1、一種基于活動IP記錄的IP欺騙DDoS攻擊防御方法，其特征在于：

該防御方法基于活動IP記錄表；

使用該防御方法的DDoS防御網(wǎng)關(guān)部署于自治網(wǎng)絡(luò)邊界；

來自活動IP的數(shù)據(jù)包直接放行，而來自非活動IP的數(shù)據(jù)包將逐漸被自治網(wǎng)絡(luò)丟棄。

2、如權(quán)利要求1所述的活動IP記錄表，將IP在數(shù)據(jù)包源地址中出現(xiàn)的頻度作為該IP是否活動的準(zhǔn)則，與自治系統(tǒng)建立連接或請求建立連接的IP將被判定為活動IP加入活動IP表，活動IP記錄表的大小用于設(shè)定防御網(wǎng)關(guān)所能承受的最大網(wǎng)絡(luò)流量，可以由網(wǎng)絡(luò)管理員手動設(shè)定，也可以在沒有攻擊的情況下，由程序根據(jù)通過的網(wǎng)絡(luò)流量曲線自學(xué)習(xí)獲得。

3、如權(quán)利要求1所述，DDoS防御網(wǎng)關(guān)收到數(shù)據(jù)包后，將數(shù)據(jù)包源IP用于活動IP表查詢，命中則直接放行數(shù)據(jù)包。而沒有命中的數(shù)據(jù)包將被標(biāo)記后放行，標(biāo)記即對其TTL字段修改，隨機(jī)改為一個較小的值0-n，其中n根據(jù)自治系統(tǒng)的大小而定，確保數(shù)據(jù)包在到達(dá)受害主機(jī)之前被丟棄。

4、如權(quán)利要求2所述，活動IP表記錄與系統(tǒng)已建立連接的IP和正在請求建立連接的IP，它由連接IP表和請求IP表兩部分構(gòu)成。

連接IP表中的IP是與系統(tǒng)已建立連接的IP地址，每個IP都對應(yīng)一個預(yù)計存活時間值，在該時間內(nèi)來自該IP的每個數(shù)據(jù)包將被放行，同時延長該IP的預(yù)計存活時間。

請求IP表記錄正在請求與系統(tǒng)建立連接的IP。收到來自連接IP表以外IP的數(shù)據(jù)包將為該IP建立一個新表項。請求IP表中每一IP表項對應(yīng)一個等待證實時間值，在該時間內(nèi)有來自該IP地址的數(shù)據(jù)包到達(dá)或來自該IP的數(shù)據(jù)包達(dá)到某個數(shù)值，該IP將被移至連接IP表中，如果連接IP表滿，則放入等待隊列中排隊；若等待證實時間超時，沒有收到來自該IP的數(shù)據(jù)包，該IP將被從請求IP表中移除。

5、如權(quán)利要求4所述，初始時活動IP表為空，在連接IP表未滿的情況下，數(shù)據(jù)包到達(dá)后不進(jìn)行活動IP表匹配而直接通過，同時將數(shù)據(jù)包源IP記錄到連接IP表中。

連接IP表滿后，數(shù)據(jù)包到達(dá)后，將首先進(jìn)行源IP的連接IP表匹配，命中后放行數(shù)據(jù)包，并刷新預(yù)計存活時間。

未命中則進(jìn)行請求IP表匹配，命中后檢查連接IP表是否未滿，未滿則移至其中，否則放入連接IP表等待隊列，同時放行該數(shù)據(jù)包。當(dāng)連接IP表有表項超時移除時將等待隊列首項移至其中。若查詢請求IP表未命中，則該數(shù)據(jù)包為非活動IP數(shù)據(jù)包，將其源IP插入請求IP表，同時修改其TTL進(jìn)行標(biāo)記，并放行。

6、如權(quán)利要求5所述，經(jīng)標(biāo)記后的非活動IP數(shù)據(jù)包在自治系統(tǒng)中路由轉(zhuǎn)發(fā)至TTL為0后，路由器將其丟棄，并發(fā)送ICMP生命期超時差錯報文通告源節(jié)點。真實源節(jié)點將進(jìn)行響應(yīng)重傳。

7、如權(quán)利要求1所述，該防御方法的部署于自治系統(tǒng)邊界，若自治系統(tǒng)與Internet主干網(wǎng)絡(luò)之間通過多條鏈路進(jìn)行連接，則該方法可以同時在這多條鏈路的邊界實施防御，多個防御節(jié)點彼此獨立，不需要各個防御節(jié)點進(jìn)行協(xié)作。