DDoS攻擊研究綜述提綱DDoS研究的意義國內(nèi)外研究的現(xiàn)狀DOS問題的起因DoS攻擊原理DoS防御方法DDoS研究的意義：（1）（2）UCBerkeley教授ShankarSastry于2003.7在眾議院的國土安全委員會的聽證會上指出DDoS及Worm攻擊是當(dāng)前主要的防衛(wèi)任務(wù)。（3）國內(nèi)外研究的現(xiàn)狀

1）DHS,NFS在2004年資助幾個大學(xué)和公司啟動了DETER（DefenseTechnologyExperimentalResearch）。這個項目的一個研究重點(diǎn)就是防御DDoS攻擊。2）信息產(chǎn)業(yè)部在2005年公開向產(chǎn)業(yè)界招標(biāo)防御DDoS攻擊系統(tǒng)的設(shè)計方案TheUniversityofCaliforniaBerkeley,UniversityofCaliforniaDavis,UniversityofSouthernCalifornia-InformationSystemsInstitute,NetworkAssociatesLaboratories,SRI,thePennsylvaniaStateUniversity,PurdueUniversity,PrincetonUniversity,UniversityofUtah,andindustrialpartnersJuniperNetworks,CISCO,Intel,IBM,Microsoft,andHPDOS問題的起因

面向目的地址進(jìn)行路由Internet的無狀態(tài)性Internet缺乏身份鑒別機(jī)制Internet協(xié)議的可預(yù)測性（例如，TCP連接建立過程和擁塞控制）（1）DoSDegradetheservicequalityorcompletelydisablethetargetservicebyoverloadingcriticalresourcesofthetargetsystemorbyexploitingsoftwarebugs.(2)DDoSTheobjectiveisthesamewithDoSattacksbutisaccomplishedbyaofcompromisedhostsdistributedovertheInternet.DoS攻擊原理（3）基于反射器的DDoSDoS防御御方法Ingress過過濾tracebackpushback自動化模型型(控制器器-代理模模型)基于代理網(wǎng)網(wǎng)絡(luò)的解決決方案Ingress過過濾主要目的：過濾假冒源源地址的IP數(shù)據(jù)包包為traceback提供幫幫助局限性：影響路由器器的性能配置問題Traceback目的：證實(shí)實(shí)IP數(shù)據(jù)據(jù)包真正來來源從源頭上阻阻斷攻擊攻擊取證方法：1)基于流流量工程的的方法2)基于數(shù)數(shù)據(jù)包標(biāo)記記的方法3)基于數(shù)數(shù)據(jù)包日志志的方法基于流量工工程的方法法工作機(jī)制：：首先使用UDPchargen服務(wù)務(wù)產(chǎn)生短的的突發(fā)流量量，然后把把突發(fā)流量量注入到待待測試的鏈鏈路以觀察察鏈路是否否是攻擊路路徑的一部部分。優(yōu)點(diǎn)：1）花費(fèi)相相對較低2）容易配配置缺點(diǎn)：1）不適用用于多個攻攻擊者參與與攻擊的情情況2）整個追追溯過程應(yīng)應(yīng)該在攻擊擊進(jìn)行的時時候執(zhí)行，，有時間間上的約束束基于數(shù)據(jù)包包標(biāo)記的方方法工作原理：：基于數(shù)據(jù)包包標(biāo)記的IP追溯方方案使用了了一個簡單單的概念。。當(dāng)IP數(shù)數(shù)據(jù)包經(jīng)過過Internet路由器，，路由器為為數(shù)據(jù)包增增加追溯信信息。一旦旦受害者檢檢測到攻擊擊，受害者者從攻擊數(shù)數(shù)據(jù)包中提提取追溯信信息，使用用這些信息息重建攻擊擊數(shù)據(jù)包所所經(jīng)過的路路徑。因此此，基于數(shù)數(shù)據(jù)包標(biāo)記記的IP追追溯方案通通常由兩個個算法組成成。一個是是運(yùn)行在Internet路路由器上的的包標(biāo)記算算法。另一一個是受害害者發(fā)起的的追溯算法法，這個算算法使用在在接收到的的攻擊數(shù)據(jù)據(jù)包里發(fā)現(xiàn)現(xiàn)的標(biāo)記信信息追溯攻攻擊者。問題為了重建攻攻擊路徑或或攻擊樹，，需要大量量的攻擊數(shù)數(shù)據(jù)包在重建攻擊擊樹的過程程中，可能能給受害者者帶來巨大大的花費(fèi)負(fù)負(fù)擔(dān)；如果多個攻攻擊者參與與攻擊，那那么會產(chǎn)生生高的誤報報率。路由器CPU花費(fèi)基于數(shù)據(jù)包日日志的方法工作原理：與在IP數(shù)據(jù)據(jù)包寫入路由由器的信息不不同，數(shù)據(jù)包包日志方案是是在路由器的的內(nèi)存中寫入入數(shù)據(jù)包的信信息（摘要、、簽名或者數(shù)數(shù)據(jù)包自身））。一旦受害害者檢測到攻攻擊，受害者者就會查詢上上游（upstream）路由器以以檢查它們的的內(nèi)存中是否否包含攻擊數(shù)數(shù)據(jù)包的信息息。如果在某某個路由器中中發(fā)現(xiàn)了攻擊擊數(shù)據(jù)包的信信息，那么該該路由器被認(rèn)認(rèn)為是攻擊路路徑的一部分分。問題路由器存儲花花費(fèi)從網(wǎng)絡(luò)路由器器獲取數(shù)據(jù)包包信息使用的的方法是效率率低的pushback自動化模型(控制器-代代理模型)優(yōu)點(diǎn)：當(dāng)攻擊沒發(fā)生生時，代理和和普通路由器器一樣運(yùn)行。。受害者能容易易地確定來自自不同攻擊系系統(tǒng)的攻擊簽簽名。一旦受害者通通過了鑒別，，那么識別、、阻止和跟蹤蹤攻擊流量的的過程完全是是自動化的。。因此，響應(yīng)應(yīng)非常迅速。。可以動態(tài)地配配置過濾器。。一旦確定了攻攻擊簽名，就就可以在接近近攻擊源的位位置阻止攻擊擊流量。每個代理僅需需要檢查和阻阻止流經(jīng)它的的攻擊簽名。。這樣，攻擊擊簽名更有針針對性，因此此延遲更小。。由于代理和控控制器沒必要要確定攻擊簽簽名，因此與與集中擁塞控控制（ACC）相相比它們的實(shí)實(shí)施花費(fèi)更少少。不足：被丟棄的包中中也許包括一一些非攻擊流流量?？刂破骺赡芤惨彩荄DoS攻擊的受害害者?？刂破髋c代理理、受害者之之間的通信安安全也值得關(guān)關(guān)注?；诖砭W(wǎng)絡(luò)絡(luò)的解決方案案WangJu等人研究究得出了下列列結(jié)論：通過代理網(wǎng)絡(luò)絡(luò)間接地訪問問應(yīng)用程序能能夠提高性能能：減少響應(yīng)應(yīng)時間，增加加可利用的帶帶寬。間接地地訪問降低性性能的直覺是是不正確的。。代理網(wǎng)絡(luò)能有有效地減輕大大規(guī)模DDoS攻擊所造造成的影響，，從而證明了了代理網(wǎng)絡(luò)方方法的有效性性。代理網(wǎng)絡(luò)提供供了可擴(kuò)展的的DoS-彈彈性——彈性性能被擴(kuò)展以以應(yīng)對更大的的攻擊，從而而保持應(yīng)用程程序的性能。。彈性與代理理網(wǎng)絡(luò)的大小小成正比例關(guān)關(guān)系，也就是是說，在保持持應(yīng)用程序性性能的前提下下，一個給定定代理網(wǎng)絡(luò)所所能承受的