[发明专利]一种P2P网络中协作抵抗覆盖层DDoS攻击的方法

说明书

技术领域

本发明属于P2P网络安全领域，具体涉及一种P2P网络中协作抵抗覆盖层DDoS攻击的方法。

背景技术

DDoS(Distributed Denial of Service，分布式拒绝服务)攻击从DoS攻击发展而来，这种攻击利用网络上已被攻陷的计算机作为傀儡机，向某一特定的目标计算机发动密集式的“拒绝服务”攻击，把目标计算机的网络资源及系统资源耗尽，使之无法向正常请求的用户提供服务。DDoS攻击仅需消耗攻击者较少资源，但对被攻击者会产生严重影响，并且需要较长时间恢复。

P2P网络由于其非中心化和分布式的特性，对DDoS攻击有着天然的抵御能力，但攻击者也会利用P2P网络的自治性、节点数量大的特点来发起DDoS攻击。结构化P2P网络除了来自传统的网络层的DDoS攻击外，还有来自覆盖层的DDoS攻击。在没有中心服务器的情况下，结构化P2P网络为准确定位到资源，要求网络中每个节点都保存局部的资源索引表和路由表。由于节点会频繁地加入和退出P2P网络，为使整个P2P网络能正常工作，则节点须不断地更新资源索引表和路由表来准确反应当前在线的节点和资源信息，因此节点一般都采用“软状态”来维护局部资源索引表和路由表。而攻击者则利用结构化P2P网络的这种转发查询特性发起DDoS攻击，常见的攻击类型有：

(1)基于路由表污染的DDoS攻击

结构化P2P网络中每个节点都维护一张路由表，对网络中节点的加入和退出，路由表须实时更新。攻击者利用结构化P2P网络中DHT(Distributed Hash Table，分布式哈希表)的特性，可以简单地发送一个节点加入消息来污染节点的路由表。该节点加入消息包含目标节点IP和虚假的节点标识符，经过节点间的转发这个节点加入消息会到达其邻居节点，邻居节点会将该节点信息加入到自身的路由表中。攻击者若发送大量这类包含目标节点IP和不同的虚假节点标识符的节点加入消息，则P2P网络中大量节点的路由表会遭到污染，节点被污染的路由表项都指向同一个目标节点。于是目标节点有可能收到大量来自该P2P网络中不同源节点的消息，这些消息都是正常的查询消息或路由消息，当目标节点没有足够的资源对这些消息进行处理和响应时便造成拒绝服务现象。

(2)基于资源索引表污染的DDoS攻击

攻击者伪装成目标节点发布虚假的热门资源拥有消息，存储该资源索引项的节点收到该消息后，将其加入资源索引列表。当普通节点查询这个资源时，便会向目标节点请求文件，普通节点首先会跟目标节点建立一个TCP连接，在连接建立后，普通节点会向目标节点发送一个由P2P协议规定的应用层消息，请求文件下载。如果目标节点为该P2P网络中的一个节点，但没有普通节点所请求的文件，则会返回没有所需文件的响应消息；如果目标节点并非该P2P网络中的一个节点，则该节点不能解析消息的格式，因此不知如何响应，目标节点只能丢弃这个消息并挂起或关闭TCP连接。如果有大量的节点向同一个目标节点发送这类消息，则会使目标节点的TCP连接资源耗尽，无法响应其他的连接请求，从而造成DDoS攻击。

(3)基于查询消息的洪泛攻击

在结构化P2P网络中，每个节点都负责某一范围内的键值，对其他节点查询由其负责的键值须作出响应。若没有其他节点需要的键值则返回无法找到的消息给发起查询的节点，若有其他节点查询的键值则返回这个键值对应的资源信息。这种必须响应的查询特性可被攻击者利用，发起基于查询消息的洪泛攻击，即控制大量节点发送查询消息给目标节点，目标节点对查询消息必须作出响应，大量的查询消息严重消耗了目标节点的处理能力和带宽，从而造成DDoS攻击。

通过对节点加入消息和资源发布消息进行确认，可以保护结构化P2P网络中资源索引列表和路由表的纯洁性，从一定程度上预防因节点维护的局部资源索引列表和路由表遭到污染而被攻击者利用造成的DDoS攻击。但若攻击者配合其他攻击手段发起基于查询消息的洪泛攻击时，在现有的技术下，P2P网络中节点不与其他节点进行合作，只依靠节点自身进行抵抗或退出网络避开攻击，因此不能进行有效抵抗。

发明内容

本发明的目的是针对现有技术所存在的问题，提出一种在结构化P2P网络中依靠节点间的协作来抵抗基于查询消息的洪泛DDoS攻击的方法。

在给出本发明技术方案之前，先对以下基本概念进行说明。

检测周期Δt：P2P网络中的节点在一段时间内对收到的消息进行计数，这样的一段时间称为一个检测周期，用符号Δt表示，Δt的大小通常由P2P网络根据网络延时确定。