主動防御DDOS攻擊，保護服務器端數據安全的核心是在發現可疑連接時，主動去鑒別這種連接是不是異常的，而不是被動等待更多的DDOS特征信息。在發現異常連接后，采用一種根據TTL字段和IP字段進行帶寬限制的方法，以扼制有害數據，以達到主動防御DDOS攻擊的目的。

1 主動檢測方法

隨著Internet用戶上網帶寬的增加和互聯網上DDOS黑客工具的不斷發布，DDOS攻擊的實施越來越容易，DDOS攻擊事件正在呈上升趨勢。由于商業競爭、打擊報復和網絡敲詐等多種因素，很多企業長期以來一直為DDOS攻擊所困擾。隨之而來的是客戶投訴、法律糾紛、客戶流失等一系列問題。因此，防御DDOS攻擊，保護服務器端數據安全成為企業必須考慮的頭等大事。在所有的DDOS防范方法中，受害服務器端的防范方法受到了最多的重視，在這一端最大的困難是發現DDOS攻擊跡象時，已進入DDOS攻擊的高峰期，此時很難采取有效的防范方法來抑制攻擊的進行。本文提出的對策是盡量在早期發現DDOS攻擊，再使用準確的帶寬限制方法過濾惡意數據。

1.1 半開連接分析

在傳送數據包之前，TCP協議需要用三次握手在客戶端和服務器端之間建立連接。半開連接是指在服務器端收到客戶端發出的SYN請求后，發出ACK/SYN，此時在服務器上保留一定的資源來記錄此TCP連接狀況，實際上在系統的內存中有一個專門的隊列包含所有的半開連接，這個隊列的大小是有限的，因而只要有意使服務器建立過多的半開連接就可以使服務器無法再響應新的TCP連接請求。在正常情況下，如果產生半開連接，是因為網絡延遲或錯誤，比如第二次握手(ACK/SYN)或第三次握手(ACK)的TCP包由于延遲或錯誤發生了丟失，這時在服務器端就會產生半開連接。通常為了保證服務質量，服務器會重試幾次，重試的次數和重發的時間根據操作系統的不同而有所區別。重發的目的是為了提高三次握手的可靠性，降低網絡擁塞帶來的損失，這種半開連接我們稱做正常的半開連接。在SYN淹沒攻擊中，在受害服務器上也會產生大量的半開連接。在這種情況下，攻擊者向受害服務器發送大量的偽造了源IP地址的SYN包。當接受到這樣的SYN請求包后，服務器轉到“syn已接受”(syn-received)狀態，然后根據源IP地址發送一個ACK/SYN包到客戶端。然而這個源IP地址往往都是偽造的，因此這些ACK/SYN包不會被應答，服務器保留這些半開連接，并重試數次。這種類型的半開連接和前面討論的正常的半開連接是不同的。這些由DDOS攻擊產生的半開連接被稱為異常的半開連接。對于服務器來說，是很難靠其自身來判斷哪一個半開連接是由網絡擁塞造成的，哪一個是由DDOS攻擊產生的。避免此類DDOS攻擊的關鍵問題是區分正常的半開連接和異常的半開連接，對于異常的半開連接，對此連接發送RST指令重置此連接，釋放系統資源。大多數正常的半開連接是由于網絡擁塞造成的，而異常的半開連接卻與網絡擁塞沒有必然聯系。網絡擁塞可以通過一些特征來發現，比如網絡延時變長了，包的丟失率增加了，一些擁塞的路由器接近能力上限。如果這些信息能夠被捕獲，可以判斷這些在服務器上的半開連接是屬于正常的半開連接，否則屬于異常的半開連接。#p#

1.2 路由節點的延時測試方法

路由路徑上結點的延時被一個叫做DARB(DelayProbing)的主動方法來探測。DARB方法沿著流量出去的方向，向著被探測目標發送具有特定TTL(Time To Live，存[1]時間(TTL)是IP分組中的一個值，指示了一個IP包可以在網絡上被路由器轉發的次數。網絡中的路由器通過察看這個值就可以判斷這個IP分組是不是已經在網絡中停留了很久，進而決定是否要將其丟棄。出于多種原因，一個IP分組可能在很長一段時間內不能抵達目的地。例如：錯誤的路由有可能導致一個IP分組在網絡中無限地循環。一種解決方法就是在一定時間后丟棄這個分組，然后發送一個信息通知這個分組的發送者，由它決定是否重發這個分組。TTL的初始值一般是系統缺省值，它位于IP分組的頭部，占用8個二進制位。最初設定TTL值的目的是讓它來指定一段特定的時間(以秒為單位)，當這段時間耗盡的時候就將這個分組丟棄。由于每個路由器至少會讓這個TTL值減1，所以這個TTL值經常用來指定在一個分組被丟棄之前允許經過的路由器數。每個路由器收到一個分組后就將它的TTL值減1，一旦這個值被減為0，路由器就會丟棄這個分組，并發送一個ICMP信息給這個分組的最初的發送者。根據發送出去的包和收到返回的ICMP包的時間差值，我們可以計算出從此主機到該路由器的時間延時。通過設定不同的TTL值，可以得到探測主機到指定路由器的時間延時。

1.3 評估半開連接

當DARB方法返回延時結果時，需要評沽這些結果并將半開連接分為正常的半開連接或者是異常的半開連接。如果返回的結果有一個很大的延時值，意味該個半開連接有很大的可能性是由于網絡擁塞造成的，如果返回一個很小的值，特別是接近0時，說明網絡處于良好狀態，一般是不會產生半開連接的，該半開連接將被認為是異常的，可能是由DDoS攻擊造成的。#p#

2基于TTL的帶寬限制策略

當可疑半開連接達到一定數目時，DDOS警告將會發出，響應策略將會用來扼制惡意攻擊流量。一個好的響應機制應該有以下特征：

1)能夠準確地丟棄和限制攻擊流量。一個精確的響應機制能丟棄或限制大部分的攻擊數據包來減少DDOS攻擊的危害。

2)較少的副作用。在對抗DDOS攻擊時，保證服務器在被攻擊期間也能向合法用戶提供正常的服務，不會因為過濾攻擊數據，而將大量的合法用戶數據包丟棄。

3)較低的執行開銷。由于響應機制部署在受害者端，大量的流量聚集在這一端，如果響應機制本身需要較高的執行開銷，它很難有效地處理大量數據，而且更嚴重的是重量級的響應機制本身也會成為DDOS的攻擊目標。根據以上基本要求，在本文中提出一個簡單有效的響應措施，為阻止攻擊數據繼續向受害服務器發送惡意數據包，采用對可疑數據限制帶寬的方法。帶寬限制規則基于TTL值和源IP地址的判別方法，利用IP包頭的TTL字段的值和IP字段共同區分合法用戶和惡意數據。

2.1TTL字段

目前大部分的防火墻基于IP地址和端口進行信息過濾，所以此類防火墻很難防范使用偽造源IP地址的攻擊包。在DDOS攻擊期間，攻擊者通常選擇一些無法到達的IP地址作為攻擊包的偽造地址，以隱藏攻擊源的真實身份，并使得阻止DDOS攻擊更加困難，因此根據源IP地址和端口來阻止DDOS攻擊是不可靠的方法。

本文提出使用TTL字段來制定帶寬限制的規則。IP包頭的TTL字段指示了該IP包被刪除之前還可能被轉發的次數。盡管攻擊源可以在IP字段中偽造源IP地址，但很難控制該包在Internet上的路由路徑。根據調查表明，端到端的路由路徑是相對穩定的，在Internet上三分之二的路由路徑在幾天內，甚至幾個星期內是不會變化的[2]。當多個包被從源端發送到目的端時，這些包的路由路徑基本上是相同的，路由跳數(Hop)也是一致的，通常跳數信息指示了該包經過了多少路由器。因此不管攻擊者如何偽造源IP地址，從同一個攻擊源來的攻擊數據包將由同一個路由路徑到達受害者端。以此觀察為基礎，包中的TTL字段將會被用來構建數據流量的帶寬限制規則。Internet上的每一個路由器在將一個包轉發到下一個路由器之前會將TTL字段減1，如果攻擊包從一個攻擊源發出，并且具有相同的TTL值，那么這些包到達目的地之后將會有相同的TTL值。我們假設攻擊者不會改變每一個包的TTL初始值，因為從目前DDOS攻擊工具來看，都沒有改變初始TTL的機制。TTL的初始值和操作系統有關，比如當前的操作系統，如Windows、Linux、各種商業版的Unix都會使用固定的TTL值，如30、32、60、64、128、255等[3]，這些值可以覆蓋當前主流操作系統的TTL值。由于攻擊源的操作系統在攻擊期間是不會變化的，因此從同一個攻擊源發出的攻擊包在經過相同的路由路徑到達受害者端時，每個攻擊包的TTL值依然會是相同的。在基于TTL帶寬限制的規則中使用兩個附加的表TTTL和TTTL2IP。當多個可疑的連接被DARB探測發現，DDOS警告將會發出，該可疑數據包的TTL值將會被提取至表TTTL中。一個ACK第三次握手檢測器將會部署在受害者端，用來檢測第三次握手的數據包ACK。對于數據包P，用IPP來標識該包的源IP地址，TP來標識其TTL值。當一個ACK包P被捕獲，如果其TTL值在表TTTL中(TP∈TTTL),那么該包的TTL值和IP值(IPP和TP)將會插入表TTTL2IP。此后一個包既使具有一個可疑的TTL值，也就是說該TTL值在表 TTTL 中 (TP ∈ TTTL )，但如果其 IP 地址在表 TTTL2IP 中，那么該包也不會被限制帶寬，只有滿足{P|(IPP,TP) TTTL2IP ∧ TP ∈ TTTL｝條件的包才會被采取帶寬限制。

2.2 DDoS響應系統的體系結構

DDoS響應系統的體系結構與策略響應系統的體系結構，半開連接快照部件將在每個預先定義的時間間隔后，對服務器上的連狀況進行一次快照。當從服一務器連接中提取出那些存在時間比較長的半開連接這些半開連接進行探測，以確定這些半開連接是否和網絡擁塞相關。如果有對應的網絡擁塞特證，那么該半開連接被認為是正常的，如果沒有對應的網絡擁塞特征，則認為是異常的。ACK 檢測器負責在進入流量中監視第三次握手ACK包，如果一個ACK包P的TTL值屬于TTTL (TP ∈ TTTL), P的源IP地址會被記入表TTTL2IP中，因為P已經完成了一次完整的握手過程。

整個響應體系是一個協作的系統。帶寬限制控制器，可疑半開連接檢測器，ACK檢測器同時工作以完成帶寬限制的任務。當可疑半開連接檢測器發現可疑的半開連接后，將會把該可疑半開連接中的TTL信息提取出來并存入表TTTL中。如果數據包滿足條件{P|(IPP,TP)TTTL2IP∧TP∈TTTL｝,帶寬限制器將會限制這些包的帶寬，這三個部件協同工作以共同對抗惡意數據。