技術領域

本發明涉及網絡信息安全領域，具體涉及對利用IP欺騙的拒絕服務或分布式拒絕攻擊的防御方法。

背景技術

分布式拒絕服務攻擊(DDoS)是目前最流行的一種網絡攻擊方式，它的原理簡單，易于實現，攻擊破壞力極強，對當前網絡的安全構成了極大的威脅。

DDoS攻擊者通常控制分布于Internet中的大量安全防御級別較低的節點作為攻擊傀儡機，組成多級的DDoS攻擊僵尸網絡，通過向僵尸網絡發送遠程控制命令，協同大量的傀儡機直接或間接向其攻擊目標發送大量的網絡分組，這些網絡分組在受害端匯聚成壓倒性的網絡流量，耗盡受害者的網絡帶寬或系統資源，從而造成對合法用戶的拒絕服務。

高度開放與共享的Internet加快了DDoS攻擊的傳播，高度智能化、集成化的DDoS攻擊工具大范圍擴散，攻擊者不需要掌握太多的技術就可以發動大規模的DDoS攻擊。DDoS攻擊通常運用IP欺騙技術對攻擊源地址進行偽裝，增大了攻擊破壞力，同時也增加了依據數據包源地址進行攻擊溯源以及安全審計、取證的難度。

根據攻擊原理，可以將DDoS攻擊分為協議攻擊和暴力攻擊。協議攻擊利用網絡協議本身的脆弱性實施攻擊，如Smurf攻擊，將受害者網絡地址作為源地址，向某個存在大量主機的中間網絡廣播ICMP?Echo?Request請求報文，根據ICMP協議中間網絡向受害者回復大量的ICMP?Echo?Reply報文，使受害者嚴重過載甚至癱瘓；TCP?SYN?Flood攻擊利用TCP三次握手機制的缺陷，向受害主機發送大量經過源IP欺騙的SYN連接請求報文，受害主機依據三次握手機制向不可達的SYN請求主機回應ACK報文，并分配資源維持一個半連接等待對方的ACK應答，最終系統的資源將被大量的半連接耗盡，從而無法響應合法用戶的TCP連接請求。暴力攻擊如UDP、TCP和ICMP?Flood攻擊等，向受害主機發送大量無用的網絡分組，耗盡其系統資源或網絡帶寬，導致其無法提供正常的網絡服務。

DDoS攻擊的防御一直是一個難點，近年來，研究人員在該領域展開了大量深入的研究工作，提出了許多防御方法。

除了防御方法和技術外，在構造DDoS防御機制時，防御的位置也需要進行重點考慮。DDoS攻擊從攻擊源節點發起，經中間網絡路由轉發后到達受害主機端，攻擊防御也可以分別在攻擊源端、中間網絡和受害端實施。受害端匯聚大量的DDoS攻擊流量，因此利于攻擊檢測，但從合法流量中標識、過濾攻擊流量還沒有有效的方法，且在實施檢測、過濾前，攻擊流量可能已經消耗了大量的網絡帶寬資源，到達了攻擊目的；在攻擊源端，攻擊流量還沒有匯聚，從網絡流量中檢測攻擊相對困難，但在該處檢測IP欺騙比較容易，且攻擊流量尚未進入核心網絡，在此實施攔截、過濾比較容易、有效；中間網絡由于范圍分布廣泛，攻擊流量還沒有完全匯聚，不利于實施攻擊的檢測和防御。

DDoS防御分類

從宏觀上，可以將DDoS攻擊的防御方法分為響應防御和主動防御。

響應防御方法通常基于異常檢測模型，運用模式匹配或統計模型檢測網絡中是否存在DDoS攻擊，并進行針對性地過濾或回推攻擊流量，以緩解DDoS攻擊對受害者的影響。DDoS攻擊流量通常由合法的網絡分組或無用的網絡分組匯聚而成，攻擊分組相對于合法分組并不存在明顯的特征，因而從合法流量中準確地標識并過濾DDoS攻擊流量十分困難。依賴于異常檢測的DDoS攻擊防御除了制肘于檢測準確度外，還對攻擊響應的速度提出了較高的要求，異常檢測過濾必須以On?Line的方式部署，不具備較高速率的檢測和過濾，本身就會構成對被保護網絡的拒絕服務。

被動響應式的DDoS攻擊防御方法依賴于檢測響應模型，在攻擊的檢測和過濾的速率、準確性方面都存在缺陷，沒能取得理想的防御效果。因此，近年來研究學者們在設計DDoS防御方案時越來越地考慮主動防御方法。主動防御則通過減小DDoS攻擊發生的可能性，確保受害節點或網絡維持提供正常服務的能力。

典型的DDoS防御方法

這里分析幾種具有代表性的DDoS防御方法，主要包括入口過濾、源回溯、回推等方法。

入口過濾

該DDoS防御方法在ISP邊界路由器實施，對從ISP網絡進入Internet的數據包進行檢測過濾，攔截具有非法源IP地址的數據包。入口過濾主要針對源IP欺騙DDoS攻擊，ISP網絡邊界路由器檢查數據包源IP地址是否屬于ISP網絡所轄網絡地址范圍，丟棄源IP不屬于該ISP網絡的數據包。