详解路由器设置实现DDoS防御

核心提示： 很显然，不可能要求保留所有网络服务器的状态信息，详解路由器设置实现DDoS防御(2)，因为这样会造成状态信息爆炸，但按需求选择保护机制是可行的，R(3)中的路由器为图中绿色的部分，请注意R(3)中最下层的路由器与S只相隔两层，这一观点是基于DDoS攻击是一种个别现象而非普遍情况的假设，在任何时间

很显然，不可能要求保留所有网络服务器的状态信息，因为这样会造成状态信息爆炸。但按需求选择保护机制是可行的，这一观点是基于DDoS攻击是一种个别现象而非普遍情况的假设。在任何时间段内，我们认定只有少数的网络受到攻击，大部分网络在“健康”状态下运行。此外，恶意攻击者通常选择那些访问用户最多的“主要站点”攻击，这些站点就可以利用以下的网络结构来保证自身的安全。

二、路由器设置实现DDoS防御之系统的模式讨论

本文提及的所有数据量和服务器负载量的单位均为 kbps。系统网络拓扑图如图1所示。本文给出了网络模型G=(V,E)，其中V代表一系列节点，E表示边缘。所有的叶状节点均为主机和数据来源。内部节点为路由器，路由器不会产生数据但可以接收来自主机的数据或转发来自其他路由器的数据。R表示内部路由节点，所有的路由器均假设是可以信任的。主机 H=V-R，被分为普通的正常用户Hg和恶意用户Ha，E是网络链路模型，默认为双向。

叶形节点V被当作目标服务器S。正常用户以[0,rg]的速度将数据包发送到S。恶意攻击者则以[0,ra] 的速度向S发送数据包，从原则上讲可以根据用户通常如何访问S（假设rg< < Us）来为rg设置一个合理的水平，但ra的取值很难确定，实际上ra的值大大高于rg。

当S受到攻击时，它会启动前面谈到的门限值防护机制。为了便于表示，假设一个超载的服务器仍然能够启动防护机制，因此没有必要在每台路由器上均设置门限值。R(k)表示与S相距k层的路由器或短于k层的路由器，但它们均直接与主机相连。

图中的方块节点表示主机，圆形节点代表路由器。最左侧的主机为目标服务器S，R(3)中的路由器为图中绿色的部分，请注意R(3)中最下层的路由器与S只相隔两层，之所以将其包括在内是因为它与主机直接相连。