面向Web服务器的DDoS攻击防御研究

DDoS攻击，尤其是应用层DDoS攻击，对Web服务器的安全威胁日趋严峻，是一个急待解决的安全问题。针对现有防御方法的不足，提出研究如何通过一个在ISP网络基础设施内部署的覆盖网络以解决面向Web服务器的DDoS攻击防御难题。通过研究基于IP Anycast的重定向方法，以使覆盖网络吸收攻击流量并使客户与覆盖网络、受保护Web服务器隔离；通过研究Web用户访问行为的数学模型，以检测应用层攻击中来自傀儡主机的恶意访问；通过研究覆盖网络的拓扑结构，高性能单播、多播通信协议，负载平衡调度方法和请求过滤、调度方法，以使Web服务器将用户访问行为模型复制到覆盖网络并使覆盖网络代理节点根据用户访问行为分布式过滤恶意请求；通过研究协同边缘缓存方法，以使覆盖网络缓存Web动态内容，减轻Web服务器负载；从而为Web服务器提供全面的DDoS攻击保护。本项目的研究还可促进少数民族地区青年科技人才队伍的培养。

DDoS攻击对Web服务器的安全威胁日趋严峻，尽管国内外研究者提出了若干防御方法，但因缺乏一个全面的防御体系结构、缺乏可部署性和不能有效地防御应用层攻击，至今没有一个能全面地保护Web服务器并广泛地投入运用。针对这些不足，本项目研究如何通过一个在ISP网络基础设施内部署的Overlay，为Web服务器提供全面的DDoS攻击保护。.我们创新地提出在ISP网络基础设施内部署一个基于Data-oriented Network的Overlay，其由在一个Data-oriented Network中互联的若干边缘层计算群集和汇聚层计算群集组成。用户访问Web服务器的请求通过一个基于IP Anycast的重定向方法接入到Data-oriented Network，Data-oriented Network路由器实现名字路由、小容量一级缓存和多播，计算群集实现代理用户以名字路由方式获取请求内容、大容量二级内容缓存、应用层攻击检测和分布式接入控制。Data-oriented Network的名字路由、缓存和多播特点，与计算群集可扩展的高性能计算和存贮特点相结合，在ISP网络基础设施内构成一个简单、高效和可扩展的内容传递网络，为用户提供静态、动态内容复制服务，可有效提高Web网站的服务能力，并极大提高了ISP部署Overlay的兴趣。群集代理通过一个基于NAT和Bots估计的图形测试认证方法，较好地解决了传统图形测试认证中NAT网络阻塞和被阻塞地址刷新两个难题，同时可将单位时间内接入bots请求的总数大致控制在一个可计算的范围内，并尽可能少地要求用户接受图形测试，降低了图形测试的不利影响。另外，将上述的单点认证机制扩展到Overlay，群集代理中的认证接入节点根据自己获得的局部信息独立做出接入决策，与Web服务器保持独立，实现分布式地Web接入控制。最后，进入Web服务器的请求在一个基于请求分类的Web调度器的调度下，保证Bots在没被识别的情况下，与正常用户公平消耗服务器瓶颈资源，提高了攻击成功的门槛。通过以上机制，较好地解决了面向Web服务器的DDoS攻击防御难题。.