设置路由器的阈值防止DDoS攻击
1。防止DDoS攻击的原理在分布式拒绝服务的过程中,(DDoS)攻击,一批恶意主机或恶意主机被感染主机会发送大量的数据到服务器的攻击。在这种情况下,靠近网络边缘的网络节点将成为资源枯竭。有两个原因:第一,近服务器通常服务器只需要处理少量的用户数据在设计;二,因为在网络核心区数据的聚集将带来更多的数据到边缘节点。此外,服务器系统本身是容易被攻击而瘫痪的极端超载。
DDoS攻击是一种资源的管理问题。这篇文章的目的是保护服务器系统接收在全球网络服务请求过量。当然,这个机制可以很容易地转化为网络节点的保护。为此,必须采取预防措施:调整交通路由器在传输路径的数据包攻击前聚集到服务器的瘫痪,从而避免攻击。具体的实施机制是设定阈值对上游路由器在从服务器的距离。只有当阈值在这个阈值内时,数据才能通过路由器路由,而其他数据将被丢弃或路由到其他路由器。
这一防御体系的主要因素是各航路点的输出;适当;数据量。Ldquo;适当必须依赖需要的时间的分布,因此服务器和网络要做动态协商。在本文的谈判方法(S)由服务器发起的,如果在低于设计容量的服务器(美国)的情况下运行,你不需要设置阈值;如果服务器的负载(LS)超过设计能力,可以在上游服务器设置门槛保护自己。此后,如果电流阈值不使负荷低于我们,那么阈值应减少。相反,如果ls <我们,那么阈值应该增加。如果阈值的增加在监测期间没有明显增加负载,则阈值可以取消,控制算法的目标是控制服务器在Ls,}范围内的负载。
很显然,这是不可能要求所有网络服务器的状态信息的保留,因为这会导致国家信息爆炸。但是,这是选择的需求的保护机制是可行的,这是基于假设的DDoS攻击是个别现象而不是普遍的情况。在任何一段时间,我们决定,只有少数的网络受到攻击,大部分网络是健康运行。此外,恶意攻击者通常选择访问大多数用户;主要网站的攻击,这些网站可以使用以下的网络结构来保证自己的安全。
两。系统模型
数据和服务器的负载在这篇文章中提到的所有单位都是Kbps。该系统的网络拓扑图如图1所示,本文给出了一个网络模型G =(V,E),其中V表示一系列节点,E代表边。所有叶节点都主机和数据来源,内部节点路由器和路由器不产生数据,但可以从主机或从其他路由器转发数据的接收数据,R代表一个内部节点的路由,所有的路由器假定它是可以信赖的。主机H =虚实分为正常用户和恶意用户HA汞,和E是一个网络连接模式,并默认是双向的。
叶子节点V被视为目标服务器。正常用户以0和0的速度发送数据包给S。恶意攻击者以{和RA的速度发送数据包给S。原则上,它可以根据用户通常访问S(假设RG <我们)来设置RG的合理级别,但是RA的值很难确定。事实上,RA的价值远远高于RG。
当受到攻击时,它开始的门槛保护机制之前提到的,为了说明,不需要在每个路由器上设置一个阈值,假设一个超载的服务器仍然可以启动保护机制。R(k)是一个路由器,除了K层或路由器比K层,但他们都直接连接到主机。
图中的块节点代表东道主,与圆形节点代表路由器。最左边的主机目标服务器S的路由器R(3)是图中绿色部分。注意R(3)中的底层路由器由两层与S分隔。原因是它直接与主机相连。
三,阈值算法
在图1的例子中,每个主机的数量(除S)是从当前主机发送数据给美国设置LS = 18 = 22,我们的利率减去,负载发送到的是超越了美国,所以阈值将开始在美国的算法运行后,S确定阈值6.25和定制率R的各种路由器(3)。在图1中,在路由器的数量显示数据到达的速率,在较低的括号内的数字代表数据传输率(调整),调整后,在负载限制为20.53,并调整率r(3)是一个公平的服务器的负载值。
到目前为止,只有如何使用基本的阈值算法进行了讨论,和R(k)将与K的增加迅速增加,因此,如果一些路径不被攻击,这些路径上的路由器资源将被浪费。如果S和R之间的路由器(K)可以监测数据率的,它可以在不影响性能的改善情况。
在S和r(3)之间引入路由器监视的方法。注意R(3)中的三个路由器的阈值被取消,因为没有对这些路径的攻击。
四。评价标准
性能度量的一个基本指标是阈值可以阻止DDoS攻击的程度。除了基本指标外,还必须考虑安装此机制的成本。因此,可以使用以下评估标准:
1的普通用户数量。服务器;
2。保护S时需要涉及的路由器的数量;
三.响应用户需求的变化。
一般来说,我们认为攻击者比普通用户更具攻击性,但是恶意攻击会导致大量主机参与恶意攻击。虽然每个主机看起来像一般的普通用户,但它们仍然会造成DDoS攻击,本质上很难防御这种攻击。
在这种保护机制的具体安排,一些要求必须观察。首先,阈值的可靠性必须得到保证,否则机制本身可能成为一个攻击点。为了保证可靠性,阈值的信息必须首先检验时,边缘路由器加入网络。其次,它要保证这些信息可以安全地从起点到达目的点。发送消息的阈值小,和认证的传输优先级应该是可以接受的,但是,由于控制方法必须收到反馈,服务器可能在瞬时超载,为了确保该调节机制的运行机构仍然可以使用协处理器或帮助设备。第三、门槛保护机制可能不支持在整个网络,但有一个支持机制,只要攻击路由的路由器。