分布式拒绝服务攻击预防机制探究.docVIP

分布式拒绝服务攻击预防机制探究摘要：分布式拒绝服务攻击之所以在当前网络上很流行，是因为很难防御。阻止任何攻击最好的办法，是在攻击没有发生前，用有效的DDoS预防机制来阻止系统受到攻击，故研究预防DDoS攻击的有效方法就尤为重要。对DDoS的预防机制进行了全面的研究，并分析了每种防御机制的特点，用户可根据系统的实际配置，选择适合自身系统的DDoS预防机制。 关键词：分布式拒绝服务；拒绝服务；预防机制；过滤 中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)24-5777-03 Research on the Prevention of DDoS Attack TANG Li-juan, SUN Ke-zhen （Nantong Commercial Vocational College, Nantong 226000,China） Abstract：Distributed denial of service attack is very popular in the current network, because it was difficult to defense. The best way to prevent any attack, use effective DDoS prevention mechanism to prevent the system from attack before the attack, so the study on the effec tive prevention method of DDoS attack is very important. A comprehensive study on DDoS prevention mechanism , and analyzes each kind of defense mechanism characteristic, users can in accordance with the actual configuration, select a suitable system of DDoS preven? tion mechanism. Key words：DDoS；DOS；prevention technology；filtering DDoS攻击的巨大危害性，引起了全世界的高度重视，黑客采用DDoS攻击成功地攻击了几个著名的网站，包括雅虎、微软以及SCO、、ebuy、CNN.com、BUY.com、ZDNet、E等国内外知名网站，致使网络中断数小时，造成的经济损失到数百万美元。由于其巨大的危害性，引起了人们的高度重视，科研机构、大学以及国内外的一些大公司纷纷对DDoS攻击的防御展开了深入的研究。 1 DDoS攻击的预防机制 预防任何攻击的最好方法是完全阻止攻击的发起，常用的DDoS攻击的预防机制如表1所示，下面分析每种机制的实现原理及特点。 1.1过滤机制 早期对DDoS攻击的预防主要通过过滤机制来实现，过滤机制可以分为输入过滤、输出过滤、基于路由器的包过滤、基于历史IP地址的过滤和SOS过滤。 1.1.1输入过滤 DDoS攻击一般通过伪IP地址的数据包发动攻击，如果能够防止攻击者伪造IP地址，那么DDoS攻击就不会像现在这么猖獗。输入过滤就提供了解决伪IP地址的方法。输入过滤通过路由建立存储IP地址的方法，例如不接受具有非法的源地址的数据包进入网络。由Ferguson和Senie提出的输入过滤[1]，通过限制连接来降低在路由器的入口处的IP地址和域前缀不匹配的流量。如果所有的域都用上的话，这种机制能够明显的降低DoS攻击。当用C. Perkins提出的移动IP[2]来连接移动节点和外部网络时，该输入过滤有时误将合法的数据包丢掉。 输入过滤存在着一些不足：首先不能防止攻击者伪造IP地址为同一网段内的其他IP地址；其次输入过滤可能会影响到一些动态的网络应用服务；最后，如果想让输入过滤机制真正起到预防DDoS攻击的效果，就必须在整个网络中全局部署，起码现在这样部署是不可能的，因为这需要和ISP进行合作，而且会影响到某些动态网络服务的运行，同时增加系统管理员的负担和路由器的负载。 1.1.2输出过滤 输出过滤[3]是外部过滤，它保证了只有分配或指定的IP地址可以访问网络资源。除了配置问题，输出过滤和输入过滤类似。 1.1.3基于路由器的包过滤 由Park和Lee[4]提出的基于路由的包过滤，其实现原理是边界路由器根据路由信息来判断接收到的数据包中的源IP地址以及目的地址是否合法，若不合法则过滤掉该数据