防范DDoS的路由器转发层面措施.doc

防范 DDoS的路由器转发层面措施肖 敏(绵阳师范学院物理与电子工程学院, 四川绵阳   621000)摘   要:   介绍了  DD oS攻击以及针对路由器的 DD oS攻击的原理, 分析了目前  DDoS攻击研究现状 和业界针对路由器防范  DD oS攻击的常规做法, 提出 了一种在控制面结合网络处理器和 流量管理 的 DD oS的 防御手段: 在路由器转发面上通过对控制消息和协议 报文的分离处理来保证控制消息和路由信息更新 不受恶意攻 击报文的 影响, 通过协议报文的分类和优先 级的区分来保证重要报文的调度。关键词: DD oS;   网络处理器;   流量管理;   分离中图分类号: T P393 文献标识码 :   A 文章编号: 1672-612x( 2010) 02-0084-040   引言DDoS( 分布式拒绝服务 ) 是一种基于  DoS(拒绝服务 )的分布和协作的大规模攻击方式。它并非针对主机或网络设备的漏洞进行攻击, 而是利用网络上数量众多的傀儡机向同一目标发送大量数据包, 以达到消耗目标网络或者主机资源使合法用户被拒绝服务的目的[  1]。1   研究现状由于   IP 网络的开放性, 各种网络设备也成为  DDoS攻击的对象。由于路由器需要对用户报文进行较深入的分析处理, 也易于遭受攻击, 而路由器所处的网络位置较高, 因此对路由器的攻击造成的网络故障也具有更大的破坏性。路由器通常是嵌入式系统, 自身对外开放的业务和服务非常有限, 针对路由器的  DDoS攻击通常有两种: 一种是针对性的  DDoS攻击。这种攻击首先通过对设备进行服务端口扫描或利用公认开放的各种服务端口, 采用  TCP SYN  F lood、TCP RST  F lood、P i ng F lood等各种具有明确到攻击目标的目的地址的报文对设备的服务端口发起大量的攻击报文, 致使设备相关资源被大量消耗, 无法对正常的用户提供服务; 另一种是利用各种机制中的漏洞, 如  TTL =  1报文、ARP /RARP报文、广播报文、组播报文上送等协议机制漏洞, 发起大量不具有明确的攻击目标的报文, 这种方式同样可以造成路由器的  CPU 资源被大量消耗, 从而影响正常服务的提供。由于各种  DDoS攻击层出不穷, 难于防范, 而路由器设备的智能能力有限, 对攻击的防护手段不多, 目前  DDoS攻击是路由器面临的最大安全威胁[ 2]。和基于包过滤的方法。基于验证的方法以  Capab ilities,   I3 等为代表, 其主要原理是在发送方和接受方之DDoS研究人员提出多种防范方法, 其分类机制较为多样化。按照功能特征可以分为基于验证的方法[ 3]间建立认证机制; 基于包过滤的方法主要原理则是根据检测到的网络拥塞程度, 通过实现响应机制丢弃攻击包来进行速率限制, 从而减弱  DDoS对攻击目标的破坏。代表有   ( Local Aggregated-  based Conges-t ion Con tro l)和  Pushback等机制[ 4]。在转发面和控制面分离的路由器上, 针对路由器的  DDoS攻击, 其主要对象是控制面上的  CPU。现阶段业界通常采用在转发面上实现访问控制列表 ( ACL ) , 单播反向路径转发 ( uRPF