[发明专利]基于活动IP记录的IP欺骗DDoS攻击防御方法

说明书

技术领域

本发明涉及网络信息安全领域，具体涉及对利用IP欺骗的拒绝服务或分布式拒绝攻击的防御方法。

背景技术

分布式拒绝服务攻击(DDoS)是目前最流行的一种网络攻击方式，它的原理简单，易于实现，攻击破坏力极强，对当前网络的安全构成了极大的威胁。

DDoS攻击者通常控制分布于Internet中的大量安全防御级别较低的节点作为攻击傀儡机，组成多级的DDoS攻击僵尸网络，通过向僵尸网络发送远程控制命令，协同大量的傀儡机直接或间接向其攻击目标发送大量的网络分组，这些网络分组在受害端汇聚成压倒性的网络流量，耗尽受害者的网络带宽或系统资源，从而造成对合法用户的拒绝服务。

高度开放与共享的Internet加快了DDoS攻击的传播，高度智能化、集成化的DDoS攻击工具大范围扩散，攻击者不需要掌握太多的技术就可以发动大规模的DDoS攻击。DDoS攻击通常运用IP欺骗技术对攻击源地址进行伪装，增大了攻击破坏力，同时也增加了依据数据包源地址进行攻击溯源以及安全审计、取证的难度。

根据攻击原理，可以将DDoS攻击分为协议攻击和暴力攻击。协议攻击利用网络协议本身的脆弱性实施攻击，如Smurf攻击，将受害者网络地址作为源地址，向某个存在大量主机的中间网络广播ICMP Echo Request请求报文，根据ICMP协议中间网络向受害者回复大量的ICMP Echo Reply报文，使受害者严重过载甚至瘫痪；TCP SYN Flood攻击利用TCP三次握手机制的缺陷，向受害主机发送大量经过源IP欺骗的SYN连接请求报文，受害主机依据三次握手机制向不可达的SYN请求主机回应ACK报文，并分配资源维持一个半连接等待对方的ACK应答，最终系统的资源将被大量的半连接耗尽，从而无法响应合法用户的TCP连接请求。暴力攻击如UDP、TCP和ICMP Flood攻击等，向受害主机发送大量无用的网络分组，耗尽其系统资源或网络带宽，导致其无法提供正常的网络服务。

DDoS攻击的防御一直是一个难点，近年来，研究人员在该领域展开了大量深入的研究工作，提出了许多防御方法。

除了防御方法和技术外，在构造DDoS防御机制时，防御的位置也需要进行重点考虑。DDoS攻击从攻击源节点发起，经中间网络路由转发后到达受害主机端，攻击防御也可以分别在攻击源端、中间网络和受害端实施。受害端汇聚大量的DDoS攻击流量，因此利于攻击检测，但从合法流量中标识、过滤攻击流量还没有有效的方法，且在实施检测、过滤前，攻击流量可能已经消耗了大量的网络带宽资源，到达了攻击目的；在攻击源端，攻击流量还没有汇聚，从网络流量中检测攻击相对困难，但在该处检测IP欺骗比较容易，且攻击流量尚未进入核心网络，在此实施拦截、过滤比较容易、有效；中间网络由于范围分布广泛，攻击流量还没有完全汇聚，不利于实施攻击的检测和防御。

DDoS防御分类

从宏观上，可以将DDoS攻击的防御方法分为响应防御和主动防御。

响应防御方法通常基于异常检测模型，运用模式匹配或统计模型检测网络中是否存在DDoS攻击，并进行针对性地过滤或回推攻击流量，以缓解DDoS攻击对受害者的影响。DDoS攻击流量通常由合法的网络分组或无用的网络分组汇聚而成，攻击分组相对于合法分组并不存在明显的特征，因而从合法流量中准确地标识并过滤DDoS攻击流量十分困难。依赖于异常检测的DDoS攻击防御除了制肘于检测准确度外，还对攻击响应的速度提出了较高的要求，异常检测过滤必须以On Line的方式部署，不具备较高速率的检测和过滤，本身就会构成对被保护网络的拒绝服务。

被动响应式的DDoS攻击防御方法依赖于检测响应模型，在攻击的检测和过滤的速率、准确性方面都存在缺陷，没能取得理想的防御效果。因此，近年来研究学者们在设计DDoS防御方案时越来越地考虑主动防御方法。主动防御则通过减小DDoS攻击发生的可能性，确保受害节点或网络维持提供正常服务的能力。

典型的DDoS防御方法

这里分析几种具有代表性的DDoS防御方法，主要包括入口过滤、源回溯、回推等方法。

入口过滤

该DDoS防御方法在ISP边界路由器实施，对从ISP网络进入Internet的数据包进行检测过滤，拦截具有非法源IP地址的数据包。入口过滤主要针对源IP欺骗DDoS攻击，ISP网络边界路由器检查数据包源IP地址是否属于ISP网络所辖网络地址范围，丢弃源IP不属于该ISP网络的数据包。