)送的ACK數(shù)據(jù)包之后，與服務(wù)器的一端建立起一個(gè)新的連接，然后有效為客戶端與服務(wù)器端服務(wù)。中繼防火墻的主要優(yōu)點(diǎn)在于服務(wù)器能夠與拒絕服務(wù)區(qū)有效隔開(kāi)，是不會(huì)收到偽造源IP地址發(fā)送來(lái)的TCP連接請(qǐng)求的。中繼防火墻在一定程度上可以說(shuō)就是一個(gè)SYN代理，防火墻替服務(wù)器處理SYN攻擊，而SYN的代理程序是在用戶層，所以處理連接的數(shù)量非常有限，因此被攻擊也是很容易的。此外，由于需要進(jìn)行TCP的三層握手，TCP連接的延遲也是不可避免的。

2.6 設(shè)置半透明式的網(wǎng)關(guān)防火墻

在網(wǎng)絡(luò)中，當(dāng)客戶端發(fā)送的TCP連接請(qǐng)求到了時(shí)，防火墻通常會(huì)將數(shù)據(jù)包放到服務(wù)器端，當(dāng)服務(wù)器做SYN+ACK數(shù)據(jù)包的回應(yīng)時(shí)，防火墻就將這個(gè)數(shù)據(jù)包發(fā)送到客戶端，同時(shí)還會(huì)將一個(gè)ACK數(shù)據(jù)包發(fā)送給服務(wù)器端，進(jìn)而實(shí)現(xiàn)TCP連接的提前完成。假如在一個(gè)特定的時(shí)間之內(nèi)，防火墻并沒(méi)有二次接收到客戶端發(fā)來(lái)的ACK數(shù)據(jù)包，那么防火墻就會(huì)將一個(gè)RST數(shù)據(jù)包發(fā)送給服務(wù)器端，將連接斷開(kāi)。假如是正常的用戶，那么客戶端就會(huì)收到兩次ACK數(shù)據(jù)包。當(dāng)建立連接之后，數(shù)據(jù)傳輸是不會(huì)受到防火墻的控制的。這個(gè)方法的主要優(yōu)點(diǎn)在于不會(huì)延遲合法用戶。但是缺點(diǎn)也是存在的，其需要謹(jǐn)慎選擇防火墻的周期，保證反應(yīng)時(shí)間相對(duì)較長(zhǎng)的正常使用者不會(huì)受到拒絕服務(wù)。當(dāng)然，這個(gè)方法還有一個(gè)重要的弊端，那就是對(duì)于使用合法源IP地址發(fā)動(dòng)的拒絕服務(wù)攻擊是沒(méi)有辦法有效防御的。

當(dāng)前使用的DDoS防御機(jī)制除了以上敘述的六種之外，還有諸如SYN Cookie和SYN Cache、入口報(bào)文過(guò)濾、網(wǎng)絡(luò)節(jié)流技術(shù)、基于聚集擁塞控制機(jī)制的DDoS防御算法、基于概率的數(shù)據(jù)包標(biāo)記算法等。盡管當(dāng)前廣泛使用的DDoS防御機(jī)制有很多，但是還沒(méi)有一種能夠科學(xué)有效的防御DDoS攻擊。因此，我們需要做的不僅僅是分析現(xiàn)有DDoS防御機(jī)制，更需要在現(xiàn)有防御機(jī)制的基礎(chǔ)上，研究新的DDoS防御方法，為我們的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)提供切實(shí)有效的安全保障。

3 總結(jié)

本篇文章總結(jié)了DDoS攻擊防御機(jī)制的分類，以及當(dāng)前常用的防御方法與防御策略。到目前為止，還沒(méi)有一種科學(xué)有效的DDoS防御方法來(lái)對(duì)DDoS防御攻擊進(jìn)行有效抵御，DDoS攻擊仍然是互聯(lián)網(wǎng)面臨的重要威脅。因此，我們不僅要全面分析現(xiàn)有的DDoS攻擊防御方法，而且要將這些方法綜合在一起來(lái)進(jìn)行DDoS防御，同時(shí)我們還必須要不斷加強(qiáng)對(duì)DDoS防御機(jī)制的研究，創(chuàng)新DDoS攻擊防御策略，進(jìn)而為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全提供有力的保障。

[1]尚占鋒.章登義.DDoS防御機(jī)制研究[J].計(jì)算機(jī)技術(shù)與發(fā)展.2008.18(01).

[2]李小勇.劉東喜.谷大武.白英彩.DDoS防御與反應(yīng)技術(shù)研究[J].計(jì)算機(jī)工程與應(yīng)用.2003.39(12).

[3]李碩.杜玉杰.劉慶衛(wèi).DDoS攻擊防御機(jī)制綜述[J].微計(jì)算機(jī)信息2006.22(06).

[4]忽海娜.萬(wàn)鴻運(yùn).程明.基于擁塞控制的DDoS防御機(jī)制的研究[J].微計(jì)算機(jī)信息.2006.22(18).

[5]韓竹.范磊.李建華.基于源端檢測(cè)的DDoS防御機(jī)制[J].計(jì)算機(jī)工程.2007.33(19).

[6]謝冬青.張婭婷.吳濤.一種基于分組漏斗的DDoS防御機(jī)制[J].湖南大學(xué)學(xué)報(bào)（自然科學(xué)版）.2007.34(11).