设定路由器门限值 预防DDoS入侵(1)

目前为止仅讨论了如何使用基本的门限值算法，R(k)将随k的增加而快速增加。因此如果某些路径没有受到攻击，则这些路径上的路由器资源就会造成浪费。如果位于S和R(k)之间的路由器可以监视通向S的分组数据速率，则可以在不影响性能的前提下使情况得到改善。

图2为图1中在S和R(3)之间引入了监视路由器后的方式。请注意，图中R(3)所属的三个路由器的门限值被取消，因为在这些路径上并没有任何攻击。

四、考核测量标准

性能测量的一个基本指标是门限值能在多大程度上防DDoS攻击。除了基本指标，还必须考虑安装这一机制的成本。因此，可采用下述评估标准：

1．服务器中普通用户的数量;

2．保护S时需要介入的路由器数量;

3．针对用户需求变化的应变能力。

一般来讲，我们认为攻击者比普通用户的攻击性更强。但是某个恶意的攻击能使其他大量的主机参与到恶意攻击中来，虽然每个主机看上去像是一般的普通用户，但它们加在一起仍然会造成DDoS攻击。从本质上说，防御此类攻击比较困难。

在实际布置此类防护机制时必须遵守几点要求。首先，必须保证门限值的可靠性，否则，机制本身就可能成为攻击点。为了保证可靠性，门限值消息在被边缘路由器接纳到网络中时，必须先进行验证。第二，必须保证这些消息能够安全地从发起点到达目的点。由于门限值消息的发送量很小，其鉴权和传输优先性应该可以接受，而且，由于控制方法必须收到反馈，服务器可能会在瞬时超载，为了确保该调节机制仍能运行，可以使用协处理器或帮助设备。第三，门限值保护机制可能不会在整个网络中得到支持，但只要受攻击的路由上有一台路由器支持此机制就行。

上一页  [1] [2]