详解路由器设置实现DDoS防御(2)
来源:asp之家 发布时间:2009-12-24 13:48:00
三、路由器设置实现DDoS防御之路由器门限值算法
在图1的例子中,令每台主机上的数字(S除外)减去当前主机向S发送数据的速率。设Ls=18且Us=22,发往S的负载超出了Us,因此将在S处启动门限值。算法运行结束之后,S确定门限值为6.25并将此速率定制到R(3)的各个路由器中。在图1中路由器上方的数字表示到达S的数据速率,下方括号中的数字表示数据传递的速率(经过调节后的)。经过调节后S处的负载限制到了20.53,R(3)中经过调节的速率是服务器负载的公平值。
目前为止仅讨论了如何使用基本的门限值算法,R(k)将随k的增加而快速增加。因此如果某些路径没有受到攻击,则这些路径上的路由器资源就会造成浪费。如果位于S和R(k)之间的路由器可以监视通向S的分组数据速率,则可以在不影响性能的前提下使情况得到改善。
图2为图1中在S和R(3)之间引入了监视路由器后的方式。请注意,图中R(3)所属的三个路由器的门限值被取消,因为在这些路径上并没有任何攻击。
四、路由器设置实现DDoS防御各种考核测量标准
性能测量的一个基本指标是门限值能在多大程度上防DDoS攻击。除了基本指标,还必须考虑安装这一机制的成本。因此,可采用下述评估标准:
1.服务器中普通用户的数量;
2.保护S时需要介入的路由器数量;
3.针对用户需求变化的应变能力。
一般来讲,我们认为攻击者比普通用户的攻击性更强。但是某个恶意的攻击能使其他大量的主机参与到恶意攻击中来,虽然每个主机看上去像是一般的普通用户,但它们加在一起仍然会造成DDoS攻击。从本质上说,防御此类攻击比较困难。
在实际布置此类防护机制时必须遵守几点要求。首先,必须保证门限值的可靠性,否则,机制本身就可能成为攻击点。为了保证可靠性,门限值消息在被边缘路由器接纳到网络中时,必须先进行验证。第二,必须保证这些消息能够安全地从发起点到达目的点。由于门限值消息的发送量很小,其鉴权和传输优先性应该可以接受,而且,由于控制方法必须收到反馈,服务器可能会在瞬时超载,为了确保该调节机制仍能运行,可以使用协处理器或帮助设备。第三,门限值保护机制可能不会在整个网络中得到支持,但只要受攻击的路由上有一台路由器支持此机制就行。
猜你喜欢
- WordPress是一款成熟的开源CMS平台,新推出的2.9版本依然保持了以往良好的口碑。这篇文章从WordPress 2.9的codex文
- 自从做卖站以来,遇到的形形色色的人,真是林子大了,什么鸟都有,现在我列出以下几种人,希望卖站新人能从中吸收到一些经验:1)没看清楚卖站的说明
- 今天闲来无事,继而顺手截图做一些IIS7的安装图文教程,以及fastcgi模式下配置PHP,现在网上很多IIS7下配置PHP的教程还停顿在I
- 这几天,公司终于放假了,终于可以安下心来好好学些proftp+mysql+quota。 安装proftp之前,必须先做一个工作,假如你的my
- 如果你在你的托管帐户上存储了archive files,你可能需要unarchive它们,要么再次使用某个老的文档,要么只是解压某个你已上传
- 在几乎没有任何媒体宣传的情况下,腾讯旗下搜索引擎搜搜上线了自主搜索技术。众所周知搜搜之前的网页搜索结果是使用来自Google的技术,估计这个
- 前段时间很多typecho用户反映受到垃圾评论的困扰,因为某些国内服务器无法连接到Akismet服务,所以垃圾评论肆虐。有的用户即使启用了A
- 邮件系统的选型与架构专题(上篇) 邮件系统服务器的安装和配置有关Qmail邮件系统的安装介绍很多,这里不再赘述。下面主要说明搭建Qmail邮
- 有Godaddy主机用户问如果在共享主机上新增了FTP用户,现在想删除的话,该如何操作呢?要想从你的共享主机上删除新增FTP用户,你可以轻松
- 1、简介说明在安装Procmail及Sanitizer后,系统都只能处理寄进服务器内的信件,无法处理利用邮件服务器来寄出病毒信,因此在安装P
- 建立博客有助于打造卓越企业的核心要件。企业的核心需求如下所示:妙点子好产品能见度训练有素的团队,为企业的成功而努力不懈提升业务的创意,改善公
- 如何才能让搜索引擎快速搜录你的网站,我总结了一下,大概有一下几点:1、提交给搜索引擎,这个相对简单,不详细说明;2、交换友情链接,比如说CH
- 这些日子搞了搞 WordPress,确实是一款很好的 blog 系统。安装配置简单,编辑界面优秀,有插件系统。使用方便,速度也还可以,挺适合
- 外部在我们着手清理内部之前,先站在外面,从大街上看一下您的站点——或者在谷歌搜索结果里看起来怎么样。只要随手打开离您最近的谷歌搜索框,使用查
- 先说说的自己情况。和许多从学校里出来的学生一样,毕业后的迷惘一度让我很悲观,学校可以学到很多知识,但我学到的东西却不足以在这个社会立足。经过
- 让你的站点更易导航一个网站的导航有助于用户更快地找到他们想要的内容。它也可以帮助搜索引擎明白站长对网站内容的权重划分。虽然Google搜索结
- 很久没更新了,今天(12月11日)新增三个网摘代码,分别是飞豆、抓虾、鲜果,这些都是著名的网摘网站。你可以在此篇文章最后看到新增的网摘代码。
- 为了完成这个任务,在网上查了好多资料,要么是讲得不清楚,要么是软件版本太老,走了不少弯路,在这里以本人的实际操作为例,为大家说一下整合的过程
- 一个人的发展要经过1 资金积累的打工阶段一般创业的人,都要经历这一阶段,毕业以后,或者是去了公司打工,或者是与别人合作一些小生意,这一阶段一
- 走过的路,回忆起来是那么曲折,把自己的一些心得体会分享给程序员兄弟姐妹们,虽然时代在变化,但是很可能你也会走我已经做过的10年的路程,有些心