日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

設(shè)置路由器門限值 預(yù)防DDoS攻擊

云知道


設(shè)置路由器門限值 預(yù)防DDoS攻擊
本文提出了一種以服務(wù)器為中心的預(yù)防服務(wù)器遭受分布式“拒絕服務(wù)”(DDoS)攻擊的方法,它對(duì)上游路由器向服務(wù)器發(fā)送的分組數(shù)據(jù)的速率進(jìn)行限制,使之對(duì)服務(wù)器的訪問(wèn)數(shù)據(jù)量不會(huì)超過(guò)設(shè)計(jì)限值 。
一、預(yù)防DDoS攻擊原理
在分布式“拒絕服務(wù)”(DDoS)的攻擊過(guò)程中,一群惡意的主機(jī)或被惡意主機(jī)感染的主機(jī)將向受攻擊的服務(wù)器發(fā)送大量的數(shù)據(jù) 。在這種情況下,靠近網(wǎng)絡(luò)邊緣的網(wǎng)絡(luò)節(jié)點(diǎn)將會(huì)變得資源枯竭 。原因有二:一是靠近服務(wù)器的節(jié)點(diǎn)通常在設(shè)計(jì)時(shí)只要求處理少量的用戶數(shù)據(jù); 二是由于數(shù)據(jù)在網(wǎng)絡(luò)核心區(qū)的聚集使處于邊緣的節(jié)點(diǎn)會(huì)接收更多的數(shù)據(jù) 。此外,服務(wù)器系統(tǒng)本身也很輕易受到攻擊,在極度超載的情況下會(huì)癱瘓 。
DDoS攻擊被視為一種資源治理問(wèn)題 。本文的目的就是要保護(hù)服務(wù)器系統(tǒng)在全局性網(wǎng)絡(luò)中不會(huì)收到過(guò)量的服務(wù)請(qǐng)求 。當(dāng)然,這種機(jī)制也可以很輕易地變?yōu)閷?duì)網(wǎng)絡(luò)節(jié)點(diǎn)的保護(hù) 。為此,必須采取一種預(yù)防性措施:在攻擊性數(shù)據(jù)包聚集到使服務(wù)器癱瘓之前,在傳送路徑上的路由器中對(duì)流量進(jìn)行調(diào)節(jié),避免攻擊的發(fā)生 。具體實(shí)現(xiàn)機(jī)制是要在與服務(wù)器有數(shù)級(jí)距離的上游路由器上設(shè)置門限值,只有在這個(gè)門限值以內(nèi)的數(shù)據(jù)量可以通過(guò)路由器,而其他數(shù)據(jù)將被放棄或路由至其他路由器 。
這種防御系統(tǒng)中的一個(gè)主要因素是各個(gè)路由點(diǎn)輸出“適當(dāng)”的數(shù)據(jù)量 ?!斑m當(dāng)”必須視當(dāng)時(shí)的需求分配而定,因此服務(wù)器與網(wǎng)絡(luò)之間要進(jìn)行動(dòng)態(tài)協(xié)商 。本文中的協(xié)商方法由服務(wù)器(S)發(fā)起,假如服務(wù)器在低于設(shè)計(jì)容量(Us)的情況下運(yùn)行,則不需要設(shè)置門限值;假如服務(wù)器的負(fù)載(Ls)超過(guò)了設(shè)計(jì)容量,則可以在服務(wù)器的上游設(shè)置門限值來(lái)進(jìn)行自我保護(hù) 。此后,假如當(dāng)前的門限值不能使S的負(fù)載低于Us,則應(yīng)降低門限值;反之,假如Ls< Us,則應(yīng)升高門限值;假如門限值的升高沒(méi)有使負(fù)載在監(jiān)視期內(nèi)明顯增加,則可以取消門限值 ??刂扑惴ǖ哪繕?biāo)就是將服務(wù)器的負(fù)載控制在[Ls,Us]范圍之內(nèi) 。
很顯然,不可能要求保留所有網(wǎng)絡(luò)服務(wù)器的狀態(tài)信息,因?yàn)檫@樣會(huì)造成狀態(tài)信息爆炸 。但按需求選擇保護(hù)機(jī)制是可行的,這一觀點(diǎn)是基于DDoS攻擊是一種個(gè)別現(xiàn)象而非普遍情況的假設(shè) 。在任何時(shí)間段內(nèi),我們認(rèn)定只有少數(shù)的網(wǎng)絡(luò)受到攻擊,大部分網(wǎng)絡(luò)在“健康”狀態(tài)下運(yùn)行 。此外,惡意攻擊者通常選擇那些訪問(wèn)用戶最多的“主要站點(diǎn)”攻擊,這些站點(diǎn)就可以利用以下的網(wǎng)絡(luò)結(jié)構(gòu)來(lái)保證自身的安全 。
二、系統(tǒng)的模式
本文提及的所有數(shù)據(jù)量和服務(wù)器負(fù)載量的單位均為 kbps 。系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D如圖1所示 。本文給出了網(wǎng)絡(luò)模型G=(V,E),其中V代表一系列節(jié)點(diǎn),E表示邊緣 。所有的葉狀節(jié)點(diǎn)均為主機(jī)和數(shù)據(jù)來(lái)源 。內(nèi)部節(jié)點(diǎn)為路由器,路由器不會(huì)產(chǎn)生數(shù)據(jù)但可以接收來(lái)自主機(jī)的數(shù)據(jù)或轉(zhuǎn)發(fā)來(lái)自其他路由器的數(shù)據(jù) 。R表示內(nèi)部路由節(jié)點(diǎn),所有的路由器均假設(shè)是可以信任的 。主機(jī)H=V-R,被分為普通的正常用戶Hg和惡意用戶Ha,E是網(wǎng)絡(luò)鏈路模型,默認(rèn)為雙向 。
葉形節(jié)點(diǎn)V被當(dāng)作目標(biāo)服務(wù)器S 。正常用戶以[0,rg]的速度將數(shù)據(jù)包發(fā)送到S 。惡意攻擊者則以[0,ra]的速度向S發(fā)送數(shù)據(jù)包,從原則上講可以根據(jù)用戶通常如何訪問(wèn)S(假設(shè)rg< < Us)來(lái)為rg設(shè)置一個(gè)合理的水平,但ra的取值很難確定,實(shí)際上ra的值大大高于rg 。
當(dāng)S受到攻擊時(shí),它會(huì)啟動(dòng)前面談到的門限值防護(hù)機(jī)制 。為了便于表示,假設(shè)一個(gè)超載的服務(wù)器仍然能夠啟動(dòng)防護(hù)機(jī)制,因此沒(méi)有必要在每臺(tái)路由器上均設(shè)置門限值 。R(k)表示與S相距k層的路由器或短于k層的路由器,但它們均直接與主機(jī)相連 。

推薦閱讀