关于数据库:网络安全如何从IP源地址角度预防DDoS攻击

从1966年分布式拒绝服务（DDoS）攻打诞生至今，便始终困扰着网络安全，尤其是随着新技术的一直催生，导致 DDoS 攻打联合新技术演变出多种类型。DDoS 攻打作为黑灰产的伎俩之一，使许多企业与国家遭受巨大损失。

爱沙尼亚网络战

2007年4月，爱沙尼亚蒙受了大规模DDoS攻打，黑客指标包含国会、政府部门、银行以至媒体的网站，其攻打规模宽泛而且深纵，这次袭击是为了回应与俄罗斯就第二次世界大战纪念碑「塔林青铜兵士」的从新安置引发的政治抵触。事件在国内军事界中广受瞩目，广泛被军事专家视为第一场国家档次的网络和平。

攻打的第一次顶峰呈现在5月3日，当天莫斯科暴发最强烈的镇压。另一次顶峰是5月8日和9日，欧洲各国留念战败纳粹德国，攻打同步降级，起码六个政府网站被迫停站，当中包含内政和司法部。最初一次攻打顶峰是15日，该国最大的几家银行被迫暂停国外连线。爱沙尼亚两大报之一的《邮政时报》的编辑直指：“毫无疑问，网攻源自俄罗斯，这是一次政治攻打。”但俄罗斯屡次否定与事件无关，并鞭挞爱沙尼亚虚构指控。这次攻打导致了网络战国际法的制订。

最大的DDoS攻打——GitHub蒙受攻打

GitHub吉祥物

迄今为止，最大的DDoS攻打，产生在2018年2月。这次攻打的指标是数百万开发人员应用的风行在线代码治理服务GitHub。在此顶峰时，此攻打以每秒1.3太字节（Tbps）的速率传输流量，以每秒1.269亿的速率发送数据包。攻击者利用了一种称为Memcached的风行数据库缓存零碎的放大效应。通过应用欺骗性申请充Memcached服务器，攻击者可能将其攻打放大概50,000倍。

侥幸的是，GitHub正在应用DDoS爱护服务，该服务在攻打开始后的10分钟内主动收回警报。此警报触发了缓解过程，GitHub才可能疾速阻止攻打。最终，这次世界上最大的DDoS攻打只继续了大概20分钟。

国内出名公司 NETSCOUT 颁布其调查报告结果显示，2021年上半年，网络罪犯动员了约 540 万次分布式拒绝服务（DDoS）攻打，比 2020 年上半年的数字增长 11%。

分布式拒绝服务(Distributed Denial of Service， DDoS)攻打针对网络设施的缺点，攻击者能够伪造IP 地址，间接地减少攻打流量。通过伪造源 IP 地址，受害者会误认为存在大量主机与其通信。黑客还会利用IP 协定的缺点,对一个或多个指标进行攻打,耗费网络带宽及系统资源,使非法用户无奈失去失常服务。伪造 IP 地址动员攻打的老本远远小于组建僵尸主机，且技术老本要求较低，使得伪造 IP 地址动员 DDoS 攻打在及其沉闷。鉴于分布式拒绝服务(Distributed Denial of Service， DDoS)攻打分布式、欺骗性、隐蔽性等特点，造成追踪和防备难度大。攻打原理及特点可点击此链接，查看本篇文章https://www.toutiao.com/i7023...）

随着技术的不断进步，攻打源追踪技术曾经在追踪速度、自动化水平、追踪精确度等方面获得显著提高， DDoS网络层攻打检测也分为多种形式。那要如何从IP源地址角度预防DDoS攻打呢？

当 DDoS 攻打产生时或完结后，能够依据相干信息定位攻打的起源，找到攻击者的地位或攻打起源。IP地址起源定位它是 DDoS 攻打进攻过程中的重要环节，并在其中起到承前启后的关键作用。精准的IP地址定位后果既能够为进一步追踪真正攻击者提供线索，也能够为其余的进攻措施，如流量限速、过滤等措施提供信息，还能够在法律上为查究攻击者责任提供证据。

基于IP源地址数量及散布变动来看，依据《Proactively Detecting Distributed Denial of Service Attacks Using Source IP Address Monitoring》钻研报告显示，DDoS为了暗藏攻打，攻击者会升高攻打速率，使攻打流量速率靠近失常拜访速率,以此减少检测难度,但在 DDoS 攻打时，拜访 IP 数量大幅度减少是攻打的一个显著特色。且此特色无奈暗藏.基于这个特色,如果可能对IP地址进行实时监测与断定，便可能无效地检测DDoS攻打,特地是攻打源地址散布平均的 DDoS 攻打，采纳新源地址呈现速率作为攻打是否产生的根据,通过监测拜访流数量变动,实现对 Flash Crowd 和 DDoS 攻打的无效辨别。

同时，依据《An Entropy Based Method to Detect Spoofed Denial of Service (Dos) Attacks》的钻研报告显示，伪造源地址DDoS 攻打产生时，IP源地址的流数量熵值和指标地址流数量熵值均会产生较大变动，大量流汇聚导致目标地址的熵值大幅度降落,而攻打流的平均使得源地址熵值会有所增加，通过训练出的阈值,能够检测 DDoS 攻打。

而当无攻打产生时,对某一指标地址拜访的源地址散布是稳固的，且通常成簇，而DDoS攻打产生时，IP源地址的散布趋于离散。能够依据IP源地址这一个性,辨认 DDoS攻打的办法。

DDoS、蠕虫和病毒(垃圾)邮件是影响骨干网平安的 3 个次要因素,从行为模式上来看，三者有着显著的区别:DDoS体现为多个地址向一个 IP 地址发送数据；蠕虫体现为一个 IP 地址向多个 IP 地址,通过一个或多个端口发送数据包；病毒邮件则是一个地址，通过 25 端口向多个 IP 地址发数据包。W Chen与DY Yeung将这3 种行为模型称为威逼趣味关系(threats interestedness relation,简称 TIR)模型。通过对源地址、目标地址、端口进行监控,构建 TIR 树,可无效辨认 3 种攻打。

对一个服务器而言，以前拜访的用户往往还会再次出现。在 DDoS 产生时，为这些用户提供服务,可能无效地抵挡攻打。基于历史IP的过滤办法(history-IP filtering)基于这一原理，依据失常拜访源地址呈现的频率和相应的数据包数构建了IP地址数据库,并且采纳滑动窗口进行过期地址淘汰。埃文科技IP利用场景数据库蕴含了43亿全量IP数据，可无效辨认机器、爬虫流量、“非人类使用者”等多种危险IP。在 DDoS 攻打产生时,根据 IP 地址数据库提供的数据服务，间接辨认危险IP，从IP源地址开始保障网络安全。

21世纪的明天，DDoS 攻打依然是互联网安全重要威逼之一。及时更新网络安全设施和软件，查看电脑破绽，可能无效监测恶意软件，升高操作系统被感化的危险，同时也要进步集体计算机平安防护意识，发明一个平安的计算机应用环境。