1、分布式拒絕服務(wù)攻擊(DDoS)被稱為“黑客的終極武器”，因為其攻擊手法簡單而攻擊效果好。攻擊者通過控制大量的傀儡機同時發(fā)送無用數(shù)據(jù)以消耗受害者的主機和網(wǎng)絡(luò)資源來達到攻擊的目的。而且，攻擊者為了逃避入侵檢測 IDS和防火墻，采用了IP欺騙和仿造合法流量等手段，使得對DDoS的防范顯得越來越困難。
　　本文首先介紹了DDoS攻擊的原理和現(xiàn)狀，以及經(jīng)典的DDoS工具和相應(yīng)的防范措施等。重點剖析了基于路由器的DDoS的檢測和防御方法。防御

2、方面，著重分析目前的DDoS防御體系結(jié)構(gòu)和PushBack回推機制；檢測方面，主要分析基于統(tǒng)計學(xué)的檢測方法，包括基于熵和基于BloomFilter的檢測方法。
　　其次針對單一源端防御、中間網(wǎng)絡(luò)防御和受害端防御的不足，提出了一種分布式的防御體系DDS(Distributed Defending System)。將功能相同的防御節(jié)點多點部署到不同的路由器上，用一個管理節(jié)點來實現(xiàn)對整個體系中所有防御節(jié)點的統(tǒng)一管理，實現(xiàn)一種分布式協(xié)同防

3、御的效果。該防御體系可總結(jié)為“全局檢測、本地回溯、遠端防御”十二個字。這樣一是可以繞開受害端的網(wǎng)絡(luò)瓶頸進行攻擊回溯，二是可以將攻擊流扼殺在接近源端的地方從而減小攻擊流占用網(wǎng)絡(luò)帶寬而對網(wǎng)絡(luò)造成的危害。
　　然后，通過分析采用IP欺騙技術(shù)的DDoS攻擊包源信息的突變性質(zhì)，借鑒并改進HIF(History-based IP Filtering)機制，結(jié)合統(tǒng)計學(xué)思想，提出一種新的基于源目的聚集檢測和識別算法。在檢測方面，按一定數(shù)量的數(shù)據(jù)包

4、中新出現(xiàn)的源IP地址的比例值構(gòu)造序列，采用序列變化點的檢測方法檢測到攻擊發(fā)生的時間點。識別方面，根據(jù)攻擊的目的IP地址都相似甚至相同，采取DBSCAN密度聚類方法，在眾多可疑數(shù)據(jù)包目的地址中找到極大目的地址聚集，該聚集中對應(yīng)的數(shù)據(jù)包源地址認為是攻擊包的源地址。再將這些攻擊數(shù)據(jù)包的源地址集合再次映射成BloomFilter表，即攻擊特征信息表。其他防御節(jié)點收到該表后就可以根據(jù)源IP地址匹配判斷是否有攻擊包流過。
　　最后，對該策略進