關(guān)于實(shí)現(xiàn)DDoS防御之路由器門限值算法的方法
關(guān)于實(shí)現(xiàn)DDoS防御之路由器門限值算法的方法
今天學(xué)習(xí)啦小編就給大家說說路由器如何設(shè)置實(shí)現(xiàn)DDoS防御之路由器門限值算法的方法,如果對(duì)此比較感興趣的童鞋可以一起往下看。
在圖1的例子中,令每臺(tái)主機(jī)上的數(shù)字(S除外)減去當(dāng)前主機(jī)向S發(fā)送數(shù)據(jù)的速率。設(shè)Ls=18且Us=22,發(fā)往S的負(fù)載超出了Us,因此將在S處啟動(dòng)門限值。算法運(yùn)行結(jié)束之后,S確定門限值為6.25并將此速率定制到R(3)的各個(gè)路由器中。在圖1中路由器上方的數(shù)字表示到達(dá)S的數(shù)據(jù)速率,下方括號(hào)中的數(shù)字表示數(shù)據(jù)傳遞的速率(經(jīng)過調(diào)節(jié)后的)。經(jīng)過調(diào)節(jié)后S處的負(fù)載限制到了20.53,R(3)中經(jīng)過調(diào)節(jié)的速率是服務(wù)器負(fù)載的公平值。
目前為止僅討論了如何使用基本的門限值算法,R(k)將隨k的增加而快速增加。因此如果某些路徑?jīng)]有受到攻擊,則這些路徑上的路由器資源就會(huì)造成浪費(fèi)。如果位于S和R(k)之間的路由器可以監(jiān)視通向S的分組數(shù)據(jù)速率,則可以在不影響性能的前提下使情況得到改善。
圖2為圖1中在S和R(3)之間引入了監(jiān)視路由器后的方式。請(qǐng)注意,圖中R(3)所屬的三個(gè)路由器的門限值被取消,因?yàn)樵谶@些路徑上并沒有任何攻擊。
路由器設(shè)置實(shí)現(xiàn)DDoS防御各種考核測(cè)量標(biāo)準(zhǔn)
性能測(cè)量的一個(gè)基本指標(biāo)是門限值能在多大程度上防DDoS攻擊。除了基本指標(biāo),還必須考慮安裝這一機(jī)制的成本。因此,可采用下述評(píng)估標(biāo)準(zhǔn):
1.服務(wù)器中普通用戶的數(shù)量;
2.保護(hù)S時(shí)需要介入的路由器數(shù)量;
3.針對(duì)用戶需求變化的應(yīng)變能力。
一般來講,我們認(rèn)為攻擊者比普通用戶的攻擊性更強(qiáng)。但是某個(gè)惡意的攻擊能使其他大量的主機(jī)參與到惡意攻擊中來,雖然每個(gè)主機(jī)看上去像是一般的普通用戶,但它們加在一起仍然會(huì)造成DDoS攻擊。從本質(zhì)上說,防御此類攻擊比較困難。
在實(shí)際布置此類防護(hù)機(jī)制時(shí)必須遵守幾點(diǎn)要求。首先,必須保證門限值的可靠性,否則,機(jī)制本身就可能成為攻擊點(diǎn)。為了保證可靠性,門限值消息在被邊緣路由器接納到網(wǎng)絡(luò)中時(shí),必須先進(jìn)行驗(yàn)證。第二,必須保證這些消息能夠安全地從發(fā)起點(diǎn)到達(dá)目的點(diǎn)。由于門限值消息的發(fā)送量很小,其鑒權(quán)和傳輸優(yōu)先性應(yīng)該可以接受,而且,由于控制方法必須收到反饋,服務(wù)器可能會(huì)在瞬時(shí)超載,為了確保該調(diào)節(jié)機(jī)制仍能運(yùn)行,可以使用協(xié)處理器或幫助設(shè)備。第三,門限值保護(hù)機(jī)制可能不會(huì)在整個(gè)網(wǎng)絡(luò)中得到支持,但只要受攻擊的路由上有一臺(tái)路由器支持此機(jī)制就行。