一種基于IP收斂算法的DDoS包過濾技術(shù)

本文提出一種完全基于服務(wù)器端的DDoS 包過濾技術(shù)，它通過IP 收斂算法對來源于受
限地址空間的攻擊包進行有效的過濾，并彌補了基于Cookie 的虛假地址防御技術(shù)存在的不足，通過實驗證明該方法是有效的。
關(guān)鍵詞：源地址受限的分布式拒絕服務(wù)攻擊；主阻塞列表；臨時阻塞列表
分布式拒絕服務(wù)攻擊（DDoS）是攻擊者利用網(wǎng)絡(luò)通信協(xié)議存在的缺陷，通過大量攻擊代理主機向受害主機發(fā)送大量看似正常的服務(wù)請求包，從而耗盡受害主機的系統(tǒng)資源或網(wǎng)絡(luò)帶寬，致使正常的連接請求無法得到響應(yīng)。DDoS 攻擊采用分布式結(jié)構(gòu), 基于Client/Server體系。整個攻擊體系由攻擊者、主控機 、實施攻擊的代理機、被攻擊的目標(biāo)主機形成四個層次。主控機和攻擊代理機分別實施控制和發(fā)起實際攻擊, 對目標(biāo)主機而言, DDoS 攻擊包實際來自于攻擊代理機, 而主控機只發(fā)布命令, 不參與實際的攻擊。常見的 DDoS 攻擊方法有：SYN Flood 攻擊[1]、Land 攻擊[2]、Smurf 攻擊[3]等.
SYN Flood 攻擊是一種最常見的 DDoS 攻擊手段，它利用TCP/IP 連接“三次握手”過程，通過虛假IP, 源地址發(fā)送大量 SYN 數(shù)據(jù)包，請求連接到被攻擊方的一個或多個端口。當(dāng)被攻擊方按照約定向這些虛假IP,地址發(fā)送確認(rèn)數(shù)據(jù)包后，等待對方連接，虛假的IP 源地址將不給予響應(yīng)。這樣，連接請求將一直保存在系統(tǒng)緩存中直到超時。如果系統(tǒng)資源被大量此類未完成的連接占用，系統(tǒng)性能明顯下降。后續(xù)正常的TCP 連接請求也會因等待隊列填滿而被丟棄，造成服務(wù)器拒絕服務(wù)的現(xiàn)象。
由于DDoS 以貌似合法的數(shù)據(jù)包向目標(biāo)主機發(fā)動攻擊，傳統(tǒng)的防火墻對其無能為力。近
年來針對日益頻繁的DDoS 攻擊事件，研究人員進行了大量的研究工作，提出了多種防御機制。近年來針對日益頻繁的DDoS 攻擊事件，研究人員提出了多種防御機制，但是這些防御機制大多需要在整個Internet 范圍內(nèi)部署大量的基礎(chǔ)設(shè)備，故而難以大規(guī)模推廣。近年來一種新的基于Cookie 的DDoS 防御機制[4]被提了出來，該方法通過在服務(wù)器一側(cè)設(shè)置SYN PROXY,能夠較為有效的防御SYN FLOOD，其設(shè)計思想為：一旦防火墻截獲外網(wǎng)發(fā)向內(nèi)網(wǎng)的SYN請求，并不立即向服務(wù)器轉(zhuǎn)發(fā)，而是根據(jù)該數(shù)據(jù)包的源地址替代服務(wù)器生成一個發(fā)往該地址的SYN/ACK 數(shù)據(jù)包，并在返回的數(shù)據(jù)包中設(shè)置一個Cookie 項，其值由Cookie 算法確定，如果該地址是真實的地址，那么防火墻就能夠收到一個合法的ACK 包，可以通過對該包的Cookie 項計算來確定該包的有效性，如果是合法的數(shù)據(jù)包，則由防火墻向服務(wù)器轉(zhuǎn)發(fā)SYN包，在服務(wù)器發(fā)出SYN/ACK 包，防火墻回復(fù)ACK 包之后，一個由客戶端到服務(wù)器的TCP 連接成功建立。該防御機制從DDoS 攻擊具有源地址欺騙這一本質(zhì)特征入手，能夠較好的對存在源地址欺騙的數(shù)據(jù)包進行過濾，然而如果執(zhí)行攻擊的主機正好位于從服務(wù)器到虛假源地址之間的話，它就有可能截獲由防火墻發(fā)往虛假源地址的含有Cookie 項的SYN/ACK 數(shù)據(jù)包，這使的攻擊者有機會偽造ACK 包并回發(fā)給防火墻。