一种基于IP收敛算法的DDoS包过滤技术

本文提出一种完全基于服务器端的DDoS 包过滤技术，它通过IP 收敛算法对来源于受
限地址空间的攻击包进行有效的过滤，并弥补了基于Cookie 的虚假地址防御技术存在的不足，通过实验证明该方法是有效的。
关键词：源地址受限的分布式拒绝服务攻击；主阻塞列表；临时阻塞列表
分布式拒绝服务攻击（DDoS）是攻击者利用网络通信协议存在的缺陷，通过大量攻击代理主机向受害主机发送大量看似正常的服务请求包，从而耗尽受害主机的系统资源或网络带宽，致使正常的连接请求无法得到响应。DDoS 攻击采用分布式结构, 基于Client/Server体系。整个攻击体系由攻击者、主控机 、实施攻击的代理机、被攻击的目标主机形成四个层次。主控机和攻击代理机分别实施控制和发起实际攻击, 对目标主机而言, DDoS 攻击包实际来自于攻击代理机, 而主控机只发布命令, 不参与实际的攻击。常见的 DDoS 攻击方法有：SYN Flood 攻击[1]、Land 攻击[2]、Smurf 攻击[3]等.
SYN Flood 攻击是一种最常见的 DDoS 攻击手段，它利用TCP/IP 连接“三次握手”过程，通过虚假IP, 源地址发送大量 SYN 数据包，请求连接到被攻击方的一个或多个端口。当被攻击方按照约定向这些虚假IP,地址发送确认数据包后，等待对方连接，虚假的IP 源地址将不给予响应。这样，连接请求将一直保存在系统缓存中直到超时。如果系统资源被大量此类未完成的连接占用，系统性能明显下降。后续正常的TCP 连接请求也会因等待队列填满而被丢弃，造成服务器拒绝服务的现象。
由于DDoS 以貌似合法的数据包向目标主机发动攻击，传统的防火墙对其无能为力。近
年来针对日益频繁的DDoS 攻击事件，研究人员进行了大量的研究工作，提出了多种防御机制。近年来针对日益频繁的DDoS 攻击事件，研究人员提出了多种防御机制，但是这些防御机制大多需要在整个Internet 范围内部署大量的基础设备，故而难以大规模推广。近年来一种新的基于Cookie 的DDoS 防御机制[4]被提了出来，该方法通过在服务器一侧设置SYN PROXY,能够较为有效的防御SYN FLOOD，其设计思想为：一旦防火墙截获外网发向内网的SYN请求，并不立即向服务器转发，而是根据该数据包的源地址替代服务器生成一个发往该地址的SYN/ACK 数据包，并在返回的数据包中设置一个Cookie 项，其值由Cookie 算法确定，如果该地址是真实的地址，那么防火墙就能够收到一个合法的ACK 包，可以通过对该包的Cookie 项计算来确定该包的有效性，如果是合法的数据包，则由防火墙向服务器转发SYN包，在服务器发出SYN/ACK 包，防火墙回复ACK 包之后，一个由客户端到服务器的TCP 连接成功建立。该防御机制从DDoS 攻击具有源地址欺骗这一本质特征入手，能够较好的对存在源地址欺骗的数据包进行过滤，然而如果执行攻击的主机正好位于从服务器到虚假源地址之间的话，它就有可能截获由防火墙发往虚假源地址的含有Cookie 项的SYN/ACK 数据包，这使的攻击者有机会伪造ACK 包并回发给防火墙。