源地址过滤的软硬件方法优化.pdf

源地址过滤的软硬件方法优化 3．5。3合成数据包分类的有效性…………………………………．26 3．5．4合成数据包分类的有效性TCAM联合压缩效率…．………．………26 第四章源过滤防止DDOS攻击的应用…………………………………………………．27 4．1 背景…………………………………………………………………………………………………………．．28 4．1．1检测DoS攻击…………………………………………．．28 4．1．2区分攻击和合法流量……………………………………．．28 4．1．3 DDoS问题的完整解决方案…………………………………29 4．2基于源地址前缀的DDOS过滤器……………………………………………………29 4．2．1基于源地址的丢弃……………………………．．．………．30 4．2．2基于源地址的过滤器作为更广阔DDoS解决方案一部分……………31 4．2．3ACL规则的生成…………………………………………31 4．3方法评价……………………………………………………………………………．31 4．3．1 ACL方法和数据的描述使用………………………………．．32 4．3．2方法和数据的描述使用……………………………………32 4．3．3攻击的强度和程度的过度配置………………………………33 4．4多因素衡量…………………………………………………………………………．33 5．1分布式源过滤………………………………………………………………………．35 5．2包过滤硬件压缩……………………………………………………………………．35 参考文献……………………………………………………………………………………36 致 谢……………………………………………………………………………………38 万方数据 源地址过滤的软硬件方法优化 摘要 摘 要 阻止恶意流量的过滤：访问根据字段控制列表(ACL)可以选择性地阻断交通 IP报头。 已经有过滤器(ACL)路由器的今天，但这是一种稀缺资源，因为它们存 储在昂贵的三态内容寻址存储(TCAM)。源地址过滤是一项用于防止有害包进入内 部系统的重要预防机制。现在多少网络存储了过滤在硬件中，比较流行的是TCAM 快表，它有有限的存储空间，更高的能量损耗和更高的价格。虽然软件能够容纳大 量的过滤器，但是这需要将多种访问边界路由器的机制，因此边缘路由器承载了比 其它路由器更多的任务。本文提出了一种基于软件源地址的过滤方法，在我们的机 制中，每个路由器只需要检查一个源地址里面的极就可以了，相比原来需要在入口 路由器进行全方位检查源地址不同的是：现我们建立新的机制让内外部路由器共同 承担工作。通过在路由器之间合作，实现了对恶意流的过滤，以防止其损害网络。 找到了一种合作的机制来将边缘路由器的工作平均分布到了多台的路由器上面，这 是一种最优化的结果。通过动态规划来说明问题是可以求出最优化解的。使用在 BRITE生成的拓扑结构和真实的拓扑结构上面的仿真衡量了新算法的性能。通过与 128位的IP地址在入口路由器的算法比较，新算法在单独一台路由器上面最多只会 检查40位，大大减少了单独一个路由器的负担。 在互联网上，如防火墙会使许多网络服务数据包过滤和并进行流量计费。使用 三元的内容可定址记忆体(的TCAM)来进行高速分组分类已经成为事实上的行业标 准。通过比较数据包的TCAM在固定时间内的数据包可以进行三元并行编码的分类规 则。数据包分类规则通常会指定范围的领域，转换规则，但TCAM兼容的规则可能会 导致爆炸式增长的规则数。但如果有大量的TCAM能力，这就不是一个问题。不幸 的是TCAM的能力非常有限，更多的规则意味着更多的功耗和更多的热量生成 TCAM。更糟的是，数据包分类与不断增长的迅速增加，部署在因特网上的服务的数 目也随之增加。要解决是TCAM范围扩展，因此我们初步考虑给定一个数据包分类， 我们可以产生另一种语义上价的数据包分类需要TCAM条目数最少。 在本文中，我们提出了一个系统的方法，TCAM