DDoS攻击安全综合防范方法综述

目前基于目标计算机系统的防范方法主要三类：网关防范、路由器防范、主机防范。

1.网关防范

网关防范就是利用专门技术和设备在网关上防范DDOS攻击。网关防范主要采用的技术有SynCookie方法、基于IP访问记录的HIP方法、客户计算瓶颈方法等。

SynCookie方法是在建立TCP连接时，要求客户端响应一个数字回执，来证明自己的真实性。SynCookie方法解决了目标计算机系统的半开连接队列的有限资源问题，从而成为目前被最广泛采用的DDOS防范方法，新的SCTP协议和DCCP协议也采用了类似的技术。SynCookie 方法的局限性在于，对于建立连接的每一个握手包，都要回应一个响应包，即该方法会产生1:1的响应流，会将攻击流倍增，极大的浪费带宽资源;此外，当分布式拒绝服务攻击的发起者采用随机源地址时，SynCookie方法产生的回应流的目标地址非常发散，从而会导致目标计算机系统及其周边的路由设备的路由缓冲资源被耗尽，从而形成新的被攻击点，在实际的网络对抗中也产生了真实的路由雪崩事件。

HIP方法采用行为统计方法区分攻击包和正常包，对所有访问IP建立信任级别。当发生DDOS攻击时，信任级别高的IP有优先访问权，从而解决了识别问题。

客户计算瓶颈方法则将访问时的资源瓶颈从服务器端转移到客户端，从而大大提升分布式拒绝服务攻击的代价，例如资源访问定价方法。客户计算瓶颈方法协议复杂，需要对现有操作系统和网络结构进行很大的变动，这也在很大程度上影响了该方法的可操作性。

综上所述，网关防范DDOS技术能够有效缓解攻击压力，适合被攻击者的自身防护。

2.路由器防范

基于骨干路由的防范方法主要有pushback和SIFF方法。但由于骨干路由器一般都有电信运营商管理，较难按照用户要求进行调整;另外，由于骨干路由的负载过大，其上的认证和授权问题难以解决，很难成为有效的独立解决方案。因此，基于骨干路由的方法一般都作为辅助性的追踪方案，配合其他方法进行防范。

基于路由器的ACL和限流是比较有效的防范措施，例如对特征攻击包进行访问限制，发现攻击者IP的包就丢弃;或者对异常流量进行限制等。也可以打开Intercept模式，由路由器代替服务器响应Syn包，并代表客户机建立与服务器的连接。类似一种SynProxy技术，当两个连接都成功实现后，路由器再将两个连接透明合并。

防范技术发展和趋势

DDOS攻击的发展非常快，为增加攻击威力，目前已经采用了许多新攻击技术：伪造数据，消除攻击包特征;综合利用协议缺陷和系统处理缺陷;使用多种攻击包混合攻击;采用攻击包预产生法，提高攻击速率。目前已经出现的攻击工具在单点情况下能发起6-7万个/秒攻击包，足以堵塞一个百兆带宽的大中型网站。

DDOS防范技术主要向攻击追踪、网关防范发展。利用ICMP数据包追踪、或是Burch 和 Cheswick提出的通过标志数据包来追踪的方法，都是目前研究的热点。在骨干网上攻击追踪研究的目标就是，在攻击者刚开始发起攻击时就能定位攻击源，从而阻挡攻击扩散和减轻目标损失。而网关DDOS防范技术将是未来产品发展的重点，将成为各类网站的ddos防护盾牌，目前研究热点的也是利用行为统计等方法区分攻击包，例如方正黑鲨采用的CIP技术等。随着技术的发展，网关DDOS防范产品将得到广泛的应用。

上海云盾信息技术有限公司（YUNDUN），是专注于提供新一代安全产品和服务的创新创业企业。以纵深安全加速，护航数字业务的产品服务理念，替身和隐身的攻防思想，运用大数据、AI、零信任技术架构和健壮的全球网络资源，一站式解决数字业务的应用漏洞、黑客渗透、爬虫Bot、DDoS等安全威胁，满足合规要求，提高用户体验。