拒绝服务攻击综述1

一、出入口过滤

在ISP边缘路由器上对数据包进行检测，对于达到本AS的数据包，判断其源地址是否为本AS曾经发到的地址，对于发出去的数据包，判断其源地址是否属于本AS。

 

uRPF（RFC3704）单播反向路径转发检测，当某个物理接口接收到一个IP包后，查看以该包的源地址作为目的地址的IP包能否通过该物理接口发送。但由于不对称路由的存在，rRPF存在一定的局限性。

 

有文献提出让AS之间认证的SPM方法，PassPort方法，BASE协议，SAVA

 

僵尸网络采用真实的IP地址进行攻击。

 

IP追踪上，《基于概率的包标记PPM、FIT和基于hash的IP包追踪》，分布式的分而治之的方式进行追踪。构建攻击树，攻击路径频率，数据包与攻击率的关联检测。但存在部署问题。