關於實現DDoS防御之路由器門限值算法的方法

　　今天學習啦小編就給大家說說路由器如何設置實現DDoS防御之路由器門限值算法的方法，如果對此比較感興趣的童鞋可以一起往下看。

　　在圖1的例子中，令每台主機上的數字(S除外)減去當前主機向S發送數據的速率。設Ls=18且Us=22，發往S的負載超出了Us，因此將在S處啟動門限值。算法運行結束之後，S確定門限值為6.25並將此速率定制到R(3)的各個路由器中。在圖1中路由器上方的數字表示到達S的數據速率，下方括號中的數字表示數據傳遞的速率(經過調節後的)。經過調節後S處的負載限制到了20.53，R(3)中經過調節的速率是服務器負載的公平值。

　　目前為止僅討論了如何使用基本的門限值算法，R(k)將隨k的增加而快速增加。因此如果某些路徑沒有受到攻擊，則這些路徑上的路由器資源就會造成浪費。如果位於S和R(k)之間的路由器可以監視通向S的分組數據速率，則可以在不影響性能的前提下使情況得到改善。

　　圖2為圖1中在S和R(3)之間引入了監視路由器後的方式。請注意，圖中R(3)所屬的三個路由器的門限值被取消，因為在這些路徑上並沒有任何攻擊。

　　路由器設置實現DDoS防御各種考核測量標准

　　性能測量的一個基本指標是門限值能在多大程度上防DDoS攻擊。除了基本指標，還必須考慮安裝這一機制的成本。因此，可采用下述評估標准：

　　1.服務器中普通用戶的數量;

　　2.保護S時需要介入的路由器數量;

　　3.針對用戶需求變化的應變能力。

　　一般來講，我們認為攻擊者比普通用戶的攻擊性更強。但是某個惡意的攻擊能使其他大量的主機參與到惡意攻擊中來，雖然每個主機看上去像是一般的普通用戶，但它們加在一起仍然會造成DDoS攻擊。從本質上說，防御此類攻擊比較困難。

　　在實際布置此類防護機制時必須遵守幾點要求。首先，必須保證門限值的可靠性，否則，機制本身就可能成為攻擊點。為了保證可靠性，門限值消息在被邊緣路由器接納到網絡中時，必須先進行驗證。第二，必須保證這些消息能夠安全地從發起點到達目的點。由於門限值消息的發送量很小，其鑒權和傳輸優先性應該可以接受，而且，由於控制方法必須收到反饋，服務器可能會在瞬時超載，為了確保該調節機制仍能運行，可以使用協處理器或幫助設備。第三，門限值保護機制可能不會在整個網絡中得到支持，但只要受攻擊的路由上有一台路由器支持此機制就行。