一种面向分布式DDoS攻击的防御体系模型研究

摘要

分布式拒绝服务（DDoS：Distributed Denial of Service）攻击是近年来出现的一种全新的拒绝服务（DoS：Denial of Service）攻击方式。由于其分布式的特性，使得DDoS攻击比传统的DoS攻击拥有更多的攻击资源，具有更强大的破坏力，而且更难以防范。 目前对DDoS攻击的防御策略有基于攻击源端网络的、基于受害方网络的、基于中间网络（中间网络是指攻击数据包从源端网络发出到达受害方网络所经过的网络）的和基于分布式概念的。对于前三种策略，目前已有许多成熟的技术及系统，如基于攻击源端网络的D-WARD系统，基于受害方网络的入侵检测系统，基于中间网络的核心路由包过滤技术。分布式DDoS防御策略是通过一种体系构架使得防御节点分布在攻击源端网络、受害方网络及中间网络，并能够协调工作。但关于这类防御策略的研究比较少。 本文首先对DDoS的攻击原理、攻击分类及攻击工具做了细致地分析，为抵御DDoS攻击防御方案的提出提供了基本的依据。然后从攻击发生前、攻击发生期间、攻击发生后三个角度对DDoS防御方法做了详尽阐述，分析比对了攻击源端网络、受害方网络及中间网络防御策略的优缺点。在此基础上提出了一种基于分布式策略的DDoS防御体系模型DDI（Distributed defense infrastructure）。 DDI体系模型包含五类不同功能的防御节点，分别是检测节点、分类节点、速率限制节点、过滤节点及管理节点。这些节点分别部署在攻击源端网络、受害方网络及中间网络，通过协作地工作完成了DDoS攻击防御的任务。 本文在明确了DDI体系模型的总体目标及设计需求后，对该体系的设计思想及体系结构做了阐述并以实例分析了其防御过程。紧接着对DDI体系模型中涉及的数据包分类、速率限制、数据包过滤、分布式检测机制进行了设计，从理论与算法角度对它们进行了描述。 DDI体系模型的特点主要有以下四个方面： 1. 分布式检测：各检测节点运用基于规则及流量异常的检测算法分别对异常进行检测，管理节点对这些异常进行最后判决并确定攻击； 2. 数据包的标签生成：该体系所覆盖网络内的所有数据包都被打上攻击、合法及可疑三种标签，标签由数据包过滤及分类节点生成，速率限制节点根据不同的标签值为数据包提供不同的带宽服务； 3. 全局性动态速率控制：速率控制从攻击源端至受害端层层进行，有效防止了受害方出口与入口链路的拥塞。速率控制值根据受害方的链路使用率动态生成； 4. 基于分数的动态包过滤：给每一数据包打上分数，根据分数分布情况及动态门限值进行数据包过滤。 最后本文对DDI体系模型的部署及性能进行了简要分析，对DDI今后的研究内容进行了展望。