路由器設定實現DDoS防禦詳解

2021-12-30 08:59:21 字數 2605 閱讀 4680

路由器設定實現ddos防禦的操作是什麼呢?首先我們要認識到做好ddos防禦之前我們要明白ddos攻擊的原理是什麼,然後我們針對原因逐一分析並採取措施。

一、路由器設定實現ddos防禦之ddos攻擊原理討論

在分布式「拒絕服務」(ddos)的攻擊過程中,一群惡意的主機或被惡意主機感染的主機將向受攻擊的伺服器傳送大量的資料。在這種情況下,靠近網路邊緣的網路節點將會變得資源枯竭。原因有二:一是靠近伺服器的節點通常在設計時只要求處理少量的使用者資料; 二是由於資料在網路核心區的聚集使處於邊緣的節點會接收更多的資料。此外,伺服器系統本身也很容易受到攻擊,在極度超載的情況下會癱瘓。

ddos攻擊被視為一種資源管理問題。本文的目的就是要保護伺服器系統在全域性性網路中不會收到過量的服務請求。當然,這種機制也可以很容易地變為對網路節點的保護。為此,必須採取一種預防性措施:在攻擊性資料報聚集到使伺服器癱瘓之前,在傳送路徑上的路由器中對流量進行調節,避免攻擊的發生。具體實現機制是要在與伺服器有數級距離的上游路由器上設定門限值,只有在這個門限值以內的資料量可以通過路由器,而其他資料將被放棄或路由至其他路由器。

這種防禦系統中的乙個主要因素是各個路由點輸出「適當」的資料量。「適當」必須視當時的需求分配而定,因此伺服器與網路之間要進行動態協商。本文中的協商方法由伺服器(s)發起,如果伺服器在低於設計容量(us)的情況下執行,則不需要設定門限值;如果伺服器的負載(ls)超過了設計容量,則可以在伺服器的上游設定門限值來進行自我保護。此後,如果當前的門限值不能使s的負載低於us,則應降低門限值;反之,如果ls《 us,則應公升高門限值;如果門限值的公升高沒有使負載在監視期內明顯增加,則可以取消門限值。控制演算法的目標就是將伺服器的負載控制在[ls,us]範圍之內。

很顯然,不可能要求保留所有網路伺服器的狀態資訊,因為這樣會造成狀態資訊**。但按需求選擇保護機制是可行的,這一觀點是基於ddos攻擊是一種個別現象而非普遍情況的假設。在任何時間段內,我們認定只有少數的網路受到攻擊,大部分網路在「健康」狀態下執行。此外,惡意攻擊者通常選擇那些訪問使用者最多的「主要站點」攻擊,這些站點就可以利用以下的網路結構來保證自身的安全。

二、路由器設定實現ddos防禦之系統的模式討論

本文提及的所有資料量和伺服器負載量的單位均為 kbps。系統網路拓撲圖如圖1所示。本文給出了網路模型g=(v,e),其中v代表一系列節點,e表示邊緣。所有的葉狀節點均為主機和資料**。內部節點為路由器,路由器不會產生資料但可以接收來自主機的資料或**來自其他路由器的資料。r表示內部路由節點,所有的路由器均假設是可以信任的。主機h=v-r,被分為普通的正常使用者hg和惡意使用者ha,e是網路鏈路模型,預設為雙向。

葉形節點v被當作目標伺服器s。正常使用者以[0,rg]的速度將資料報傳送到s。惡意攻擊者則以[0,ra]的速度向s傳送資料報,從原則上講可以根據使用者通常如何訪問s(假設rg《 《 us)來為rg設定乙個合理的水平,但ra的取值很難確定,實際上ra的值大大高於rg。

當s受到攻擊時,它會啟動前面談到的門限值防護機制。為了便於表示,假設乙個超載的伺服器仍然能夠啟動防護機制,因此沒有必要在每台路由器上均設定門限值。r(k)表示與s相距k層的路由器或短於k層的路由器,但它們均直接與主機相連。

圖中的方塊節點表示主機,圓形節點代表路由器。最左側的主機為目標伺服器s,r(3)中的路由器為圖中綠色的部分,請注意r(3)中最下層的路由器與s只相隔兩層,之所以將其包括在內是因為它與主機直接相連。

三、路由器設定實現ddos防禦之路由器門限值演算法

在圖1的例子中,令每台主機上的數字(s除外)減去當前主機向s傳送資料的速率。設ls=18且us=22,發往s的負載超出了us,因此將在s處啟動門限值。演算法執行結束之後,s確定門限值為6.25並將此速率定製到r(3)的各個路由器中。在圖1中路由器上方的數字表示到達s的資料速率,下方括號中的數字表示資料傳遞的速率(經過調節後的)。經過調節後s處的負載限制到了20.53,r(3)中經過調節的速率是伺服器負載的公平值。

目前為止僅討論了如何使用基本的門限值演算法,r(k)將隨k的增加而快速增加。因此如果某些路徑沒有受到攻擊,則這些路徑上的路由器資源就會造成浪費。如果位於s和r(k)之間的路由器可以監視通向s的分組資料速率,則可以在不影響效能的前提下使情況得到改善。

圖2為圖1中在s和r(3)之間引入了監視路由器後的方式。請注意,圖中r(3)所屬的三個路由器的門限值被取消,因為在這些路徑上並沒有任何攻擊。

四、路由器設定實現ddos防禦各種考核測量標準

效能測量的乙個基本指標是門限值能在多大程度上防ddos攻擊。除了基本指標,還必須考慮安裝這一機制的成本。因此,可採用下述評估標準:

1.伺服器中普通使用者的數量;

2.保護s時需要介入的路由器數量;

3.針對使用者需求變化的應變能力。

一般來講,我們認為攻擊者比普通使用者的攻擊性更強。但是某個惡意的攻擊能使其他大量的主機參與到惡意攻擊中來,雖然每個主機看上去像是一般的普通使用者,但它們加在一起仍然會造成ddos攻擊。從本質上說,防禦此類攻擊比較困難。

在實際布置此類防護機制時必須遵守幾點要求。首先,必須保證門限值的可靠性,否則,機制本身就可能成為攻擊點。為了保證可靠性,門限值訊息在被邊緣路由器接納到網路中時,必須先進行驗證。第二,必須保證這些訊息能夠安全地從發起點到達目的點。由於門限值訊息的傳送量很小,其鑑權和傳輸優先性應該可以接受,而且,由於控制方法必須收到反饋,伺服器可能會在瞬時超載,為了確保該調節機制仍能執行,可以使用協處理器或幫助裝置。第三,門限值保護機制可能不會在整個網路中得到支援,但只要受攻擊的路由上有一台路由器支援此機制就行。

路由器詳解

路由器 router 是連線網際網路中各區域網 廣域網的裝置,它會根據通道的情況自動選擇和設定路由,以最佳路徑,按前後順序傳送訊號。路由器是網際網路絡的樞紐,交通警察 目前路由器已經廣泛應用於各行各業,各種不同檔次的產品已成為實現各種骨幹網內部連線 骨幹網間互聯和骨幹網與網際網路互聯互通業務的主力軍...

路由器詳解

quagga由四個元件組成 zebra 對每乙個路由協議單獨使用守護程序,用來更新核心路由表 ripd bgpd ospfd 三個路由程序守護協議程序,把動態路由協議學習到路由資訊交給zebra守護程序 zebra與kernel routed互動,把路由資訊給kernel,核心根據路由協議守護程序 ...

路由器怎麼設定對映? 路由器對映設定

如果你想在自己電腦上放置乙個 郵箱系統,而又想別人在外網就可以訪問你的伺服器,那麼出了在電腦上安裝伺服器軟體,還要在路由器上面設定對映。那麼路由器怎麼設定對映?本文就為大家介紹路由器對映設定方法,希望對大家有所幫助。工具路由器乙個 連線路由的電腦 路由器對映設定方法 1 首先開啟路由器 這裡以tp為...