一种抗DDoS攻击的追踪和分布式防御方案研究

摘要

分布式拒绝服务DDoS攻击是目前互联网上最严重的安全问题之一。因为互联网上大量的不安全的机器的存在、自动化DDoS攻击工具的广泛可获得性以及攻击者通常采用假冒的源IP地址等原因，使DDoS攻击的防御和追踪相当困难。已有的某些防御系统虽然能保护用户免受某种类型的DDoS攻击，但DDoS攻击仍然没有减轻。 本文在深入研究了DDoS攻击机制、攻击方法、DDoS攻击的加强技术和加强方法以及现有的防御和追踪方法后,针对现有的DDoS攻击和加强的DDoS攻击,提出了基于路由器分布式防御DDoS攻击的DIS方案。主要工作如下： 1）对现有用于DDoS追踪的标记方案进行了深入分析，依据FMS标记思想，结合密码学的数字签名方法，设计了自适应hash签名标记AHSM方案。该方案是在包经过的路由器处，路由器按一个变化的概率对包进行hash签名。采用hash签名，签名速度快、误报率低、重构开销小，实现了IP地址的防篡改和发送者的不可否认，能有效地防止路由器假冒，采用变化的概率，可以减少受害者重构攻击路径时所需的数据包数，提高了追踪速度。 2）基于攻击发生时，会出现大量新的IP地址聚集以及合法用户请求率下降这个实验发现，运用统计学的方法，设计了DDoS检测方案。该方案建立了一个数据库，保存按不同源地址划分的聚集的信息以及各聚集的请求数等，定期对新IP地址聚集率和请求率这两个攻击指标进行检测，以发现攻击。 3）针对现有DDoS防御系统单点部署的不足，将设计的检测模块、追踪模块进行分布式部署。检测模块部署在上游路由器实现对DDoS攻击的快速检测，部署在受害端实现对DDoS攻击的精确检测。追踪方面除了采用自适应hash签名标记AHSM外，在包经过的第一个路由器处增加基于用户身份认证的路由器代签名，保证了源IP的真实性，并能实现对攻击包的精确追踪。在源端、中间网络、受害端进行响应，通过逻辑上重复的AS控制器网络传递响应信息，响应速度快。 最后，对本文所提出的方案进行了理论分析和模拟实验，结果表明基于路由器分布式防御DDoS攻击的DIS方案是有效和可行的。