一种基于决策的DDoS攻击的阻断系统的设计与实现谭世殊，双锴**510152025303540（北京邮电大学网络技术研究院，北京100876）摘要：分布式拒绝服务攻击由于其发起容易，威力巨大，一直是互联网中最主要的威胁之一，业界针对此类攻击目前没有可行的防御方案。完美的防御DDoS攻击的方案是在攻击源头进行遏制，但是互联网无状态和无认证的特性使得追踪数据源头非常困难。本文提出了一种结合了入侵检测技术、IP溯源技术和分布式包过滤技术的阻断方案，能够实现在靠近攻击源进行阻断，是攻击流无法进入到互联网中，从而有效的防御DDoS攻击。该方案具有响应快、路由器负载低、网络开销小等特点。关键词：DDoS；分布式拒绝服务攻击；入侵检测；IP溯源；分布式包过滤；：TP309.2DesignandImplementaionofADecision-BasedBlockingSystemforDistributedDenialofServiceAttacktanshishu,shuangkai(InstituteofNetworkTechnology,Bei激ngUniversityofPostsandTelecommunications,Bei激ng100876)Abstract:Adistributeddenial-of-service(DDoS)attackisoneinwhichamultitudeofcompromisedsystemsattackasingletarget,therebycausingdenialofserviceforusersofthetargetedsystem.Thefloodofincomingmessagestothetargetsystemessentiallyforcesittoshutdown,therebydenyingservicetothesystemtolegitimateusers.DDoSattackiseasytobelaunchedandhasenormousdamagetothevictimswhichmakestheDDoSattackbecomethemainthreatoftheINTERNET.Thereisn'tafeasibIeapproachtodeaIwithDDoSattackwithintheentireINTERNETuptonoInthispaper,wedesignedandimplementedablockingsystemtodefendtheDDoSattack.Thesystem,whichconsistsofIntrusionDetectionSystem(IDS),IPTracebackanddistributedfilteringsystem.Wedeploythesystemintoatestingnetwork,simulatetheattackenvironmentandverifytheoveralldefensecapabilityoftheimplementedsystem.(10Points,NewRoman)Keywords:DDoS;DDoSAttack;IntrusionDetection;IPTraceback;DistributedPacketFiltering0引言互联网的发展速度在进两个十年非常快，互联网已经渗透到生活中的方方面面，从购物到通信，从工作到娱乐等等，互联网已经成为一些人生活中不可或缺的部分，思科在全球的一项调查显示[1]，对于三分之一的网民来说，互联网对他们而言就如同水、食物、空气和住所一样重要。互联网极大的改变了人们的生活，给我们的生活带来了极大的乐趣和便利。但是，互联网带来的也不全是好处，也存在潜在的风险。互联网存在大量的安全问题，网站后门、网络钓鱼、移动互联网恶意程序、拒绝服务攻击等等，这些安全问题给互联网的企业和个人用户带来大量的损失，在我们享受互联网带来的乐趣的同时，我们也必须对互联网的安全给予足够的重视。作者简介：谭世殊（1989-），男，北京邮电大学硕士研究生，网络安全通信联系人：双铠（1977-），男，副教授，主要研究方向：下一代网络.shuangk@bupt.edu-1-根据中国国家计算机网络应急技术处理中心发布的《2012年我国互联网网络安全态势综述》[2],拒绝服务攻击仍然是影响互联网运行安全最主要的威胁之一。DOS(拒绝服务的攻击)方式有很多种，最基本的就是利用合理的服务请求来占用过多的服务资源，从而使合法455055用户无法获得服务的响应。DDoS（分布式拒绝服务攻击）是在传统的DoS攻击基础之上产生的一类攻击方式，它是一种大范围、协作式的攻击方式，通过直接或者间接控制网络上的计算机，对一个后者多个受害者发起DoS攻击，从而成倍的提高攻击的威力[3]。DDoS具体可以分为两种类型：带宽消耗型和资源消耗型[4]。带宽消耗型的目的是通过发送大量的流量至受害者，目的在于拥塞其带宽。资源消耗型通过伪造大量合法的请求至受害者，消耗受害者的计算或者内存资源，使受害者无法响应正常的请求。分布式拒绝服务攻击具有种类繁多、实施容易以及攻击流量和正常流量难于区分的特点，使得防御分布式拒绝服务攻击变得非常难以防御。此外，IP网络的无认证的特性使得伪造源地址很容易，所以查找攻击源头非常困难。文章通过结合入侵检测技术、IP...