摘要：本文通過深入了解DDoS攻擊的原理和實(shí)施過程，結(jié)合DDoS攻擊檢測(cè)方法的最新研究情況，對(duì)DDoS攻擊檢測(cè)技術(shù)進(jìn)行系統(tǒng)的分析和研究，提出了基于回推機(jī)制的防御措施，最后，為網(wǎng)絡(luò)入侵檢測(cè)機(jī)制提出了一種新的思路。

關(guān)鍵詞：回推機(jī)制；攻擊檢測(cè)；DDoS攻擊原理；防御

中圖分類號(hào)：TP311.52 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 15-0000-02

1 引言

目前，在Internet所面臨的最大威脅中，DDoS攻擊的日益增多，該攻擊手段已逐漸引起全球各國(guó)的高度重視，人們通過不斷努力研究，提出了一些可行的解決辦法。

所謂的DDoS攻擊就是通過傀儡機(jī)向響應(yīng)的目標(biāo)發(fā)送大量的請(qǐng)求，最終將系統(tǒng)資源耗盡或網(wǎng)絡(luò)形成擁塞，從而使網(wǎng)絡(luò)不能響應(yīng)正常用戶的請(qǐng)求的過程。傳統(tǒng)意義上解除方法是解除對(duì)傀儡機(jī)的控制，就是在路由器上進(jìn)行控制，本文主要從基于IP擁塞控制來實(shí)現(xiàn)攻擊防護(hù)。

2 DDoS攻擊理論

2.1 DDoS攻擊原理

DDoS攻擊是一種基于DoS攻擊的分布式、協(xié)作的大規(guī)模攻擊方式，它直接或間接通過互聯(lián)網(wǎng)上其他受控主機(jī)攻擊目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)資源的可用性。一般而言，DDoS攻擊架構(gòu)為三層：攻擊者（Client）、主控端（Master）、代理端（Daemon）和被攻擊者（Victim），它利用受控主機(jī)向攻擊目標(biāo)發(fā)起攻擊，具有威力更大、更難防御、更難追隨的特征。

2.2 DDoS攻擊的對(duì)各種機(jī)制的防護(hù)評(píng)價(jià)標(biāo)準(zhǔn)

通過對(duì)IP擁塞控制策略的研究發(fā)現(xiàn)，只要滿足了下面的三個(gè)方面的條件就可以實(shí)現(xiàn)對(duì)DDoS有效攻擊。

（1）防護(hù)的特征設(shè)定是不是按照一定的規(guī)則；

（2）流經(jīng)的數(shù)據(jù)是否按照一定的規(guī)則進(jìn)行；

（3）對(duì)于不同的數(shù)據(jù)包，提供的服務(wù)是否按照不同的優(yōu)先級(jí)進(jìn)行設(shè)定；

只要一個(gè)擁塞控制機(jī)制滿足了以上三個(gè)條件，就基本具備了防護(hù)DDoS攻擊的能力。

3 DDoS攻擊示意圖

如圖所示，服務(wù)器用T表示，客戶機(jī)用R表示，下面是來自網(wǎng)絡(luò)內(nèi)外的各種各樣的攻擊，黑的粗狀的線路表示受到感染的流量經(jīng)過的路線，細(xì)線表示正常業(yè)務(wù)經(jīng)過的路徑，如果缺少合理的攻擊防護(hù)措施，圖中R2-R5、R3-R6、R5-R8、 R6-R8、R8- T為粗線，說明業(yè)務(wù)中都存在著可疑流量，因此正常的業(yè)務(wù)很難到達(dá)目標(biāo)服務(wù)器，即使業(yè)務(wù)量正常到達(dá)，由于最后階段R8-T的擁塞，最終也導(dǎo)致大多數(shù)正常流量的包被丟棄。

4 回推機(jī)制

回推機(jī)制的思路

回推機(jī)制，就是在判斷數(shù)據(jù)包是否異常時(shí)候，通過該機(jī)制可以盡可能的找到異常的數(shù)據(jù)包，并丟棄數(shù)據(jù)包，為了實(shí)現(xiàn)這種效果就是利用聚合擁塞控制（Aggregation Congestion Control）以下稱為ACC，其功能是識(shí)別擁塞的聚合流量，并在路由器端執(zhí)行丟棄動(dòng)作。聚合特征可以是“到特定主機(jī)或服務(wù)器的包”、“TCP SYN包”、“校驗(yàn)和錯(cuò)誤的IP數(shù)據(jù)包”等等。圖3說明了路由器上回推機(jī)制的工作流程，這里的輸入隊(duì)列表示了路由器的各個(gè)輸入鏈路。

首先，檢查數(shù)據(jù)包是否匹配擁塞特征，滿足條件，則將被檢測(cè)的數(shù)據(jù)包送至輸出隊(duì)列，若不匹配，則送到限速器，再輸入到匹配擁塞特征中判斷是否擁塞，如果不擁塞則被送到輸出隊(duì)列中，限速器根據(jù)擁塞的程度，不斷的更改限速器的參數(shù)，并及時(shí)通知后臺(tái)進(jìn)行不斷的更新，最終決定數(shù)據(jù)包否被丟棄。數(shù)據(jù)包是否被丟棄不僅僅是看數(shù)據(jù)的優(yōu)先級(jí)的高低，還要取決于當(dāng)時(shí)流量的擁塞程度，如果正常流量過大時(shí)，也會(huì)出現(xiàn)丟包現(xiàn)象，數(shù)據(jù)被丟到回推進(jìn)程中，只要數(shù)據(jù)擁塞，回推器中就不斷的得到從限速器丟棄的數(shù)據(jù)包，只要攻擊進(jìn)行中，回推過程中就不斷的得到丟棄包，當(dāng)緩存不夠時(shí)，就徹底丟棄數(shù)據(jù)包，如果沒有攻擊時(shí)，回推過程和限速器不需要采取特別的行動(dòng)，限速將自動(dòng)停止。

5 結(jié)論

基于IP的DDos 攻擊的擁塞控制機(jī)制，回推機(jī)制是一種很有效的方法，在發(fā)生擁塞過程中，根據(jù)限速器的參數(shù)的不斷更新設(shè)置，將一些可疑的數(shù)據(jù)按照一定的策略，實(shí)現(xiàn)數(shù)據(jù)的丟包，有效的降低了風(fēng)險(xiǎn)數(shù)據(jù)的入侵，但是不可避免的是考慮到隊(duì)列緩存和有效帶寬的影響，誤把有效數(shù)據(jù)丟棄，這也是以后研究工作中需要注意的問題。

參考文獻(xiàn)：

[1]P. R. Jelena Mirkovic。 Greg Prier。 “Attacking ddos at the source?！?in 10th IEEE International Conference on Network Protocols。 Paris.France.November，2002.

[2]L.Vicisano. L.Rizzo。 J.Crowcroft. TCP-like Congestion Control for Layered Multicast Data Transfer. In IEEE INFOCOM’98.Feb，1998.

[3]羅萬明，林闖，閻保平.TCP/IP擁塞控制研究[J].計(jì)算機(jī)學(xué)報(bào)，2001，24（1）：1-18.

[4]Nagel.J.： “On Packet Switches with Infinite Storage?！盜EEE Trans。 on commun. vol. COM-35。pp. 435-438.April，1987.

[5]A.K.Parekh。R.G.Gallager. A generalized processor sharing approach to flow control in integrated services networks： the single-node. IEEE/ACM Trans. Networking.1993.1（3）： 344-357.

[基金項(xiàng)目]電子科技大學(xué)成都學(xué)院科研基金

[作者簡(jiǎn)介]王光斌（1976.10-），男，碩士生，研究方向?yàn)橛?jì)算機(jī)輔助設(shè)計(jì)、網(wǎng)絡(luò)與信息安全