技術領域

本發明涉及網絡通信技術領域，特別涉及一種基于Web代理的間接分布式拒絕服務攻擊抵御方法及系統。?

背景技術

分布式拒絕服務(Distributed?Denial?of?Service，DDoS)攻擊是一種不斷進化發展的攻擊方法。?

本發明針對一種新型的DDoS攻擊方式，提供一種有效的服務器端的抵御方法。本發明所關注的這種新型DDoS攻擊與傳統的直接型攻擊行為不同，它采用廣泛分布在互聯網上的Web代理作為攻擊的跳板。由于該攻擊方法利用HTTP協議的特點實現供給目的，在本項發明中，我們稱這一類攻擊為“基于Web代理的DDoS攻擊”。?

如圖1所示，基于Web代理的DDoS攻擊模式包含以下兩個步驟：(1)攻擊者把生成用于攻擊的HTTP請求，并把這些請求發給預先選擇好的Web代理，迫使Web代理把這些惡意請求轉發給被攻擊主機。由于現有的Web代理只能緩存靜態內容，攻擊者可以通過請求動態頁面或在HTTP頭部設置Cache-Control：no-cache使惡意請求可以穿透Web代理。(2)為節省帶寬，攻擊者可以在估計Web代理完成轉發惡意請求之后斷開自己與它的連接。攻擊者只要不斷地重復以上步驟就可以觸發大量的Web代理服務器用于DDoS攻擊，而且這些代理服務器都是被動地卷入攻擊行為中。與以往出現的DDoS攻擊不同，基于Web代理的DDoS攻擊具有以下幾方面的優勢：?

第一，它使攻擊主機可以突破客戶端邊界的流量約束實現攻擊目的。即攻擊主機可以連接不同的Web代理，通過“短”和“輕負荷”的TCP連接向攻擊目標發動攻擊。相對于傳統攻擊主機利用單一的“長”和“重負荷”的TCP連接發動攻擊，新的攻擊模式更加可以有效躲避客戶端的檢測。?

第二，由于現有的Internet缺乏有效的合作機制，受害的服務器難以依賴中間Web代理的安全設置來避免受攻擊。而且Internet上存在大量開放的代理服務器及在線代理服務器。這些代理服務器都可能被攻擊者所濫用。?

第三，對受害端的服務器來說，這一類的攻擊行為難以被現有的DDoS防御系統所發現并過濾。主要有兩方面的原因：(1)由于終端主機都位于分層Web代理后部，受害服務器無法區分來自每一個主機的HTTP請求。(2)從受害服務器的角度看，每經過一個中間Web代理，攻擊流就和其它合法的客戶請求匯聚一次。當匯聚流從最后一個Web代理發向受害服務器時，攻擊流與正常的Web請求之間除了目的不同外，沒有其它的差異。因此，現有的DDoS防御系統無法有效抵御這一類攻擊行為。?

現有的DDoS攻擊防御方法主要分類兩大類：網絡層防御措施與應用層防御措施。?

網絡層防御措施主要針對傳統的DDoS攻擊，例如：UDP?flood、ICMP?flood、SYN?attack、SYNACK?attack、RST?attack、DNS?request?&?reply?flood?attack、CGI?request?attack、authentication?server?attack與HTTP?request?&?reply?flood。網絡層方法的主要特點是利用TCP層及IP層的屬性來發現攻擊信號。網絡層防御措施的典型方法包括：?

基于源域的方案?

MULTOPS路由器使用一個4層數據結構維護流的分組速率統計信息。數據結構中的一個節點對應一個IP地址前綴，節點的位置決定它所代表的前綴地址。例如：第三層的子節點4.*.*.*代表前綴4.2.*.*，每個節點有256項，分別對應該節點的256個子項，每個項又包含3個域：輸出分組數、輸入分組數和指向子節點的指針。當一個分組到達時，與該分組對應的子項相關的域值更新。當某個前綴地址的速率達到一個指定值時，子節點相應的子項被擴展；如果分組率低于指定的極限值，子節點的個數將被刪除。通過這種方法，MULTOPS數據結構可以適應源域變化的流特征和路由器的可用資源變化。當進行攻擊檢測時，MULTOPS計算指定地址前綴的輸出分組速率與輸入分組速率的比值，如果這個比值超出預定的極限值，來自該地址前綴的分組將被丟棄。?