基于網絡層的DDoS攻擊模型與安全防御策略研究

摘? ?要：由于多向量攻擊的發展，網絡層攻擊變得越來越復雜，攻擊者將高Gbps（Gigabits per second）和高Mpps（Million packet per second）攻擊結合在一起，基于網絡的容量攻擊會耗盡服務器資源并消耗可用帶寬，最終的結果是拒絕向合法用戶提供服務。針對這種情況，論文對網絡層攻擊的模型深入分析，提出了網絡層發生的DoS（Denial of Service）攻擊防御模型，通過構建并彈性獲得吸收攻擊所需的帶寬容量和過濾攻擊流量的網絡架構和安全策略，僅將正確流量進入網絡，減少數據中心受到DDoS（Distributed Denial of Service）攻擊的可能性，提高數據中心對網絡層DDoS攻擊的防御能力，改善網絡環境，顯著提升網絡系統的安全性能。

關鍵詞：DDoS攻擊;網絡層;安全策略;攻擊防御

中圖分類號： TP393? ? ? ? ? 文獻標識碼：A

1 引言

隨著網絡的日益普及，專門針對不同網絡系統攻擊的數量、類型、大小和成本也相應增加。波耐蒙研究所（Ponemon Institute）進行的一項全球調查的結果表明，分類中排第一的是拒絕服務（DoS）和分布式拒絕服務（DDoS）攻擊，占每年所有網絡犯罪的55%以上，是影響最大的網絡犯罪。世界知名企業Akamai（阿卡邁）預測2020年平均DDoS攻擊將產生1.5Tbps的網絡流量。如果數據中心已成為DDoS攻擊的目標，則有25%的機會在3個月內再次受到攻擊，并且有36%的可能性在一年內會再次成為攻擊目標。

2? DoS/DDoS攻擊

在DoS攻擊中，攻擊者可以使用Internet連接來利用軟件漏洞或向服務器發送多個虛假請求，最終導致該站點不可用并阻止其響應合法用戶的請求，發起DDoS攻擊的第一步是招募一系列機器人，一旦節點計算機變成機器人，它連接到攻擊者的控制電路，并開始接受來自控制服務器的指令，來自指揮控制服務器的指令包括使用選定的攻擊方法從機器人惡意軟件向特定目標發起攻擊的指令[1]。一群被控制的主機被稱為僵尸網絡，它通常由數千個被控制的主機組成。每當僵尸網絡所有者想要發起攻擊時，都會向僵尸網絡的控制服務器發送消息。僵尸網絡中任何受影響的機器都將服從命令，發起一場協調、適時的分布式攻擊，即分布式拒絕服務攻擊[2]。可以使用各種按需付費的DDoS服務來創建自己的僵尸網絡，使用此類服務的任何人都可以發起強大的DDoS攻擊。

2.1? 最早記錄

第一次公開記錄的DDoS攻擊發生在1996年9月，攻擊對象是紐約市歷史最悠久的互聯網服務提供商Panix。SYN泛濫被用來耗盡可用的網絡連接，并阻止合法用戶連接到Panix服務器。一個全球互聯網專家小組花了大約36個小時的工作，最終才奪回了Panix域名的控制權。2005年，“panix.com”域名在美國的一個長假周末再次被劫持。第二個重要的里程碑是電子干擾劇場（EDT）對DDoS的使用。這時黑客使用的是內部開發工具，讓組織外部的任何人都可以加入。開發的工具包（FloodNet）可以將用戶的流量引導到EDT預先確定的目標，希望加入“sit-in”的人只需從下拉菜單中選擇他們的目標點擊攻擊，等待FloodNet自動轟炸攻擊服務器。

2.2? 國內影響最嚴重的DDoS攻擊

2013年，中國部分互聯網遭遇了有史以來最大的拒絕服務攻擊。據中國互聯網絡信息中心（CNNIC）稱[17]，襲擊始于周日凌晨2點，隨后在凌晨4點發生了更嚴重的襲擊。此次攻擊的目標是注冊中心，主要是域名為“.cn”的網站。

2.3? 流量最大的一次DDoS攻擊

最近一次是在2016年1月，“新世界黑客組織”（New World Hacking group）聲稱對英國廣播公司（BBC）的全球網站和唐納德·特朗普（Donald Trump）的網站被攻陷事件負責。該組織針對所有BBC網站，包括其iPlayer點播服務進行了DDoS攻擊，并在新年前夕把所攻擊的網站關閉至少3個小時。這次攻擊被稱為DoS攻擊史上流量最大的一次，攻擊速度超過600 Gbps。

DDoS攻擊的業務影響是巨大的，通過消耗網絡帶寬在Internet上造成嚴重破壞，使可用的計算資源（如磁盤、內存、空間或處理器時間）不堪重負，破壞配置信息或重置設備信息，使企業名譽受損，還可能造成嚴重的法律后果。

3? 網絡層DDoS攻擊模型

應用層和網絡層是DDoS攻擊的主要目標。對于網絡層攻擊是通過協議發送惡意數據包，以消耗目標的可用連接和可用帶寬;對于應用層攻擊是消耗Web服務器用來處理請求的計算資源（主要是CPU和內存）。網絡層攻擊是經常遇到的攻擊，歸因于許多主要站點上的中斷服務，SYN泛洪、ACK泛洪或基于UDP的放大攻擊都屬于網絡層攻擊。網絡層攻擊通常以Gbps（千兆位每秒）為單位，以衡量每秒可消耗的帶寬量，由于它們對數據中心進行“攻擊”，它們也被稱為容量攻擊[3]。

網絡層基本攻擊是簡單泛洪或放大攻擊。泛洪利用特定的協議（如TCP、ICMP或UDP）向目標發送大量請求并使網絡過載。SYN Flood是一個最常見的網絡層DDoS攻擊。在其結構上，攻擊系統向主機發送帶有欺騙源IP地址的TCP SYN請求，雖然請求看起來合法，但偽造的地址是一個不存在的客戶端[4]，因此最終ACK消息永遠不會發送到受害主機，如圖1所示。

3.1? SYN Flood DDoS

攻擊利用了TCP連接中的一個弱點（“三向握手協議”），SYN Flood攻擊最顯著特點就是發送大量變源或變源端口的報文到目標主機，耗盡被攻擊主機的資源，如圖2所示。

SYN Flood攻擊是通過偽造一個源地址的SYN報文發送給被攻擊的主機，服務器會將SYN-ACK消息發送到偽造的IP地址，而該IP地址不會將ACK發送回去，攻擊的結果是受害站點上的連接處于半打開狀態。綁定服務器的資源，這樣服務器就不能建立新的合法連接，從而導致拒絕服務[5]。此時，服務器將無法連接到任何客戶端（無論合法與否）。連接將是半開放的，并且會消耗服務器資源。這就是為什么SYN Flood攻擊有時也被稱為“半開”攻擊的原因。

3.2? DNS Flood攻擊

DNS是域名和IP地址之間對應關系構成的數據庫，使用私有網絡協議進行通信，并按層次結構進行組織。在DDoS攻擊的DNS泛洪類型中，攻擊者將一個或多個DNS服務器作為目標，并通過大量的流量來使服務器過載，阻止服務器提供合法的DNS解析。DNS服務器依靠UDP和TCP協議進行名稱解析。

為了使用DNS泛濫攻擊DNS服務器，攻擊者運行一個腳本，通常來自多個服務器，這些腳本從偽造的IP地址發送畸形數據包，由于這些攻擊不需要有效的響應，所以攻擊者可以發送既不精確也不正確格式化的數據包[6]。攻擊者可以偽裝所有的數據包信息，包括源IP，并使攻擊看起來來自多個源，如圖3所示。

3.3? DNS放大攻擊

DNS放大攻擊（DNS Amplification Attack）是使用欺騙的目標IP發送一個小查詢，使目標機成為更大DNS響應的接收者，目標是通過不斷耗盡帶寬容量來達到網絡飽和。利用DNS服務器中的漏洞將最初很小的查詢轉換為更大的有效負載，這反過來又會導致受害者的服務器宕機[7]。攻擊過程中的反射是通過從DNS解析器引發對欺騙的IP地址的響應來實現的。在攻擊期間，攻擊者向一個開放的DNS解析器發送一個偽造的IP地址的DNS查詢，促使其用DNS響應回復該地址。由于大量偽造的查詢被發送出去，DNS解析器同步響應，受害者的網絡不堪重負，如圖4所示。

如果反射被放大攻擊就更危險了，使用EDNS0 DNS協議擴展發送DNS請求時，用DNSSEC的加密特性來增大消息大小，關于DNS區域的所有已知信息通過單個請求中返回。通過這種方式，可以將大約60字節的DNS請求消息推送到目標服務器，從而將超過4，000字節的響應消息引出，產生70：1的放大系數。DNS放大攻擊通常會通過僵尸網絡中繼DNS請求，從而增大了目標服務器的通信量，使跟蹤攻擊者變得更加困難。

3.4? Ping Flood攻擊

Ping Flood是使用ICMP Echo Request，通過使用其Flood特性可以盡快發送ICMP數據包無需等待答復。大多數Ping實現都要求用戶具有特權才能指定Flood選項。如果攻擊者的帶寬比受害者大，則攻擊最成功。攻擊者希望受害者以ICMP Echo Reply數據包作為響應，從而消耗傳出帶寬和傳入帶寬。如果目標系統足夠慢，則有可能消耗足夠多的CPU周期以使用戶注意到明顯的減速[8]。通過ICMP請求降低目標的其他方法包括使用自定義工具或代碼，例如Hping和Scapy，這會使網絡的傳入和傳出通道都受到壓力，消耗大量帶寬并導致拒絕服務。

3.5? Ping of Death攻擊

在Ping of Death攻擊中，攻擊者是使用Ping命令發送錯誤或超大的報文。Ping命令通常用于測試網絡資源的可用性，通過將小數據包發送到網絡資源來測試網絡。Ping of Death可利用此優勢，并發送超出TCP/IP允許的最大限制（即65，536字節）的數據包。像其他大格式數據包一樣，在傳輸之前，死亡的Ping會分成8個八位字節的分組，重組數據包時發生緩沖區溢出，從而導致系統崩潰，有時可以注入惡意代碼，當執行碎片化時，每個IP碎片需要攜帶分組所包含的原始IP包的相應部分信息[9]。此信息保留在IP報頭的“片段偏移”字段中。該字段長13位，允許最大偏移量65，528〔（213-1）8〕。這意味著具有最大偏移量的IP片段的數據不應大于7個字節，否則它將超過最大數據包長度的限制。

惡意用戶可以發送具有最大偏移量的IP片段，并且該數據片段的數據量多于8個字節（與物理層允許的大小一樣大）。當接收端組裝所有IP片段時，它將以大于65，535字節的IP數據包結束。這可能會使接收端為數據包分配的內存緩沖區溢出，并可能導致各種問題，包括拒絕服務。Ping of Death攻擊特別有效，因為攻擊者的身份很容易被欺騙[10]。此外，Ping of Death攻擊者除了其IP地址外，不需要正在攻擊的計算機的詳細知識。

3.6? Smurf攻擊

藍精靈（Smurf）攻擊是通過利用IP協議和ICMP協議的漏洞來實現目標。攻擊者將發送大量IP數據包，數據包用的是偽造的源地址。該惡意軟件會創建一個附加到虛假IP地址的網絡數據包，數據包內部是ICMP Ping消息，請求接收包的網絡節點發回一個應答。然后，這些答復或“回聲”再次發送回網絡IP地址，從而建立無限循環。藍精靈攻擊將一次Ping放大255次，并依賴配置不完善的網絡設備，這些設備允許通過網絡的廣播地址（而不是單播地址）將數據包發送到特定網絡上的所有計算機。與IP廣播（將惡意數據包發送到網絡中的每個IP地址）結合使用時，Smurf攻擊會迅速導致完全拒絕服務。Smurf Trojan可能會從未經驗證的網站或通過受感染的電子郵件鏈接意外下載，通常該程序將在計算機上保持休眠狀態，直到被遠程用戶激活為止。如果Smurf DDoS攻擊成功，它可能會使公司服務器癱瘓數小時或數天。

3.7? Nuke攻擊

Nuke攻擊通過修改后的Ping實用程序將損壞的和碎片化的ICMP數據包發送到目標，反復發送損壞的數據包以減慢受影響的計算機的速度，直到其完全停止。有了足夠的容量，攻擊就可以成功。最終使目標機器離線，或者導致Windows崩潰或藍屏死機。Nuke攻擊最著名的例子是1997年的WinNuke，該漏洞利用了Windows 95中的漏洞。多年之后，出現了一個新版本的WinNuke，影響了Windows NT、2000和XP，但很快就被Microsoft修補。Nuke是一種老式的DDoS攻擊，幾乎沒有任何現代操作系統容易受到這種攻擊。

3.8? Teardrop攻擊

淚滴（Teardrop）攻擊是通過針對TCP/IP碎片重組代碼進行的拒絕服務攻擊。這種攻擊導致碎片數據包在主機收據上相互重疊，然后主機嘗試在此過程中重建它們，但永遠不可能被重建。最終的結果是數據包重疊并迅速使受害者的服務器不堪重負，從而導致服務器失效[11]。這通常發生在較舊的操作系統上和某些版本的Linux。IP報頭中的如果一個片段包的偏移量和大小與下一個片段包的偏移量和大小不同，則這些數據包會重疊。發生這種情況時，容易受到淚滴攻擊的服務器將無法重組數據包，從而導致服務被拒絕。

3.9? Sophisticated low-bandwith攻擊

復雜的低帶寬（Sophisticated low-bandwidth）DDoS攻擊針對受害者系統設計中的薄弱環節，即攻擊者向系統發送由復雜請求組成的流量，從而減少了流量，提高了效率。低帶寬DDoS攻擊成本低、流量少，隱蔽性好，難檢測。

此類攻擊是通過請求很少請求的頁面（強制服務器在磁盤中搜索）來攻擊HTTP服務器。類似的攻擊可以在搜索引擎或數據庫服務器上執行，方法是發送困難的查詢，迫使它們花費大量的CPU時間或磁盤訪問時間。

4? 發起DDoS攻擊的工具

僵尸網絡是被感染了惡意軟件的設備或計算機的集合，這些設備或計算機相互通信，并由僵尸主機集中控制。僵尸主機使用一個命令和控制服務器來指揮這些機器，一個受感染機器接受指令的中心位置。有些僵尸網絡由數十萬甚至數百萬臺計算機組成，僵尸程序并不總是意味著軟件質量很差，它們經常被用于協調DDoS攻擊[12]。僵尸網絡可以用于許多不同的目的，因為它們允許許多不同的計算機協同行動。

4.1? 低軌道離子大炮

低軌道離子大炮（Low Orbit Ion Cannon）是在2004年4chan網站上的黑客們開發的一種簡單而有效的攻擊工具。2012年，“Anonymous”通過LOIC，在一次Megaupload行動中，在一個下午的時間里，攻擊了美國UMG公司的網站，以及美國司法部、美國版權局、FBI、MPAA、華納兄弟和HADOPI的網站。LOIC使DoS攻擊變得快速和簡單。該軟件為潛在的攻擊者提供了直觀的圖形用戶界面。黑客可以使用此接口輸入URL，選擇攻擊方法（TCP、UDP、HTTP），然后提交請求。下載該工具并使用它打開到目標服務器的多個連接并發送連續的消息序列需要大約60秒。高軌道離子大炮（High Orbit Ion Cannon）是對LOIC的升級。

4.2? Brobot

Brobot是俄語腳本工具箱的名稱，該工具箱曾在2012-2013年的“阿巴比爾行動”中用于定位美國銀行。Brobot工具的DDoS攻擊規模可以很大，Akamai曾經在幾周內觀察到多達20家銀行遭到攻擊。Brobot是進行“阿巴比爾行動”攻擊的首選僵尸網絡，目前仍然存在，并繼續對該行業構成重大風險[13]。該僵尸網絡背后的小組開發了與高帶寬網站和Web托管數據中心鏈接的計算機上易受攻擊的軟件擴展。然后，它通過將幾乎不可見的嵌入式代碼插入擴展的HTML中來危害和控制這些計算機。一旦成功，高帶寬僵尸網絡計算機可以使用高達190Gbps的DDoS攻擊來轟炸目標。

5? DDoS攻擊演變趨勢

網絡層攻擊也隨著多向量攻擊的發展而變得越來越復雜，并且攻擊者將高Gbps和高Mpps攻擊矢量結合在一起。攻擊者在探索不常見的攻擊方法，并通過上傳腳本的方式來發起多數以千兆POST泛洪攻擊。在網絡層攻擊的情況下，這種趨勢轉化為對高Mpps攻擊的使用增加。研究表明：

（1）最長的網絡層攻擊持續了48.5小時;

（2）最大網絡層攻擊峰值達到每秒200千兆字節以上;

（3）網絡層攻擊最高攻擊率每秒120+百萬個數據包。

近幾年，攻擊目標最大的國家是韓國，占攻擊的29.5%;東歐國家，例如俄羅斯（占10.8%）和烏克蘭（占10.1%）。攻擊目標最多的國家是美國，占攻擊的50.3%，英國（占9.2%）和日本（占6.7%）。緊隨其后的是愛爾蘭、加拿大、德國、法國、荷蘭和澳大利亞。由Google Ideas與Arbor Networks合作建立的著名DDoS攻擊統計的開放網站Digital Attack Map（https：//www.digitalattackmap.com），對DDoS攻擊在全球范圍內的實時數據進行可視化，如圖5所示。該網站顯示匿名攻擊流量數據，以使用戶能夠探究歷史趨勢并查找在任何一天發生的中斷的報告。通過網站可以選擇一個國家/地區來查看去往或來自該國家/地區的DDoS活動，也可以按類別，持續時間或源/目標端口查看攻擊。

互聯網信息圖狀態顯示了DDoS攻擊是如何頻繁發生的，基于UDP碎片的矢量攻擊占21%，DNS攻擊占13%，SYN攻擊占10%。目標行業依次為零售、游戲、軟件和技術公司、金融服務、媒體和娛樂行業、互聯網和電話公司。

6? 網絡層攻擊防護

基于網絡的容量攻擊會耗盡服務器資源并消耗可用帶寬，最終的結果是拒絕向合法用戶提供服務。在網絡層進行防御時，首先要考慮的是確保有足夠的網絡帶寬來處理大量的流量。如果不能自已購買足夠的容量，可考慮通過云服務彈性獲得吸收攻擊所需的額外帶寬[14]。其他的防御措施包括過濾攻擊流量，允許合法的流量，并放棄非法的流量，如過量的TCP SYN數據包，泛洪的ICMP包或UDP包沒有應用程序有效負載，如圖6所示。

6.1? 通過智能CDN技術實現對攻擊的緩解防御策略

為了防御網絡層發生的DDoS攻擊，需要一個能夠吸收大量流量并過濾所有流量的網絡體系結構，以便僅將Web流量進入網絡。每個企業都是不同的，需要不同的方法[15]。網絡層DDoS攻擊通常稱為3/4層攻擊（也稱為體積攻擊）如圖7所示，因為攻擊會影響OSI模型的較低層（網絡和傳輸）。攻擊類型的一些示例包括SYN泛洪（欺騙性IP，非標準TCP標志）、UDP泛洪、IPSec泛洪（IKE / ISAMP關聯嘗試）、IP/ICMP分段、NTP/DNS/SSDP反射、SMURF、DNS這些攻擊通常旨在使服務器不堪重負，最終導致拒絕合法流量的服務并破壞網絡的運行。防御需要提供適當的緩解能力，可以通過與不同的服務提供商合作，提供強大的CDN，CDN可以利用位于全球不同位置的服務器提供緩解較大的DDoS攻擊的能力[8]。通過將智能的DDoS緩解工具與監視和支持設備相結合，可以在客戶意識到攻擊存在之前消除這些威脅。基于網絡的攻擊（例如Slowloris，ICMP或TCP和UDP泛洪）以及應用程序層攻擊（例如GET Flood）一般利用強大的智能CDN技術后都沒有機會攻擊綜合安全基礎架構，如圖7所示。

6.2? 本地硬件防御策略

數據中心可以選擇依靠硬件或數據中心內部安裝的防火墻來安裝和實施本地設備。這不僅需要大量的前期費用，且具有一定的生命周期，還需要專業人員的正確實施才能起到相應的降低風險要求。當以串聯方式使用時，保護功能始終處于啟用狀態，并在攻擊開始時一直在使用。但是在內網，硬件僅在DDoS攻擊進入數據中心后才嘗試阻止它，攻擊還會破壞數據中心基礎設施，例如路由器、網絡防火墻和負載平衡器。如果將現場設備與額外的云服務相結合，這就是所謂的混合緩解，理想情況下，混合解決方案意味著本地設備和云服務是完全集成和自動化的。

目前較成熟的DDoS防御系統主要通過閾值限制、驗證識別、規則匹配、端口保護、旁路清洗等防御手段把無序攻擊流量清洗到有序的網絡流量，保障服務器與網絡正常使用，一般采用透明模式和旁路模式接入，根據不同的需求，主要有單機串聯部署、雙機熱備部署、串聯集群部署和旁路部署。

（1）通用單機串聯部署

DDoS防御系統接入機房核心交換機前端防護，核心交換機下所有主機進入防護區，連接方式：將ISP分配的光纖接入到系統設備的出口，將系統的設備出口接到下層核心交換機，被保護主機可置于核心交換機下，如圖8所示。

（2）雙機熱備部署

為了保證網絡的高可用性與高可靠性，DDoS防御系統采用雙機熱備功能，即在同一個網絡節點使用兩個配置相同的抗拒絕服務設備。雙機熱備模式采用了兩種工作模式。

主-主模式：工作模式即讓兩臺DDoS防御系統同時工作，當任意服務器發生故障，如接口及連線故障、意外宕機、關鍵進程失敗、性能下降、CPU和內存負載過大等情況，另外一臺能夠平滑的接替該系統的工作，并保持連接，實現負載均衡。

主-從模式：正常情況下主DDoS防御系統處于工作狀態，另一個處于備份狀態，稱為從系統。當主系統發生意外宕機、網絡鏈路發生故障、硬件故障等情況時，從系統自動進行切換工作狀態，從系統代替主系統正常工作，從而保證了網絡的正常使用。切換過程不需要人為操作或其他系統的參與，如圖9所示。

（3）集群部署

系統集群型是依靠多臺DDoS防御系統實現防護帶寬及防護能力的增加功能，支持多臺DDoS系統形成集群，抵御大規模的攻擊流量。首先在交換機的相應端口設置端口聚合，或者直接設置路由器完成端口聚合，分別接入DDoS防御系統，每個系統接入一路數據（入口和出口），如圖10所示。

（4）旁路部署

旁路系統由DDoS防御系統和流量分析器組成。DDoS防御系統對攻擊流量、一次、潛在攻擊流量進行徹底檢測，去除攻擊流量，轉發過濾后的純凈流量。而流量分析器則對網絡流量進行分析，將與受保護IP有關的異常流量信息通知抗拒絕服務系統。旁路牽引模式就根據凈化后回注流量的不同分為回流模式和注入模式。在進行旁路部署時，為了增加檢測的高效性，提高對攻擊流量的防御，抗拒絕服務系統除了單臺部署外，也支持集群模式部署，同時也可以在回流與注入模式下的集群部署，如圖11所示。

（5）旁路注入部署

旁路注入部署是DDoS防御系統處理流量之后，將純凈流量直接注入下層設備。采用此種模式，是根據下層設備的不同，有兩種不同配置：若下層設備為交換機，則抗拒絕服務系統將自動解析目標主機的MAC地址，并將純凈流量直接發送至該主機。若下層設備為路由器，則需要在DDoS防御系統上設置下層路由器的地址（下一跳地址），若是集群則每臺設備都要獨立設置，如圖12所示。

6.3? 通用防御策略

（1）首包丟棄：有些攻擊是不斷變換源IP地址或者源端口號發送攻擊報文，攻擊報文都不相同，而且攻擊量很大，如果使用源認證方式防御，將每個攻擊報文反彈，那么反彈量會非常大，容易造成鏈路阻塞。首包丟棄就是為了防御大流量攻擊，與源認證方式結合可有效防御變換源IP或源端口號的攻擊。正常情況下，對于TCP、DNS、ICMP報文都具有重傳功能，如果在交互過程中報文被丟棄，則都會重傳。首包丟棄正式利用了報文的重傳機制，將收到的第一個報文丟棄，以判定后續是否有重傳報文。判定報文是否屬于重傳報文是基于三元組及時間間隔來判斷的。三元組包含源IP地址、源端口和協議;時間間隔可以自定義配置。支持首包丟棄的報文包括SYN、TCP、UDP、DNS、ICMP、HTTP協議[16]。UDP協議雖然不具備重發機制，當有應用層協議來協助實現重發時，也可以配置首包丟棄功能。

（2）過濾器：通過配置過濾器，對匹配特征的報文執行相應的操作。過濾器就是在Anti-DDoS上自定義報文的源IP、目的IP、協議、TTL等特征，將這些特征組合在一起作為過濾條件。后續對到達Anti-DDoS的報文進行匹配，如果特征匹配，則表示命中過濾器，則對匹配的報文執行相應操作，從而實現精細化過濾的目的。

（3）黑名單和白名單：異常流量清洗方案支持將一些不可信任的源IP地址加入黑名單，對此源發出的報文禁止通過;將信任的源IP地址加入到白名單，對此源發出的報文允許通過。

（4）阻斷和限流：通過服務學習或經驗發現網絡中根本沒有某種服務或某種服務流量很小，則可以分別采用阻斷和限流方法來防御攻擊。阻斷和限流防御對正常業務可能會有一定影響，一般在所有防御均失效或了解業務流量確認阻斷和限流對正常業務無影響的情況下使用。

7? 結束語

現在DDoS也出現了很大的創新，新的工具使任何人只要有互聯網連接就可以發起DDoS攻擊，具體取決于對互聯網的依賴程度及其的安全級別標準。DDoS攻擊很難確定時間和位置，僵尸網絡成了發起攻擊的平臺，而這些僵尸網絡的命令和控制基礎結構旨在保護其所有者，使拒絕服務攻擊的工具正變得越來越容易。DDoS攻擊無法完全避免，也無法用一種方法對付它們，如果沒有相應的防護策略，攻擊幾乎都能成功。DDoS攻擊是當今要防御的最復雜的攻擊之一，整個過程中以多種方式展開且攻擊變得越來越復雜。

參考文獻

[1] 景泓斐，張琨，蔡冰，余龍華.基于BP神經網絡的應用層DDoS檢測方法[J].計算機工程與應用，2019，55（20）：73-79.

[2] 趙隴，王志勃，章萬靜.基于DDoS安全區的偽造IP檢測技術研究[J].計算機技術與發展，2019，29（09）：106-109.

[3] Muhammad Aamir， Syed Mustafa Ali Zaidi. DDoS attack detection with feature engineering and machine learning： the framework and performance evaluation[J]. International Journal of Information Security， 2019， 18 （6）：761-785

[4] Hafiz Husnain Raza Sherazi，Razi Iqbal，Farooq Ahmad，Zuhaib Ashfaq Khan，Muhammad Hasanain Chaudary. DDoS attack detection A key enabler for sustainable communication in internet of vehicles[J]. Sustainable Computing Informatics and Systems，2019，23（1）：13-20.

[5] Rup Kumar Deka，Dhruba Kumar Bhattacharyya，Jugal Kumar Kalita. Active learning to detect DDoS attack using ranked features[J]. Computer Communications，2019，145（1）：203-222.

[6] 王曉瑞，莊雷，胡穎，王國卿，馬丁，景晨凱. SDN環境下基于BP神經網絡的DDoS攻擊檢測方法[J].計算機應用研究， 2018，35（3）：911-915.

[7] 李昆侖，董寧，關立偉，郭昌隆.一種改進Kohonen網絡的DoS攻擊檢測算法[J].小型微型計算機系統， 2017，38（03）：450-454.

[8] 楊林海.基于CDN的網站訪問加速技術研究[J].江西科學， 2020，02：245-251+286

[9] 呂志遠，陳靚，馮梅，全成斌，趙有健.擬態防御理論在企業內網安全防護中的應用[J].小型微型計算機系統， 2019，40（01）：69-76.

[10] Kentaro Aburada，Yuki Arikawa，Shotaro Usuzaki， Hisaaki Yamaba，Tetsuro Katayama，Mirang Park，Naonobu Okazaki.Use of access characteristics to distinguish legitimate user traffic from DDoS attack traffic[J].Artificial Life and Robotics，2019，24（3）：318-323.

[11] Mauro Conti，Chhagan Lal，Reza Mohammadi， Umashankar Rawat. Lightweight solutions to counter DDoS attacks in software defined networking[J]. Wireless Networks， 2019， 25 （5）：2751-2768

[12] 喻志彬，馬程，李思其，王淼.基于Web應用層的DDoS攻擊模型研究[J].信息網絡安全，2019，05（05）：84-90.

[13] 王媛媛，吳春江，劉啟和，譚浩，周世杰.惡意域名檢測研究與應用綜述[J].計算機應用與軟件，2019，36（09）：310-316.

[14] Jhum Swain，Binod Kumar Pattanayak，Bibudhendu Pati. A new approach for DDoS attacks to discriminate the attack level and provide security for DDoS nodes in MANET[J]. International Journal of Communication Networks and Information Security，2017，9（3）： 450-456.

[15] 陳興蜀，滑強，王毅桐，葛龍，朱毅.云環境下SDN網絡低速率DDoS攻擊的研究[J].通信學報，2019，40（06）：210-222.

[16] 徐雅斌，賈珊珊.軟件定義網絡的安全態勢感知研究[J].小型微型計算機系統，2019，40（08）：1682-1688.

[17] http：//www.cnnic.cn/gywm/xwzx/xwzxtzgg/201308/t20130825_41322.htm.

作者簡介：

楊林海（1982-），男，白族，云南鶴慶人，北京理工大學，碩士，云南國土資源職業學院，副教授/高級工程師;主要研究方向和關注領域：網絡安全技術。