实现DDoS防御之路由器门限值算法
路由器设置实现DDoS防御之路由器门限值算法
在图1的例子中,令每台主机上的数字(S除癫痫病最新治疗方法哪些好外)减去当前主机向S发送数据的速率。设Ls=18且Us=22,发往S的负载超出了Us,因此将S处启动门限值。算法运行结束之后,S确定门限值为6.25并将此速率定制到R(3)的各个路由器中。在图1中路由器上方的数字表示到达S的数据速率,下方括号中的数字表示数据传递的速率(经过调节后的)。经过调节后S处的负载限制到了20.53,R(3)中经过调节的速率是服务器负载的公平值。
目前为止仅讨论专门的癫痫医院了如何使用基本的门限值算法,R(k)将随k的增加而快速增加。因此如果某些路径没有受到攻击,则北京癫痫病医院那好这些路径上的路由器资源就会造成浪费。如果位于S和R癫痫病专科医院哪家最好(k)之间的路由器可以监视通向S的分组数癫痫医院哪里较好据速率,则可以在不影响性能的前提下使情况得到改善。
图2为图1中在S和R(3)之间引入了监视路由器后的方式。请注意,图中R(3)所属的三个路由器的门限值被取消贵阳最好的癫痫治疗专科医院,因为在这些路径上并没有任何攻击。
治小儿癫痫好的医院
路由器设置实现DDoS防御各种考核测哈市治疗小儿癫痫量标准
性能测量的一个基本指标是门限值能在多大程度上防DDoS攻击。除了基本指标,还必须考虑安装这一机制的成本。因此,可采用下述评估标准:
1.服务器中普通用户的数量;
2.保护S时需要介入的路由器数量;
3.针对用户需求变化的应变能力。
一般来讲,我们认通用户的攻击性更强。但是某个恶意的攻击能使其他大量的主机参与到恶意攻击中来,虽然每个主机看上去像是一般的普通用户,但它们加在一起仍然会造成DDoS攻击。从本质上说,防御此类攻击比较困难。
在实际布置此类防护机制时必须遵守几点要求。首先,必须保证门限值的可靠性,否则,机制本身就可能成为攻击点。为了保证可靠性,门限值消息在被边缘路由器接纳到网络中时,必须先进行验证。第二,必须保证这些消息能够安全地从发起点到达目的点。由于门限值消息的发送量很小,其鉴权和传输优先性应该可以接受河南最好的儿童癫痫医院,而且,由于控制方法必须收到反馈,服务器宁夏癫痫病治疗技术可能会在瞬时超载,为了确保该调节机制仍能运行,可以使用协处理器或帮助设备。第三,门限值保护机制可能不会在整个网络中得到支持,但汽车价格合肥癫痫病医院有哪些查询只要受攻击的路由上有一台路由器支持此机制就行。