将随k的增加而快速增加。因此如果某些路径没有受到攻击,则这些路径上的路由器资源就会造成浪费。如果位于S和R(k)之间的路由器可以监视通向S的分组数据速率,则可以在不影响性能的前提下使情况得到改善。
图2为图1中在S和R(3)之间引入了监视路由器后的方式。请注意,图中R(3)所属的三个路由器的门限值被取消,因为在这些路径上并没有任何攻击。
四、考核测量标准
性能测量的一个基本指标是门限值能在多大程度上防DDoS攻击。除了基本指标,还必须考虑安装这一机制的成本。因此,可采用下述评估标准:
1.服务器中普通用户的数量;
2.保护S时需要介入的路由器数量;
3.针对用户需求变化的应变能力。
一般来讲,我们认为攻击者比普通用户的攻击性更强。但是某个恶意的攻击能使其他大量的主机参与到恶意攻击中来,虽然每个主机看上去像是一般的普通用户,但它们加在一起仍然会造成DDoS攻击。从本质上说,防御此类攻击比较困难。
页码:[1] [2] [3] [4] [5] [6] 第5页、共6页 |
