基于網絡層的DDoS攻擊模型與安全防御策略研究

摘? ?要：由于多向量攻擊的發展，網絡層攻擊變得越來越復雜，攻擊者將高Gbps（Gigabits per second）和高Mpps（Million packet per second）攻擊結合在一起，基于網絡的容量攻擊會耗盡服務器資源并消耗可用帶寬，最終的結果是拒絕向合法用戶提供服務。針對這種情況，論文對網絡層攻擊的模型深入分析，提出了網絡層發生的DoS（Denial of Service）攻擊防御模型，通過構建并彈性獲得吸收攻擊所需的帶寬容量和過濾攻擊流量的網絡架構和安全策略，僅將正確流量進入網絡，減少數據中心受到DDoS（Distributed Denial of Service）攻擊的可能性，提高數據中心對網絡層DDoS攻擊的防御能力，改善網絡環境，顯著提升網絡系統的安全性能。

關鍵詞：DDoS攻擊;網絡層;安全策略;攻擊防御

中圖分類號： TP393? ? ? ? ? 文獻標識碼：A

1 引言

隨著網絡的日益普及，專門針對不同網絡系統攻擊的數量、類型、大小和成本也相應增加。波耐蒙研究所（Ponemon Institute）進行的一項全球調查的結果表明，分類中排第一的是拒絕服務（DoS）和分布式拒絕服務（DDoS）攻擊，占每年所有網絡犯罪的55%以上，是影響最大的網絡犯罪。世界知名企業Akamai（阿卡邁）預測2020年平均DDoS攻擊將產生1.5Tbps的網絡流量。如果數據中心已成為DDoS攻擊的目標，則有25%的機會在3個月內再次受到攻擊，并且有36%的可能性在一年內會再次成為攻擊目標。

2? DoS/DDoS攻擊

在DoS攻擊中，攻擊者可以使用Internet連接來利用軟件漏洞或向服務器發送多個虛假請求，最終導致該站點不可用并阻止其響應合法用戶的請求，發起DDoS攻擊的第一步是招募一系列機器人，一旦節點計算機變成機器人，它連接到攻擊者的控制電路，并開始接受來自控制服務器的指令，來自指揮控制服務器的指令包括使用選定的攻擊方法從機器人惡意軟件向特定目標發起攻擊的指令[1]。……