防御分布式拒绝服务(DDoS)攻击是当今网络安全领域最难解决的问题之一。其中重要的原因在于网络上大量不安全的机器的存在,DDoS攻击工具的广泛可获得性以及攻击者通常采用假冒的源IP地址。因此,研究DDoS攻击及其对策是非常重要的。
本文分析了DDoS攻击的攻击机制,攻击方法,并对以追踪DDoS攻击来源的数据包标记方法进行了研究,分析了它们各自的优缺点。提出了一个自适应数据包标记概率的标记方法,显著减少了路径重构时对数据包的需求,能在更短时间内追踪到攻击者。
针对路由器标记数据包时会覆盖前面标记过的信息而重新标记的缺点,本文提出了一个非强制性包标记方法并给出了自适应的标记概率。采用这样方法,可以降低网络和路由器标记数据包的负担,路径重构的误报率在原来基础上也大为降低,有效降低了追踪的不确定性。
现有的包标记方法都不能应用于反弹式DDoS攻击中,因为攻击者和反弹服务器之间的数据包标记信息会丢失。对此本文改进了非强制性包标记方法,在反弹服务器上使用hash表来存储复制数据包的标记信息。通过实验表明,受害者只需很少的数据包就完成路径重构工作,为受害端及早地响应攻击争取了时间,还限制了攻击者的伪造能力。