分布式流量限速的研究和实现.pdfVIP

·J36· 第二十一次全国计算机安全学术交流会论文 分布式流量限速的研究与实现 荆一楠 肖晓春王雪平张根度 复旦大学计算机与信息技术系 摘要：流量限速技术是抵御分布式拒绝服务攻击的一种有效的应急响应措施。针对目前限 流方法存在的一些缺陷。提出一种基于Overlay的分布式限流框架，并给出一些实 现细节。该框架不仅为分布式限流提供了一个安全的跨域协作环境，而且借助攻击 源追踪技术辅助限流．改善了限流性能。 关键词：分布式拒绝服务攻击流量限速应急响应协同防御 于自身的防护能力，而且还依赖于外部网络的安全状 一、引言 态栩。这是这种攻击产生的外因。(2)N务资源总是有 限的．再多的资源也会在动辄上千台傀儡主机的同时 of 拒绝服务(DenialService，DoS)攻击是一种使 夹攻下消耗殆尽。因此。受限的资源是这种攻击产生 合法用户无法得到正常服务响应的攻击形式。攻击 的内因。 者一般利用大量非法攻击报文侵占过多的服务资 上述两个原因构成了泛洪式DDoS攻击形成的 源，从而达到攻击的目的。分布式拒绝服务(Dis—两个必要条件，只要使其中一个条件不成立就能有效 of tributedDenial Service．DDoS)攻击的威力更强， 地抵御这种攻击。众所周知，希望彻底消除这种攻击 攻击者利用大量的傀儡主机来完成更大规模的拒绝 产生的外因是不现实的。因此，有效地抵御泛洪式 服务攻击。由于现成的攻击工具在网络上肆意泛滥。 DDoS攻击的关键在于如何保证有限的资源不被攻 发起这种攻击越来越容易，而且最近几年肆虐的网 击流消耗殆尽并尽量为合法用户所用。 络蠕虫病毒也对DDoS攻击的发展起到推波助澜的 要将流量控制在受限资源的承受能力范围内，最 作用，因此DDoS攻击已经成为Intemet中最具威胁 直接的方法是使用流量限速(RateLimit，简称限流) 性和破坏性的攻击形式之一。 技术。限流技术由于原理简单、见效快，所以成为快速 DDoS攻击可以分为两种[11。一种是利用软件或 缓解泛洪式攻击的一种有效方法，特别是对于那些不 网络协议设计的漏洞达到攻击目的，如早期的Ping- of-Death攻击。这类攻击一般可以通过升级软件抵 方法应该满足以下三个要求：(1)通过限流能将最后 御。另一种是泛洪式攻击(nooaing—styleattacks)。攻击 汇聚到被攻击者的流量控制在受限资源的承受能力 者通过控制大量的傀儡主机同时向被攻击者发送大 范围内，即不会产生明显的拒绝服务攻击效果。(2)应 量看似合法的攻击报文以耗尽被攻击者的计算资源 尽量减少对合法报文的误限。(3)限流的位置越接近 或淹没有限的网络带宽从而达到拒绝服务的效果。 攻击者则效果越理想。这一点其实是对分布式限流提 这种攻击形式具有流量大、特征不明显等特点，所以 出了要求。因为在靠近受害者的位置，大量攻击流经 一般抵御难度较大。 过汇聚后会变得非常庞大，限流器可能根本无法处理 泛洪式DDoS攻击产生的根源主要在两个方面：如此巨大的流量。另外，经过汇聚后合法流和攻击流 (1)在面对DDoS攻击时，网络用户的安全不仅取决