分布式拒绝服务(DDoS)攻击的前身是由拒绝服务(DoS)攻击进化而来的分布式版本。拒绝服务(DoS)攻击是一种利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其它合法用户请求的网络攻击方式,通常由单一主机发起。而分布式拒绝服务攻击则是由位于Internet上不同域内的多个主机发起,每个主机采用单一DoS攻击方法的大规模攻击方式,在Internet日益普及的今天,呈现出越来越严重的危害性。 拒绝服务发:生的本质在于Internet上的各种资源都是有限的。作为Internet基础的TCP/IP协议很好地体现了“尽最大努力服务”和“端到端机制”原则,然而,当“端到端机制”中的一方不怀好意蓄意去攻击另一方时,“尽最大努力服务”只会加速拒绝服务的产生。因此,Internet的设计之初就存在拒绝服务的安全隐患。 与采用单一攻击者和被攻击者的Dos攻击不同,DDoS攻击采用三层攻击体制。分别是发起攻击的“攻击者”,发送攻击指令的“控制傀儡机”和直接参与攻击的“攻击傀儡机”。三层攻击体制中的攻击者是攻击的发起者,由它完成最初的扫描和入侵过程,俘获一定数量的傀儡机,这些俘获的傀儡机再被划分为控制傀儡机和攻击傀儡机,最终完成攻击过程。 DDoS的防御面临技术和社会方面的挑战。技术方面的挑战来源于DDoS攻击本身的复杂性,而社会方面的挑战则在于成功的防御需要牵涉到Internet各方面的利益。当前主要的防御方法分为自治式和分布式防御,其中自治式防御中的源端防御由于靠近攻击源,因而具有避免拥塞、间接损害较小、便于攻击回溯和应用复杂的检测方法等诸多优点,成为当今流行的防御方法。 本文提出一种DDoS自适应源端防御(DASEND)方法,通过设置在源端路由器上的自适应源端检测和响应系统,对通过源端路由器的流量从流和连接两个粒度来