1. Introduction (简介)

1. Introduction (简介)

针对互联网中各种目标的拒绝服务攻击 (Denial of Service Attacks) [1] 的再次出现, 在互联网服务提供商 (ISP) 和网络安全社区中产生了新的挑战, 需要寻找新的创新方法来缓解这些类型的攻击。实现这一目标的困难是众多的; 一些简单的工具已经存在以限制这些攻击的有效性和范围, 但它们尚未被广泛实施。

这种攻击方法已经为人所知有一段时间了。然而, 防御它一直是一个持续的关注点。Bill Cheswick 在 [2] 中被引述说, 他在最后一刻从他的书 "Firewalls and Internet Security" [3] 中删除了一章, 因为受攻击系统的管理员没有办法有效地防御该系统。通过提及这种方法, 他担心会鼓励其使用。

虽然本文档中讨论的过滤方法对于源自有效前缀 (IP 地址) 的洪泛攻击完全无能为力, 但它将禁止起源网络内的攻击者使用不符合入口过滤规则的伪造源地址发起此类攻击。强烈敦促所有互联网连接提供商实施本文档中描述的过滤, 以禁止攻击者使用不在合法通告前缀范围内的伪造源地址。换句话说, 如果 ISP 正在为多个下游网络聚合路由通告, 则应使用严格的流量过滤来禁止声称源自这些聚合通告之外的流量。

实施这种类型的过滤的一个额外好处是, 它使攻击发起者能够很容易地被追踪到其真实来源, 因为攻击者必须使用一个有效且合法可达的源地址。