分类: 网络与安全
2019-01-16 17:01:22
在当前的互联网环境中,IP伪装DDoS攻击是一件非常容易的事,这一现场给DDOS的治理和防护带来了诸多困难。
首先,伪造地址使得追查攻击源变得更加困难,而攻击者承担的风险更小,也就更肆无忌惮。
其次,伪造地址使得DDOS能够达到更大的攻击规模,尤其是DNS反射式DDOS攻击,可以将原始攻击流量放大数十倍,加剧威胁的程度。
最后,伪造地址使得DDOS防御变得更困难,受害者难以使用源地址过滤的方式阻挡攻击。
很明显,减少地址伪造对DDOS的治理和防护有很大的帮助,而实现这一目标在技术层面并不困难,下面给出一种简单可行的缓解办法:
路由过滤:具体而言,就是互联网服务提供商在网络出入口处的路由器上,对符合以下条件的数据包进行过滤:
1、从外部接口进入内部网络的数据包,但源地址属于内部网络;
2、由内部网络向外发送的数据包,但是源地址不属于内部网络。
之后众多网络设备和系统厂商都支持这种类型的过滤,包括Cisco、3COM、IBM、Sun等。