关于DDoS防御机制分析

简校荣

（华南理工大学计算机科学与工程学院 510006）

DDoS是分布式拒绝服务攻击的简称，DDoS工具不仅随处可得、操作容易，而且简单有效、隐蔽性相对较强，同时具有非常广的攻击范围。近年来，DDoS攻击发生的频率不断提高，对于网络系统与业主主机系统造成了巨大的影响，被计算机网络工程领域视为当前互联网最难解决的关键问题之一。因此，我们必须要加强对计算机网络安全的防护，综合分析DDoS攻击的防御机制，进而为网络安全提供重要保障。

1 DDoS防御机制的科学分类

随着DDoS攻击频率的不断增加，以及DDoS问题的日益严重，DDoS防御机制随之增加。根据DDoS防御机制的活动水平，DDoS防御机制又被分为预防型防御机制与反应型防御机制。

1.1 DDoS预防型防御机制

DDoS预防型预防机制又被分为DDoS攻击预防型防御机制与拒绝服务预防机制。DDoS攻击预防型防御机制是指通过对网络系统配置进行修改来使得DDoS攻击行为消除。拒绝服务预防机制能够使得被DDoS攻击的网络承受住一定程度的攻击，同时还能够对合法用户提供服务。拒绝服务预防机制可以通过使用强制资源使用政策，或者通过增加资源，使得合法用户不受到影响。

1.2 DDoS反应型防御机制

DDoS反应型防御机制将DDoS攻击对受害端的影响大大减少。DDoS反应型防御机制的分类主要是从攻击的检测策略、合作程度，以及响应策略方面进行的。按照攻击的检测策略进行分类，反应型防御机制又被分为基于模式的攻击检测机制、基于第三方的攻击检测机制，以及基于异常的攻击检测机制。按照响应策略进行分类，反应型防御机制又被分为DDoS攻击识别机制、限流机制、重新配置机制，以及数据包过滤机制。按照合作程度进行分类，反应型防御机制又被分为自治机制、互依赖机制，以及助合作机制。

2 目前使用的DDoS防御机制

2.1 随机丢包方法

当前，有一部分网络设备为了能够有效防御DDoS攻击，使用了随机丢包（Random Drop）的方法。随机丢包的方法充分发挥了网络设备的特性，网络设备通常在流量较大的时候，会采取丢包的方法来使得其自身功能得到正常的发挥。随机丢包的方法是在获取有效特性有难度，或者没有其他有效的DDoS防御措施的情况下使用的一种方法，要想保证网络的正常工作，只好将数据包随机丢弃，进而提供服务。当前，这样的方法丢弃的数据包不一定是攻击数据包，而放行的却很有可能是攻击数据包。

2.2 基于路由报文过滤

这个方法本质上是将入口报文的过滤工作进一步拓展到网络上。基于路由报文过滤的机制在网络的核心路由器中进行了大量报文过滤器的部署，能够根据报文的目的地址与源地址，以及边界网关的协议，进行报文的判断。假如某个报文的来源与其自称的的来源不相符合，那么这个报文就必须要被丢弃。基于路由报文过滤的优点就在于这个机制不会使用个别的主机地址进行过滤，而是充分利用了AS的拓扑信息。

2.3 输入调试法

通常情况下，路由器都是有调试功能的，是允许设备管理员对转发包的信息进行查看的，诸如端口、IP地址等。如果发生了DDoS攻击，网络管理工作人员需要根据攻击报文的特点，对被攻击网络的边界路由器进行一定的调试，对网络报文进行跟踪，进而找到攻击报文的输入接口，最后实现对相关路由器的调试。为了能够有效提高分析效率，Stone等开发了一个新的工具，即Center Track，这个工具能够通过路由信息的改变来将管理区域内的路由攻击包转发到一个固定的路由器上，进而从这一个路由器上获取所有路由器被攻击的信息。输入调试法通常只能使用在一个管理域内，分析工作主要由手工来完成。在跟踪的整个过程中，攻击活动必须始终在线，所有的这些不利因素都使得这个方法很难成为通用的DDoS攻击防御方法。

2.4 有效洪泛法

Cheswich与Burch 提出了一种跟踪方法，这个方法建立在链路测试的基础上，必须要改动现有路由器的配置与相关功能。有限洪泛法是指充分利用之前生成的互联网拓扑，对于一些可能在DDoS攻击路径上的路由器进行突发性流量的发送，进而实现对DDoS攻击流的有效观察。假如某个路由器位于攻击路径上面，那么在发送突发性流量的时候，此路由器的丢包率势必会增加，进而使得被攻击网络的攻击流减弱。有效洪泛法的优点就在于其不需要对现有路由器的功能与配置进行改动。其主要的缺点在于追踪方法本身就是DDoS攻击，导致网络堵塞是必然的，而且这个方法是不能够用在DDoS攻击中的，只用于DDoS攻击的追踪。

2.5 使用中继防火墙

中继防火墙的使用，能够使用防火墙来代替服务器对客户端的TCP连接请求给予响应。假如在一个特点的时间内，防护墙没有得到从客户端发送过来的ACK数据包，那么防火墙会自动中断连接，而且会给该地址发送RST数据包，要求连接终止。假如这个TCP连接是出自于合法用户的连接，那么防火墙会在收到客户端发送的ACK数据包之后，与服务器的一端建立起一个新的连接，然后有效为客户端与服务器端服务。中继防火墙的主要优点在于服务器能够与拒绝服务区有效隔开，是不会收到伪造源IP地址发送来的TCP连接请求的。中继防火墙在一定程度上可以说就是一个SYN代理，防火墙替服务器处理SYN攻击，而SYN的代理程序是在用户层，所以处理连接的数量非常有限，因此被攻击也是很容易的。此外，由于需要进行TCP的三层握手，TCP连接的延迟也是不可避免的。

2.6 设置半透明式的网关防火墙

在网络中，当客户端发送的TCP连接请求到了时，防火墙通常会将数据包放到服务器端，当服务器做SYN+ACK数据包的回应时，防火墙就将这个数据包发送到客户端，同时还会将一个ACK数据包发送给服务器端，进而实现TCP连接的提前完成。假如在一个特定的时间之内，防火墙并没有二次接收到客户端发来的ACK数据包，那么防火墙就会将一个RST数据包发送给服务器端，将连接断开。假如是正常的用户，那么客户端就会收到两次ACK数据包。当建立连接之后，数据传输是不会受到防火墙的控制的。这个方法的主要优点在于不会延迟合法用户。但是缺点也是存在的，其需要谨慎选择防火墙的周期，保证反应时间相对较长的正常使用者不会受到拒绝服务。当然，这个方法还有一个重要的弊端，那就是对于使用合法源IP地址发动的拒绝服务攻击是没有办法有效防御的。

当前使用的DDoS防御机制除了以上叙述的六种之外，还有诸如SYN Cookie和SYN Cache、入口报文过滤、网络节流技术、基于聚集拥塞控制机制的DDoS防御算法、基于概率的数据包标记算法等。尽管当前广泛使用的DDoS防御机制有很多，但是还没有一种能够科学有效的防御DDoS攻击。因此，我们需要做的不仅仅是分析现有DDoS防御机制，更需要在现有防御机制的基础上，研究新的DDoS防御方法，为我们的计算机网络系统提供切实有效的安全保障。

3 总结

本篇文章总结了DDoS攻击防御机制的分类，以及当前常用的防御方法与防御策略。到目前为止，还没有一种科学有效的DDoS防御方法来对DDoS防御攻击进行有效抵御，DDoS攻击仍然是互联网面临的重要威胁。因此，我们不仅要全面分析现有的DDoS攻击防御方法，而且要将这些方法综合在一起来进行DDoS防御，同时我们还必须要不断加强对DDoS防御机制的研究，创新DDoS攻击防御策略，进而为计算机网络系统的安全提供有力的保障。

[1]尚占锋.章登义.DDoS防御机制研究[J].计算机技术与发展.2008.18(01).

[2]李小勇.刘东喜.谷大武.白英彩.DDoS防御与反应技术研究[J].计算机工程与应用.2003.39(12).

[3]李硕.杜玉杰.刘庆卫.DDoS攻击防御机制综述[J].微计算机信息2006.22(06).

[4]忽海娜.万鸿运.程明.基于拥塞控制的DDoS防御机制的研究[J].微计算机信息.2006.22(18).

[5]韩竹.范磊.李建华.基于源端检测的DDoS防御机制[J].计算机工程.2007.33(19).

[6]谢冬青.张娅婷.吴涛.一种基于分组漏斗的DDoS防御机制[J].湖南大学学报（自然科学版）.2007.34(11).