一、 引言
分布式拒绝服务(Distribution Denial of Service,DDoS)攻击是来自不同源地址的大量数据包汇集到攻击目标处而最大化的占用有限资源的攻击。DDoS攻击利用伪装的源地址对目标进行大量的数据包轰炸,并协同多个计算机发起攻击,让目标资源被这些攻击数据包占用,导致有限资源被耗尽而不能进行正常工作。由于目前尚无有效防御DDoS攻击的工具,但DDoS攻击工具却越来越多,因此,从2004年起,DDoS攻击被列为网络头号杀手。攻击的容易得逞使大规模DDoS攻击越来越多,损失严重,防御大规模DDoS攻击成为未来DDoS防御重点。
目前对这种大规模DDOS攻击的防御,主要通过流量控制及异常流量检测来实现,由于难以对数据包做精确的判断,这些方法易产生较大误差。如果用现存方法在终端对数据包精确的分类,将对已遭受攻击的终端网络造成更严重的阻塞。对于这种大规模的分布式防御系统,受到攻击的网络并不一定是最好防御地点,而在没有受到攻击某些地方却是防御最佳地点,因此对大规模DDOS攻击,防御点的选择和防御结构构建是相当重要的。
本文介绍的这种结构以有效防御而不造成网络拥塞和对攻击包的识别概率高为防御目标。
二、关于防御点的选择
DDoS攻击目标可以是终端和基础结构,大规模DDoS攻击目标主要是后者。DDoS攻击防御点可以在服务局端、骨干ISP、区域ISP和用户终端。对大规模的DDoS攻击,如图1所示。如果很多区域ISP网络都产生大量的攻击包,这些攻击包在同一时段达到目标的区域ISP3网络,不仅被攻击目标无法防御,即使ISP3网络来独立防御也无能为力。因为多个ISP网络的攻击流量都到ISP3,有可能对其网络造成拥塞,甚至瘫痪。现存的在入口路由器检测技术以及众多终端检测技术已不再适应于现在及将来的DDoS攻击,需要将防御范围扩展到Internet网络,选择最佳位置进行防御。
图1 DDoS攻击示意图
Internet网络主要由主干ISP与区域ISP构成。主干ISP主要为区域ISP提供主干Internet接入和高速路由服务,产生流量巨大,对性能要求很高。而此处攻击流量相对于正常流量很小,攻击流完全被正常流量淹没,如果再增加检测系统,不仅难于达到防御目的还起反作用,甚至造成主干网阻塞。区域ISP主要为用户提供Internet接入服务,用户产生的所有数据包,都要经源端ISP1和ISP2网络与目标端ISP3网络才能达到目标。如果将防御点选在区域ISP网络,可将所有攻击流过滤,并能在源ISP网络自动断开攻击源的Internet接入。其流量相对主干ISP较小,对攻击流量处理相对容易,实施方便,对攻击完全自动防御。并且由ISP统一防御远比每个用户都防御的成本更低、效果更理想。
让源区域ISP参与防御,是为了将大量的攻击流在源端检测出来,防止攻击流量进入后续网络,占用大量的带宽资源。如图1所示,在区域ISP网络的X、Y、Z路由器上实施过滤。在ISP1内产生明显的攻击流,在其出口路由器X之前就可以检测出来;对于产生少量攻击流的ISP2,难以在出口路由器Y之前检测来,因而需要在目标网络进行检测。多个ISP的攻击流汇聚到ISP3网络,这些攻击流的特征就很明显,在其出口路由器Z之前检测出来。这就形成了一个源端与末端的互补防御结构。
(责任编辑:adminadmin2008)
