分布式拒絕服務(wù)攻擊與防御技術(shù)綜述

◆程杰仁 鄧奧藍(lán) 唐湘滟

（海南大學(xué)信息科學(xué)技術(shù)學(xué)院 海南 571101）

分布式拒絕服務(wù)攻擊與防御技術(shù)綜述

◆程杰仁 鄧奧藍(lán) 唐湘滟

（海南大學(xué)信息科學(xué)技術(shù)學(xué)院 海南 571101）

分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊防御技術(shù)是網(wǎng)絡(luò)空間安全領(lǐng)域研究的難點(diǎn)和熱點(diǎn)。本文根據(jù)攻擊發(fā)生的網(wǎng)絡(luò)層次將DDoS攻擊技術(shù)分為網(wǎng)絡(luò)層/傳輸層的DDoS攻擊和應(yīng)用層DDoS攻擊，從攻擊的自動(dòng)化程度、漏洞利用情況、攻擊源網(wǎng)絡(luò)、攻擊速率以及受害者類型等六個(gè)方面分析了兩類攻擊的主要特點(diǎn)。為了便于應(yīng)用部署各種防御技術(shù)，針對(duì)攻擊防御節(jié)點(diǎn)部署位置將現(xiàn)有的網(wǎng)絡(luò)層/傳輸層的DDoS攻擊的防御技術(shù)分成基于源的檢測(cè)技術(shù)、基于網(wǎng)絡(luò)的檢測(cè)技術(shù)、基于目標(biāo)的防御技術(shù)和混合技術(shù)等四類；將應(yīng)用層的DDoS攻擊的防御技術(shù)分成基于目標(biāo)的技術(shù)和混合技術(shù)兩類，分析了現(xiàn)有的DDoS防御方法，并提出了DDoS 攻擊防御技術(shù)的未來發(fā)展趨勢(shì)和相關(guān)技術(shù)難點(diǎn)。

網(wǎng)絡(luò)安全；分布式拒絕服務(wù)；防御技術(shù)；僵尸網(wǎng)絡(luò)

0 引言

互聯(lián)網(wǎng)互聯(lián)著數(shù)十億臺(tái)電腦、平板電腦和智能手機(jī)，提供了一個(gè)全球性的通信、存儲(chǔ)和計(jì)算基礎(chǔ)設(shè)施[1]。人們對(duì)互聯(lián)網(wǎng)高度依賴，而攻擊者利用互聯(lián)網(wǎng)的弱點(diǎn)來破壞它[2，3]。DDoS攻擊是一種協(xié)同大量攻擊源向攻擊目標(biāo)發(fā)送大量無用的攻擊報(bào)文以使攻擊目標(biāo)產(chǎn)生拒絕服務(wù)的攻擊。攻擊者先識(shí)別網(wǎng)絡(luò)中的漏洞，用來在多臺(tái)機(jī)器上安裝惡意軟件程序?qū)崿F(xiàn)控制。然后，攻擊者不需要了解攻擊目標(biāo)，便可以使用這些被攻擊的主機(jī)向受害者發(fā)送攻擊數(shù)據(jù)包。DDoS攻擊者的目的就是破壞網(wǎng)絡(luò)，使得受害者不能為合法用戶提供任何服務(wù)。攻擊者通常需要遵循以下四個(gè)基本步驟：（1）掃描網(wǎng)絡(luò)進(jìn)行信息收集，找到易受攻擊的主機(jī)，然后使用它們發(fā)動(dòng)攻擊；（2）通過破壞主機(jī)，在被攻擊的主機(jī)上（稱為僵尸）安裝惡意軟件和惡意程序，使它們只能由攻擊者控制；（3）發(fā)動(dòng)攻擊命令，向受害者發(fā)送指定強(qiáng)度的攻擊數(shù)據(jù)包；（4）進(jìn)行清理，從內(nèi)存中刪除所有的記錄或歷史文件。由于DDoS攻擊仍然是最常見且最具破壞性的攻擊之一，因此DDoS攻擊的防御引起了工業(yè)界和學(xué)術(shù)界的廣泛關(guān)注。

本文綜述了DDoS攻擊與防御技術(shù)的進(jìn)展。本文第二節(jié)介紹了DDoS攻擊的分類；第三節(jié)闡述了DDoS攻擊的防御技術(shù)的分析；第四節(jié)對(duì)DDoS攻擊及其防御技術(shù)的未來研究方向進(jìn)行了展望；第五節(jié)總結(jié)全文。

1 DDoS攻擊技術(shù)的分類

DDoS攻擊者為了發(fā)起攻擊通常會(huì)建立僵尸網(wǎng)絡(luò)，如GTbot[4]，Asprox[5]，RBot[6]，Spybot[7]，Waledac[8]，Torpig[9]，F(xiàn)esti[10]，TDL-4[11]等。本節(jié)根據(jù)攻擊發(fā)生的網(wǎng)絡(luò)層次將DDoS攻擊技術(shù)分為網(wǎng)絡(luò)層/傳輸層的DDoS攻擊和應(yīng)用層DDoS攻擊[12]。

（1）網(wǎng)絡(luò)層/傳輸層的DDoS攻擊。這類攻擊大多使用了TCP、UDP、ICMP和DNS協(xié)議的數(shù)據(jù)包，通過耗盡受害人的網(wǎng)絡(luò)帶寬，集中破壞合法用戶的連接[12]。

（2）應(yīng)用層DDoS攻擊。這類攻擊通過耗盡服務(wù)器資源（例如套接字、處理器、內(nèi)存、磁盤/數(shù)據(jù)庫帶寬、輸入/輸出帶寬），專注于破壞合法用戶的服務(wù)[13]。

在過去的十年中，DDoS攻擊的規(guī)模和頻率都大幅上升，攻擊者利用僵尸網(wǎng)絡(luò)技術(shù)和其他的最新高速互聯(lián)網(wǎng)接入技術(shù)消耗其攻擊目標(biāo)的資源。Igure等人[14]為計(jì)算機(jī)系統(tǒng)中的攻擊和漏洞做了分類。Arbor第八屆全球基礎(chǔ)設(shè)施安全報(bào)告報(bào)道了2005（10 Gbps）到2010（100 Gbps）期間，最大的DDoS攻擊的大小增長了10倍。由于DDoS攻擊急劇的增長，網(wǎng)絡(luò)安全防御者必須重點(diǎn)防御網(wǎng)絡(luò)層/傳輸層的DDoS攻擊和應(yīng)用層DDoS攻擊。

1.1 網(wǎng)絡(luò)層/傳輸層的DDoS攻擊特點(diǎn)

這種類型的攻擊的主要目標(biāo)是通過發(fā)送大量的攻擊流量淹沒由服務(wù)器、路由器和交換機(jī)網(wǎng)絡(luò)組成的基礎(chǔ)設(shè)施。這些攻擊可以利用協(xié)議的漏洞來產(chǎn)生。網(wǎng)絡(luò)層/傳輸層的攻擊可以根據(jù)自動(dòng)化程度、漏洞利用、使用的網(wǎng)絡(luò)攻擊的類型、攻擊速率、受害者的類型和攻擊的影響等方面進(jìn)一步分析各種網(wǎng)絡(luò)層/傳輸層攻擊類型。

（1）自動(dòng)化程度。DDoS攻擊者可以嘗試手動(dòng)，自動(dòng)或半自動(dòng)的執(zhí)行網(wǎng)絡(luò)層，傳輸層和應(yīng)用層DDoS攻擊。在手動(dòng)攻擊中，攻擊者通過掃描網(wǎng)絡(luò)來安裝惡意程序，從而收集主機(jī)上的漏洞信息。這些被攻擊的主機(jī)隨后被用來響應(yīng)手動(dòng)指令以發(fā)送攻擊數(shù)據(jù)包到受害者機(jī)器。在自動(dòng)網(wǎng)絡(luò)層/傳輸層攻擊的情況下，攻擊者和被入侵的機(jī)器之間不存在直接通信。根據(jù)預(yù)先指定的攻擊開始時(shí)間、攻擊的類型、持續(xù)時(shí)間和受損機(jī)器的源IP，這種攻擊會(huì)自動(dòng)啟動(dòng)。半自動(dòng)攻擊介于上述兩類之間，攻擊目標(biāo)的地址、攻擊類型和攻擊持續(xù)時(shí)間在攻擊發(fā)生時(shí)手動(dòng)指定。

（2）漏洞利用。網(wǎng)絡(luò)中的各種類型的漏洞被攻擊者用來發(fā)起特定攻擊，包括利用所使用協(xié)議的漏洞，如TCP，UDP，ICMP，HTTP，F(xiàn)TP和TELNET等協(xié)議漏洞。這些漏洞可能會(huì)導(dǎo)致諸如泛洪、放大或畸形報(bào)文的攻擊，即使用大量的網(wǎng)絡(luò)流量淹沒受害者機(jī)器的服務(wù)。

（3）攻擊源網(wǎng)絡(luò)。在這個(gè)類型的攻擊中，攻擊者可以使用或租用被攻擊的機(jī)器組成的網(wǎng)絡(luò)來發(fā)動(dòng)網(wǎng)絡(luò)層/傳輸層DDoS攻擊。攻擊網(wǎng)絡(luò)可以分為幾種類型，如代理處理器、IRC網(wǎng)絡(luò)及P2P網(wǎng)絡(luò)。在代理處理器的情況下，攻擊者控制了處理器之后，它使用代理向受害網(wǎng)絡(luò)發(fā)送攻擊流量。IRC網(wǎng)絡(luò)類型包含了大量被稱為“僵尸”的被攻擊的節(jié)點(diǎn)，這些節(jié)點(diǎn)連接起來形成被叫做僵尸網(wǎng)絡(luò)的網(wǎng)絡(luò)，由一個(gè)僵尸主控機(jī)控制。在P2P網(wǎng)絡(luò)中，每個(gè)節(jié)點(diǎn)都能夠直接與網(wǎng)絡(luò)中的其他節(jié)點(diǎn)進(jìn)行通信。在這個(gè)網(wǎng)絡(luò)中，不存在集中控制技術(shù)。

（4）攻擊速率。網(wǎng)絡(luò)層或傳輸層的DDoS攻擊可以通過各種攻擊速率啟動(dòng)。它可以是恒定的速率，增長的速率或可變的速率[15]。在一個(gè)恒定的速率攻擊中，攻擊者通常在有限的范圍內(nèi)進(jìn)行微小的變化，以一個(gè)穩(wěn)定的速率發(fā)送攻擊流量到受害端。在增長的攻擊速率中，傳入受害者端的攻擊流量逐漸或急劇增加，并一直持續(xù)下去直到信道的帶寬被完全占用。這樣的攻擊類型可以很容易地檢測(cè)到。再者，在一個(gè)可變速率的攻擊中，如脈沖式攻擊的情況下，攻擊流量通常反復(fù)由幾個(gè)巨大的定期或不定期地短時(shí)間的突發(fā)數(shù)據(jù)組成。這種攻擊類型的一個(gè)重要特征是脈沖的振幅和高度可以是恒定的或隨機(jī)的。第四種類型，即一個(gè)分組的攻擊是可變速率網(wǎng)絡(luò)層/傳輸層的DDoS攻擊的一個(gè)變種，是脈沖和恒定速率攻擊類型的組合。

（5）受害者類型。根據(jù)受害者的類型，如主機(jī)、主機(jī)網(wǎng)絡(luò)、資源或應(yīng)用程序，攻擊者可以采取各種行動(dòng)，發(fā)動(dòng)網(wǎng)絡(luò)層或傳輸層的DDoS攻擊。

（6）影響。在一個(gè)網(wǎng)絡(luò)層或傳輸層的DDoS攻擊中，根據(jù)攻擊流量的使用量，對(duì)受害者的機(jī)器或網(wǎng)絡(luò)的損傷程度可以有所不同。這是由于DDoS攻擊的破壞性或使性能下降所造成的影響。

1.2 應(yīng)用層的DDoS攻擊特點(diǎn)

應(yīng)用層DDoS攻擊通常是針對(duì)HTTP協(xié)議的，目標(biāo)是耗盡Web服務(wù)器有限可用的資源。相比網(wǎng)絡(luò)層/傳輸層的攻擊，這些攻擊消耗較低的帶寬。攻擊者通常自定義的指定一個(gè)特定的web應(yīng)用程序，通過發(fā)送請(qǐng)求來占用受影響的網(wǎng)絡(luò)的內(nèi)部資源。這些攻擊者只需要有限的網(wǎng)絡(luò)連接就能完成它們的惡意設(shè)計(jì)。通常情況下，這種攻擊并不容易識(shí)別，因?yàn)樗鼈兛雌饋眍愃朴诤戏髁?，而且它的業(yè)務(wù)量也不是太大。檢測(cè)這種類型的DDoS攻擊很困難，背后有三個(gè)主要原因[16]，（1）攻擊中，合法的TCP和UDP連接的使用，使得很難區(qū)分出它是否為非法的流量。（2）效率，只需要較少的連接來成功地啟動(dòng)一個(gè)攻擊，使它效率很高。（3）致命性，它可以迅速的淹沒服務(wù)器的資源，導(dǎo)致拒絕服務(wù)而不管主機(jī)的硬件的能力如何。如網(wǎng)絡(luò)層/傳輸層攻擊一樣，應(yīng)用層攻擊也可以根據(jù)自動(dòng)化程度、漏洞利用、網(wǎng)絡(luò)攻擊類型、攻擊速率、受害者的類型和攻擊的影響等方面進(jìn)一步分析各種應(yīng)用層攻擊類型。

（1）自動(dòng)化程度。攻擊可以是手動(dòng)的，也可以是半自動(dòng)的，這取決于攻擊時(shí)所使用的自動(dòng)化程度。當(dāng)手動(dòng)DDoS攻擊主要集中在應(yīng)用層上時(shí)，確定易受攻擊的主機(jī)被攻擊后，攻擊者通過指揮控制并執(zhí)行應(yīng)用程序。另一方面，在半自動(dòng)的DDoS攻擊中，識(shí)別受害機(jī)器后，攻擊者手動(dòng)指定攻擊速度，攻擊類型和攻擊持續(xù)時(shí)間。攻擊的產(chǎn)生仍然是靠自動(dòng)使用受到攻擊的主機(jī)。雖然自動(dòng)的應(yīng)用層DDoS攻擊是不常見的，但是在自動(dòng)執(zhí)行的惡意代碼的幫助下生成攻擊流量是可能的。

（2）利用漏洞。應(yīng)用層DDoS攻擊是利用協(xié)議的弱點(diǎn)，比如針對(duì)服務(wù)器或主機(jī)的HTTP，F(xiàn)TP和TELNET協(xié)議。這類DDoS攻擊的一些常見的例子是會(huì)話泛洪和請(qǐng)求泛洪。在一個(gè)會(huì)話泛洪攻擊中，攻擊者的目的是以比正常用戶更高的速度發(fā)送會(huì)話，導(dǎo)致受害服務(wù)器發(fā)生故障。而在請(qǐng)求泛洪中，攻擊者以高于正常用戶的速度發(fā)送大量的請(qǐng)求數(shù)據(jù)包給受害機(jī)器，從而破壞機(jī)器。

（3）攻擊源網(wǎng)絡(luò)。在應(yīng)用層DDoS攻擊中，攻擊者也可以通過創(chuàng)建或租用一個(gè)受害網(wǎng)絡(luò)來發(fā)動(dòng)攻擊。這樣的網(wǎng)絡(luò)攻擊通常有三種類型，即代理處理器網(wǎng)絡(luò)、RC網(wǎng)絡(luò)和P2P網(wǎng)絡(luò)。不像代理處理器和IRC架構(gòu)，在P2P網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)都可以與網(wǎng)絡(luò)中的任何節(jié)點(diǎn)通信。攻擊者的目的是欺騙大量的客戶機(jī)運(yùn)行P2P軟件來從DDoS攻擊的目標(biāo)中請(qǐng)求一個(gè)文件，從而用流量淹沒目標(biāo)地址。

（4）攻擊速率。像網(wǎng)絡(luò)層/傳輸層的DDoS攻擊，根據(jù)隨時(shí)間推移所產(chǎn)生的流量模式，HTTP GET泛洪攻擊流量也可以有幾種類型。一般來說有四種不同的類型：①增長率，隨著時(shí)間的推移，攻擊率逐漸增加；②偽隨機(jī)泛洪，攻擊者試圖通過隨機(jī)的改變流量強(qiáng)度來淹沒受害者；③狡猾的攻擊者通過周期性地發(fā)送HTTP GET脈沖請(qǐng)求，而不是通過流量的增加率或隨機(jī)變化的大量請(qǐng)求流量來發(fā)動(dòng)攻擊；④爆炸泛洪，這是由持續(xù)很長時(shí)間的高容量流量發(fā)起的攻擊請(qǐng)求。

（5）受害者類型。在應(yīng)用層攻擊過程中，攻擊者可以選擇任何服務(wù)器，例如Web服務(wù)器，組織的郵件服務(wù)器，網(wǎng)絡(luò)中的任何主機(jī)或者流行的網(wǎng)站都可以成為攻擊的受害者。使用HTTP GET或POST泛洪請(qǐng)求，攻擊者可能會(huì)破壞服務(wù)器或者使一個(gè)網(wǎng)站關(guān)閉。

（6）影響。應(yīng)用級(jí)的泛洪攻擊可能會(huì)試圖耗盡服務(wù)器的資源，從而無法為合法客戶端提供服務(wù)。這樣的應(yīng)用層DDoS攻擊在退化攻擊中產(chǎn)生破壞。攻擊者試圖讓服務(wù)器宕機(jī)，使其性能下降。

2 DDoS攻擊防御技術(shù)的分類

自從雅虎、亞馬遜等知名網(wǎng)站經(jīng)歷了2000年的DDoS攻擊后，研究人員便提出了一些方法試圖削弱DDoS攻擊。文獻(xiàn)中已經(jīng)提出了DDoS攻擊的防御技術(shù)的幾個(gè)分類[17-19]。本節(jié)依據(jù)DDoS攻擊發(fā)生網(wǎng)絡(luò)層次將目前DDoS攻擊防御技術(shù)分成網(wǎng)絡(luò)層/傳輸層DDoS攻擊防御技術(shù)和應(yīng)用層DDoS攻擊防御技術(shù)兩類，并根據(jù)攻擊防御節(jié)點(diǎn)部署位置對(duì)兩種防御技術(shù)進(jìn)一步細(xì)分，以便應(yīng)用部署各種防御技術(shù)。

2.1 網(wǎng)絡(luò)層/傳輸層DDoS攻擊防御技術(shù)

網(wǎng)絡(luò)層/傳輸層的DDoS攻擊的防御技術(shù)根據(jù)部署位置可以分為下面四類[17]。

（1）基于源的檢測(cè)技術(shù)?；谠吹臋z測(cè)技術(shù)是被部署在攻擊源的附近，防止網(wǎng)絡(luò)客戶產(chǎn)生DDoS攻擊[17]?；谠醇夹g(shù)的例子包括入口/出口過濾，它是在有效的IP地址范圍內(nèi)的網(wǎng)絡(luò)[20]和源地址有效性強(qiáng)制執(zhí)行（SAVE）協(xié)議的源邊緣路由器上的偽造IP地址過濾包[21]。

（2）基于網(wǎng)絡(luò)的檢測(cè)技術(shù)。這些技術(shù)被部署在網(wǎng)絡(luò)內(nèi)，而且主要是在路由器的自治系統(tǒng)中（ASs）。一般有兩類的DDoS攻擊檢測(cè)技術(shù)。第一類被稱為DDoS攻擊特定檢測(cè)。在局域網(wǎng)路由器上采用流量熵來監(jiān)測(cè)網(wǎng)絡(luò)流量來檢測(cè)局域網(wǎng)中獨(dú)立的DDoS攻擊，當(dāng)流量熵在短時(shí)間內(nèi)快速下降時(shí)，提高對(duì)潛在的DDoS攻擊的警報(bào)[31]。此外，信息距離用來區(qū)分突發(fā)訪問中的DDoS攻擊。一般來說，一個(gè)DDoS攻擊會(huì)話的攻擊流量是由一個(gè)僵尸網(wǎng)絡(luò)中的大量“僵尸”產(chǎn)生的，并且所有的“僵尸”都執(zhí)行相同的攻擊程序。因此，攻擊流量之間的相似性比突發(fā)訪問的要高，這是由大量隨機(jī)的用戶產(chǎn)生的。第二類被稱為基于異常的檢測(cè)[22，36]。Yuan 等人提出了采用Cross-Correlation 和Weight Vector方法分析骨干網(wǎng)節(jié)點(diǎn)流量[27]，檢測(cè)DDoS 攻擊的方法。此方法能夠有效檢測(cè)多種攻擊，如恒速流量攻擊、增速流量攻擊、Pulsing 攻擊或TCP-Target 攻擊等。

（3）基于目標(biāo)的防御技術(shù)。在目標(biāo)為基礎(chǔ)的防御技術(shù)中，檢測(cè)和響應(yīng)主要是在攻擊的目標(biāo)處（即受害者）[17，34，35]完成。基于目標(biāo)的防御技術(shù)的一些例子包括輸入調(diào)試[23]，概率包標(biāo)記[24]，以及基于哈希的IP追蹤技術(shù)[25]?；贒DoS 攻擊會(huì)導(dǎo)致流量大幅度增加的特征[28]，Sekar 等人提出了一種兩級(jí)DDoS 檢測(cè)技術(shù)，能夠及時(shí)發(fā)現(xiàn)被攻擊地址。采用Snmp 測(cè)量路由器接口流量，并與歷史流量數(shù)據(jù)進(jìn)行比對(duì)，能夠發(fā)現(xiàn)流量的異常變化，然后利用Netflow 信息，提取被攻擊地址。文獻(xiàn)[29]采用CUSUM方法來檢測(cè)攻擊，對(duì)TCP SYN Flood 攻擊的檢測(cè)仍然基于三次握手的完成情況。為了區(qū)分是偽造固定地址攻擊（或采用了真實(shí)地址）、偽造子網(wǎng)地址攻擊，還是隨機(jī)偽造地址攻擊，采用了Bloom Filter來統(tǒng)計(jì)源地址分布情況。DDoS 攻擊通常由僵尸網(wǎng)絡(luò)發(fā)動(dòng)，而蜜罐是捕獲僵尸程序的重要手段。通過分析僵尸程序和僵尸網(wǎng)絡(luò)控制者發(fā)送的命令，能夠?qū)崿F(xiàn)對(duì)DDoS 攻擊的提前檢測(cè)，并且能夠準(zhǔn)確地獲取DDoS 攻擊類型等信息[30，33]。

（4）混合（分布式）技術(shù)。混合防御系統(tǒng)部署（或其組成部分分布在多個(gè)位置）在多個(gè)位置，例如來源，目的地或中間網(wǎng)絡(luò)，多個(gè)部署點(diǎn)之間通常會(huì)合作[17，32]。Chen 等人采用CAT（change-aggregation tree）方法[26]，對(duì)流經(jīng)同一個(gè)ISP 網(wǎng)絡(luò)中的路由器流量進(jìn)行協(xié)同分析，根據(jù)路由器每個(gè)接口的流量分布情況發(fā)現(xiàn)流量異常，流量異常報(bào)警信號(hào)發(fā)送給CAT 構(gòu)建服務(wù)器，由CAT 構(gòu)建服務(wù)器對(duì)報(bào)警信號(hào)進(jìn)行協(xié)同分析融合處理，實(shí)現(xiàn)對(duì)攻擊的快速、準(zhǔn)確識(shí)別。

2.2 應(yīng)用層DDoS攻擊防御技術(shù)

應(yīng)用層的DDOS攻擊的防御技術(shù)可以根據(jù)防御節(jié)點(diǎn)的部署位置被分為兩類[17]：

（1）基于目標(biāo)（服務(wù)器端）的技術(shù)。例如，DDoS攻擊防護(hù)使用統(tǒng)計(jì)方法來檢測(cè)HTTP會(huì)話的特性，并采用限制速率為主要防御技術(shù)[17，21]。基于緩解網(wǎng)絡(luò)層DDoS攻擊的自適應(yīng)選擇性驗(yàn)證（ASV）防御的應(yīng)用層DDoS攻擊（ADDoS）防御技術(shù)可以有效地防御DDoS攻擊，使用統(tǒng)計(jì)模型檢驗(yàn)器PVeStA來進(jìn)行了驗(yàn)證來防止ADDoS。即使在大量攻擊者存在的情況下，運(yùn)行該防御技術(shù)的應(yīng)用程序仍具有很高的可用性[39]。

（2）混合（分布式）技術(shù)。例如，全自動(dòng)區(qū)分計(jì)算機(jī)和人類的圖靈測(cè)試（CAPTCHA）[37，38]。分別從基于驗(yàn)證的方法、基于成員管理的方法、基于信譽(yù)的方法和受害者端的方法四個(gè)方面得出基于P2P的DDoS攻擊的防御方法[40]。一個(gè)動(dòng)態(tài)資源分配策略可以用來應(yīng)對(duì)個(gè)人云客戶中的DDoS攻擊。當(dāng)一個(gè)DDoS攻擊發(fā)生時(shí)，利用閑置的云資源為受害者克隆大量的入侵防御服務(wù)器，從而快速的過濾掉攻擊數(shù)據(jù)包，同時(shí)保證對(duì)合法用戶的服務(wù)質(zhì)量[41-43]。

3 未來研究展望

雖然在過去的二十年中，大量的防御解決方案已被引入到抵御日益復(fù)雜的DDoS攻擊中，但是仍然有一些已經(jīng)公開但尚未解決的重要問題和研究挑戰(zhàn)，未來可進(jìn)一步研究的方向有如下幾點(diǎn)：

（1）現(xiàn)有的方法雖然已被設(shè)計(jì)為有效的檢測(cè)低速率和高速率的DDoS攻擊，但通常不能同時(shí)滿足兩者。所以，開發(fā)一個(gè)方法用來同時(shí)實(shí)時(shí)的檢測(cè)這兩種類型的攻擊，仍然是一個(gè)值得研究的問題。

（2）大多數(shù)方法的性能依賴于網(wǎng)絡(luò)條件，其性能也受到多個(gè)用戶參數(shù)的影響。因此，從這些限制中，盡可能的開發(fā)出一個(gè)防御解決方案是一個(gè)重要的研究方向。

（3）由于缺乏公正的評(píng)價(jià)框架，包括基準(zhǔn)數(shù)據(jù)集，使得正在開發(fā)的方法的性能難以正確評(píng)估。因此，創(chuàng)建一個(gè)公正的框架來適當(dāng)?shù)脑u(píng)估一個(gè)防御解決方案，是需要研究的一個(gè)重要的問題。

（4）開發(fā)一個(gè)通用的解決方案來防御使用各種協(xié)議類型的DDoS攻擊應(yīng)該是一個(gè)新的研究方向。

（5）大多數(shù)的防御方法只對(duì)已知的攻擊有效。雖然一些防御方法采用了動(dòng)態(tài)技術(shù)，但它仍然難以找到一個(gè)從接近實(shí)時(shí)的、未知的攻擊中保護(hù)網(wǎng)絡(luò)資源的預(yù)防機(jī)制。

（6）如何開發(fā)一個(gè)追蹤機(jī)制以確保集成多個(gè)特定支持的追蹤機(jī)制，在檢測(cè)過程中，允許提取信息的重用。

4 總結(jié)

DDoS攻擊防御技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域的難點(diǎn)問題，隨著DDoS攻擊技術(shù)和防御技術(shù)的不斷發(fā)展，該問題一直受到研究人員的廣泛關(guān)注，本文綜合學(xué)術(shù)界近年來的相關(guān)研究成果，主要分析了DDoS攻擊的及其防御機(jī)制的類型，提出了DDoS攻擊的防御機(jī)制仍存在一些尚未解決的問題，及其未來發(fā)展趨勢(shì)和相關(guān)技術(shù)難點(diǎn)。

[1]C．-H．Yu，K．Doppler，C．B．Ribeiro，and O．Tirkkonen，“Resource sharing optimization for device-to-device communicat ion underlaying cellular networks，” Wireless Communications，I EEE Transactions on，vol．10，no．8，pp．2752–2763，2011．

[2]N．Hoque，D．Bhattacharyya，and J．Kalita，“MIFS-ND：A mutual information-based feature selection method，” Expert Systems with Applications，vol．41，no．14，pp．6371–6385，2014．

[3]D．K．Bhattacharyya and J．K．Kalita，Network anomaly detection：A machine learning perspective．CRC Press，2013．

[4]G．Macesanu，T．Codas，C．Suliman，and B．Tarnauca，“Development of gtbot，a high performance and modular indoor robot，” in Automation Quality and Testing Robotics（AQTR），2010 IEEE International Conference on，vol．1．IEEE，2010．

[5]R．Borgaonkar，“An analysis of the asprox botnet，” in Emerging Security Information Systems and Technologies（SECURWARE），2010 Fourth International Conference on．IEEE，2010．

[6][Online]．Available：http：//ruby-rbot．org/．

[7]C．Li，W．Jiang，and X．Zou，“Botnet：Survey and case study，” in Innovative Computing，Information and Control（ICICIC），2009 Fourth International Conference on．IEEE，2009．

[8]L．Trolle Borup，“Peer-to-peer botnets：A case study on waledac，” Ph．D．dissertation，Technical University of Denmark，DTU，DK-2800 Kgs．Lyngby，Denmark，2009．

[9]B．Stone-Gross，M．Cova，B．Gilbert，R．Kemmerer，C．Kruegel，and G．Vigna，“Analysis of a botnet takeover，” Security & Privacy，IEEE，vol．9，no．1，pp．64–72，2011．

[10]M．Intelligence，“Annual security report，” Symantec Corp，2010．

[11]S．Greengard，“The war against botnets，”Communications of the ACM，vol．55，no．2，pp．16–18，2012．

[12]S．T．Zargar，J．Joshi，and D．Tipper，“A survey of defen se mechanismsagainst distributed denial of service（DDoS）floo ding attacks，”IEEE Commun．Surveys Tuts．，vol．15，no．4，pp．2046–2069，4th Quart．2013．

[13]S．Ranjan，R．Swaminathan，M．Uysal，and E．W．Knightl y，“DDoSresilientscheduling to counter application layer attacks under imperfectdetection，” in Prof．IEEE INFOCOM，Apr．2006．

[14]V．Igure and R．Williams，“Taxonomies of attacks and vulnerabilities in computer systems，” Communications Surveys & Tutorials，IEEE，vol．10，no．1，pp．6–19，2008．

[15]J．Yuan and K．Mills，“Monitoring the macroscopic effe ct of DDoS flooding attacks，” Dependable and Secure Comp uting，IEEE Transactions on，vol．2，no．4，pp．324–335，2005．

[16] M．Fakrul Alam，“Application layer ddos a practical a pproach &mitigation techniques，” bdHUB Limited，2014．

[17]S．T．Zargar，J．Joshi，and D．Tipper，“A survey of defen se mechanisms against distributed denial of service（DDoS）flo oding attacks，” IEEE Commun．Surveys Tuts．，vol．15，no．4，p p．2046–2069，4th Quart．2013．

[18]“Riorey taxonomy of DDoS attacks，” RioRey Inc．，Bethesda，MD，USA，Tech．Rep．Rioreytaxonomy rev 2．3 201 2，2012．[Online]．Available：http：//www．riorey．com/x-resourc es/2012/RioReyTaxonomyDDoSAttacks2012．eps

[19]S．Farahmandian et al．，“A survey on methods to defen d against DDoS attack in cloud computing，” in Proc．Recent Adv．Knowl．Eng．Syst．Sci．，F(xiàn)eb．2013，pp．185–190．

[20]P．Ferguson，“Network ingress filtering：Defeating denia l of service attacks which employ IP source address spoofin g，” Internet Eng．Task Force（IETF），F(xiàn)remont，CA，USA，I nternet RFC 3704，2000．

[21]J．Li et al．，“SAVE：Source address validity enforcement protocol，” in Proc．IEEE INFOCOM，2002．

[22]T．Peng，C．Leckie，and K．Ramamohanarao，“Survey of network-based defense mechanisms countering the DoS and DDoS problems，” ACMComput．Surveys，vol．39，no．1，pp．1–42，Apr．2007．

[23]R．Stone et al．，“Centertrack：An IP overlay network f or tracking DoS floods，” in Proc．USENIX Security Symp．，2000．

[24]S．Savage，D．Wetherall，A．Karlin，and T．Anderson，“Pr actical network support for IP traceback，”SIGCOMM Compu t．Commun．Rev，vol．30，no．4，pp．295–306，Aug．2000．

[25]A．C．Snoeren et al．，“Hash-based IP traceback，” SIGC OMM Comput．Commun．Rev．，vol．31，no．4，pp．3–14，2001．

[26] Chen Y，Hwang K．Collaborative change det-ection of DDoS attacks on community and ISP net-works．In：Proc．of the IEEE Int’l Symp．on Collaborative T-echnologies and S ystems（Special Sessions on Col- lab-oration Grids and Commu nity Networks）．Las Veg-as，2006．401?410．[doi：10．1109/CTS．2006．27]

[27]Yuan J，Mills K．Monitoring the macroscopic effect o f DDoS flooding attacks．IEEE Trans．on Dependable and Secur e Computing，2005，2（4）：324?335．[doi：10．1109/TDSC．20 05．50]

[28]Sekar V，Duffield N，Merwe JVD，Zhang H．LADS：Large-scale automated DDoS detection system．In：Proc．of the USENIX Annual Technical Conf．Santa Clara，2006．

[29]Chen W，Yeung DY．Defending against TCP S-YN flooding attacks under different types of IP spo-ofing．In：Proc．of the Int’l Conf．on Networking，Syst- ems，Mobile Commu nications and Learning Technologies．Washington，2006．

[30]Weiler N．Honeypots for distributed denial of service attacks．In：Proc．of the 11th IEEE Int’l Work- shops on Enab ling Technologies：Infrastructure for C-ollaborative Enterprises．Pittsburgh，2002．

[31]Siegler S，，Moskowitz G D，F(xiàn)reedman W，． DDoS Attack Detection at Local Area Networks Using Information Th eoretical Metrics[C]// IEEE International Conference on Trust，Se curity and Privacy in Computing and Communications．2013．

[32]LI Qiao,HE Hui,FANG Bin-Xing．Awareness of the Network Group Anomalous Behaviors Based on Network Tr ust．Chinese Journal of Computers,2014．

[33]Sun Zhi-Xin，Jiang Ju-Liang，Jiao Lin．DDoS Attack Detecting and Defending Model．Nanjing Univ-ersity of Posts and Telecommunications,2007．

[34]H．C．J．Suh,T．Y．W．Yoon,T．Kwon，and Y．Choi，“Imple mentation of a content-oriented networking architecture（CO NA）：A focus on DDoS countermeasure，” in Prof．Eur．NetF PGA Develop．Workshop，2010．

[35]Yang Xiang，，Zhongwen Li，"An Analytical Model for DDoS Attacks and Defense，" Computing in the Global I nformation Technology，International Multi-Conference on，p．66，International Multi-Conf-erence on Computing in the Gl obal Information Te- chnology -（ICCGI'06），2006．

[36]YANG Xin-Yu YANG Shu-Sen LI Juan．A Floo-di ng-Based DDoS Detection Algorithm Based on N-on-Linear Preprocessing Network Traffic Predicted Method．Chinese Jo urnal of Computers，2011，34（02）：395-405（in Chinese）．

[37]A．Kolupaev and J．Ogijenko，“Captchas：Huma-ns vs．b ots，” IEEE Security Privacy，vol．6，no．1，pp．68–70，Jan．2008．

[38]R．Datta，J．Li，and J．Wang，“Exploiting the hu-manmachine gap in image recognition for designing c-aptchas，” IEE E Trans．Inf．ForensicsSecurity，vol．4，no．3，pp．504–518，Sep．2009．

[39]Dantas Y G，Nigam V，F(xiàn)onseca I E．A Selecti-ve De fense for Application Layer DDoS Attacks[C]// IEEE Joint In telligence and Security Informatics Conf-erence，JISIC．2014．

[40]LIU Min-Xia，YU Jie，LI Qiang．Research on P2-Pas ed DDoS attacks and their defense mechanism．Ap-plication Res earch of Computers，2011．

[41]C．YuHunag，T．MinChi，C．YaoTing，C．YuChieh，an d C．YanRen，“A novel design for future on-demandservice an d security，” in Proc．12thIEEE Int．Conf．Commun．Technol，20 10．

[42]A．Lara,A．Kolasani．a(chǎn)nd B．Ramamurthy．Network innovat ion usingopenflow：A survey．IEEE Commun．S-urveys Tuts．．vo l．15,no．4,pp．2046–2069,4th Quart．2013．

[43]Yu S,Tian Y,Guo S,et al．Can We Beat DDoS Attac ks in Clouds[J]．IEEE Transactions on Parallel & Distributed Sy stems，2014．

國家自然科學(xué)基金（61363071，61379145，61471169）；海南省自然科學(xué)基金（614220）；湖南省教育科學(xué)十二五規(guī)劃課題資助項(xiàng)目（XJK011BXJ004）；海南大學(xué)博士啟動(dòng)基金（kyqd1328）．海南大學(xué)青年基金（qnjj1444）。