DDoS攻击及其防御综述研究.pdf

大会论文 ·317· DDoS攻击及其防御综述 李 淼 李 斌 郭 涛 中科院长春光机所 中国信息安全产品测评认证中心中国信息安全产品测评认证中心 摘要：分布式拒绝服务攻击(DDoS)攻击是Interact面临的最严峻的威胁之一。本文介绍 了DDoS攻击原理，总结了近年来防御技术的研究成果，分析了现有方法的优缺 点，指出了防御DDoS攻击面临的挑战。 关键词：分布式拒绝服务攻击 攻击源追踪集中 速率限制 控机只发布命令而不参与实际的攻击。接着，攻击者 1．引言 协调这些主控机和傀儡机向受害者发起攻击。这些攻 ．-。 击充分利用了网络协议内在的脆弱性12]。 在所有的针对Intemet的攻击当中，DDOS攻击已 经成为一种流行的破坏计算机或者网络资源可用性的 攻击形式，它是Interact目前面临的最严峻的威胁之 一。一方面，通过使用用户友好的DDOS攻击工具发动 DDOS攻击是非常容易的。另一方面，虽然研究人员提 出了多种解决方法，但是没有一个方法能及时的阻止 正在进行的攻击或有效的确定攻击源。统计表明，近年 来DDOS攻击的数量一直呈快速增长的趋势田。 本文的组织如下：第二部分介绍DDoS攻击原 理。第三部分总结了现存的各种DDoS防御方法，分 析了它们各自的优缺点。第四部分指出了防御DDoS ．，．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．J 图2．1 DDos攻击体系结 攻击面临的挑战。 2．DDoS攻击原理 3．目前防御DDoS攻击的方法 在发起DDoS攻击前，攻击者首先建立攻击网 3．1边界过滤法 络。如图1，一个比较完善的DDoS攻击体系分成四 边界过滤法在网络的边界路由器上对来自网络 大部分：攻击者，主控机，傀儡机，受害者。攻击者首 内部的报文进行检查，如果报文的源IP地址不在本 先在Internet上侵占一些在标准网络服务程序和通 网络的范围内，则可以断定其为伪造报文，对其进行 用操作系统上存在安全漏洞的计算机，这些被侵占 过滤嘲。网络边界过滤方法可以有效地过滤大部分攻 的计算机就成为了主控机和傀儡机。主控机和傀儡 击报文，同时也使追踪攻击报文的源头更加容易。 机的区别在于实际攻击包是从傀儡机上发出的，主 由于启动报文源地址检查功能会给路由器的性 ·318· 第二十次全国计算机安全学术交流会论文 能带来较大影响，要求所有的ISP都在其网络接人 题的自动化模型(控制器一代理模型)。利用一个新的 设备上启动此功能，这在实践中具有一定难度。而 包标记技术(packet 且，在一个大型子网内，攻击者仍然可以伪造同一网 这个方法能有效的降低ISP域内DDoS攻击发生的 络内其它主机的IP地址。 可能性。[91把包含ISP和客户的体系结构(如图3．1所 3．2DDoS攻击源追踪(traceback) 示)作为研究对象。路由器分为内部路由器和外部路 DDoS攻击源追踪面临的最大困难之一在于它由器。内部路由器属于ISP，外部路由器属于客户或 要求相关的ISP相互合作来完成追踪任务。利用重 者另一个ISP。内部路由器又分为两种类型：边界路 定向机制隐瞒攻击的真实起源使问题进一步地复杂 由器和中转路由器。边界路由器是那些与外部路由器 化