本文提出一種完全基于服務(wù)器端的DDoS 包過濾技術(shù)，它通過IP 收斂算法對(duì)來源于受
限地址空間的攻擊包進(jìn)行有效的過濾，并彌補(bǔ)了基于Cookie 的虛假地址防御技術(shù)存在的不足，通過實(shí)驗(yàn)證明該方法是有效的。
關(guān)鍵詞：源地址受限的分布式拒絕服務(wù)攻擊；主阻塞列表；臨時(shí)阻塞列表
分布式拒絕服務(wù)攻擊（DDoS）是攻擊者利用網(wǎng)絡(luò)通信協(xié)議存在的缺陷，通過大量攻擊代理主機(jī)向受害主機(jī)發(fā)送大量看似正常的服務(wù)請(qǐng)求包，從而耗盡受害主機(jī)的系統(tǒng)資源或網(wǎng)絡(luò)帶寬，致使正常的連接請(qǐng)求無法得到響應(yīng)。DDoS 攻擊采用分布式結(jié)構(gòu), 基于Client/Server體系。整個(gè)攻擊體系由攻擊者、主控機(jī) 、實(shí)施攻擊的代理機(jī)、被攻擊的目標(biāo)主機(jī)形成四個(gè)層次。主控機(jī)和攻擊代理機(jī)分別實(shí)施控制和發(fā)起實(shí)際攻擊, 對(duì)目標(biāo)主機(jī)而言, DDoS 攻擊包實(shí)際來自于攻擊代理機(jī), 而主控機(jī)只發(fā)布命令, 不參與實(shí)際的攻擊。常見的 DDoS 攻擊方法有：SYN Flood 攻擊[1]、Land 攻擊[2]、Smurf 攻擊[3]等.
SYN Flood 攻擊是一種最常見的 DDoS 攻擊手段，它利用TCP/IP 連接“三次握手”過程，通過虛假IP, 源地址發(fā)送大量 SYN 數(shù)據(jù)包，請(qǐng)求連接到被攻擊方的一個(gè)或多個(gè)端口。當(dāng)被攻擊方按照約定向這些虛假IP,地址發(fā)送確認(rèn)數(shù)據(jù)包后，等待對(duì)方連接，虛假的IP 源地址將不給予響應(yīng)。這樣，連接請(qǐng)求將一直保存在系統(tǒng)緩存中直到超時(shí)。如果系統(tǒng)資源被大量此類未完成的連接占用，系統(tǒng)性能明顯下降。后續(xù)正常的TCP 連接請(qǐng)求也會(huì)因等待隊(duì)列填滿而被丟棄，造成服務(wù)器拒絕服務(wù)的現(xiàn)象。
由于DDoS 以貌似合法的數(shù)據(jù)包向目標(biāo)主機(jī)發(fā)動(dòng)攻擊，傳統(tǒng)的防火墻對(duì)其無能為力。近
年來針對(duì)日益頻繁的DDoS 攻擊事件，研究人員進(jìn)行了大量的研究工作，提出了多種防御機(jī)制。近年來針對(duì)日益頻繁的DDoS 攻擊事件，研究人員提出了多種防御機(jī)制，但是這些防御機(jī)制大多需要在整個(gè)Internet 范圍內(nèi)部署大量的基礎(chǔ)設(shè)備，故而難以大規(guī)模推廣。近年來一種新的基于Cookie 的DDoS 防御機(jī)制[4]被提了出來，該方法通過在服務(wù)器一側(cè)設(shè)置SYN PROXY,能夠較為有效的防御SYN FLOOD，其設(shè)計(jì)思想為：一旦防火墻截獲外網(wǎng)發(fā)向內(nèi)網(wǎng)的SYN請(qǐng)求，并不立即向服務(wù)器轉(zhuǎn)發(fā)，而是根據(jù)該數(shù)據(jù)包的源地址替代服務(wù)器生成一個(gè)發(fā)往該地址的SYN/ACK 數(shù)據(jù)包，并在返回的數(shù)據(jù)包中設(shè)置一個(gè)Cookie 項(xiàng)，其值由Cookie 算法確定，如果該地址是真實(shí)的地址，那么防火墻就能夠收到一個(gè)合法的ACK 包，可以通過對(duì)該包的Cookie 項(xiàng)計(jì)算來確定該包的有效性，如果是合法的數(shù)據(jù)包，則由防火墻向服務(wù)器轉(zhuǎn)發(fā)SYN包，在服務(wù)器發(fā)出SYN/ACK 包，防火墻回復(fù)ACK 包之后，一個(gè)由客戶端到服務(wù)器的TCP 連接成功建立。該防御機(jī)制從DDoS 攻擊具有源地址欺騙這一本質(zhì)特征入手，能夠較好的對(duì)存在源地址欺騙的數(shù)據(jù)包進(jìn)行過濾，然而如果執(zhí)行攻擊的主機(jī)正好位于從服務(wù)器到虛假源地址之間的話，它就有可能截獲由防火墻發(fā)往虛假源地址的含有Cookie 項(xiàng)的SYN/ACK 數(shù)據(jù)包，這使的攻擊者有機(jī)會(huì)偽造ACK 包并回發(fā)給防火墻。