59、对抗温和DDoS攻击的新型速率限制算法-优快云博客

本文链接：https://blog.youkuaiyun.com/git9versioner/article/details/154779500

对抗温和DDoS攻击的新型速率限制算法

1. 引言

拒绝服务（DoS）攻击旨在阻止服务的合法使用，而分布式拒绝服务（DDoS）攻击利用僵尸主机群，通过发送大量伪造请求，使受害者的有限资源不堪重负。由于难以区分合法请求和恶意请求，防御此类攻击极具挑战性。

洪水式DDoS攻击的发生有两个根本原因：一是受害者遭受DDoS攻击的可能性取决于全球互联网其他部分的安全性；二是资源总是有限的，这些有限资源成为洪水攻击的常见目标。要击败洪水式攻击，关键在于确保聚合流量不超过资源瓶颈，并尽可能提高合法流量的吞吐量，而速率限制是实现这一目标的直接措施。

一个好的速率限制算法应具备以下三个特性：
- 能够将发往受害者的聚合流量控制在资源瓶颈限制之内。
- 尽可能将合法流量传递给受害者。
- 速率限制器应尽可能靠近攻击者部署。靠近受害者时，攻击和合法流量会汇聚成巨大流量，普通路由器难以区分，甚至无法承受；而靠近攻击者部署则可提前调节攻击流量，避免对合法流量造成附带损害。

基于最大最小公平性的速率限制算法在攻击者比合法用户更“激进”的假设下是有效的，但在“温和”DDoS攻击中，这一假设不再成立，该算法将无法有效保护合法流量。因此，本文提出了一种基于IP回溯的速率限制算法，该算法不仅能在攻击源端减轻DDoS攻击影响，还能在温和攻击下提高合法流量的吞吐量。