基于URPF和精確ACL的DRDoS協(xié)同處置方法研究

◆張 可 袁 洋 程紹銀 丁彬勇

（1.國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心安徽分中心 安徽 230041；2.中國聯(lián)通安徽省分公司網(wǎng)絡(luò)運營部 安徽 230071；3.中國科學(xué)技術(shù)大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 安徽 230027；4.中國移動通信集團安徽有限公司網(wǎng)管中心 安徽 230031）

分布式拒絕服務(wù)（Distributed Denial of Sevice，DDoS）攻擊是當(dāng)前公共互聯(lián)網(wǎng)面臨最嚴(yán)重的安全威脅之一，分布式反射拒絕服務(wù)（Distributed Reflection Denial of Sevice，DRDoS）攻擊是拒絕服務(wù)攻擊的一種變形，相較于傳統(tǒng)的基于僵尸網(wǎng)絡(luò)的DDoS 攻擊（如ICMP洪水攻擊、UDP洪水攻擊），DRDoS攻擊不需要在攻擊前控制大量的僵尸主機，所有攻擊數(shù)據(jù)包都是由網(wǎng)絡(luò)中合法的主機服務(wù)器發(fā)出的，實現(xiàn)和控制過程相對簡單，成本較低，且具有放大效果顯著、治理追溯困難的特點，給傳統(tǒng)的DDoS攻擊的防護帶來新的挑戰(zhàn)[1]。

單播反向路徑轉(zhuǎn)發(fā) URPF全稱是 Unicast Reverse Path Forwarding，即單播反向路徑轉(zhuǎn)發(fā)。是一種用來檢測偽造源IP地址和阻止源IP地址欺騙攻擊的技術(shù)。

訪問控制列表（Access Control List，ACL）是路由器和交換機等網(wǎng)絡(luò)設(shè)備接口的指令列表，能夠限制網(wǎng)絡(luò)流量和指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包。

目前，對于分布式反射拒絕服務(wù)攻擊缺少有效的處置方法，本文基于基礎(chǔ)電信運營商網(wǎng)絡(luò)環(huán)境，結(jié)合業(yè)務(wù)實際，提出了基于URPF和精確ACL的DRDoS協(xié)同處置方法，用于DRDoS攻擊的防御。實驗結(jié)果和大規(guī)模應(yīng)用表明，所提方法實現(xiàn)了事前事中事后全過程有效處置DRDoS攻擊，保護正常業(yè)務(wù)不受影響。

本文第1節(jié)對反射DDoS攻擊原理、特征和類型進行介紹和分析。第2節(jié)對反射DDoS攻擊研究現(xiàn)狀進行介紹和分析。第3節(jié)提出基于URPF和ACL的DRDoS協(xié)同處置方法。第4節(jié)通過仿真實驗進行驗證。第5節(jié)進行總結(jié)。

1 反射DDoS攻擊

1.1 反射DDoS攻擊原理

分布式拒絕服務(wù)（Distributed Denial of Sevice，DDoS）攻擊是指采用分布式的攻擊方式，聯(lián)合或則控制網(wǎng)絡(luò)上能夠發(fā)動拒絕服務(wù)攻擊的若干主機同時發(fā)動攻擊，制造數(shù)以百萬計的分組流入準(zhǔn)備攻擊的目標(biāo)，致使流向目標(biāo)的服務(wù)請求極度擁塞，而造成目標(biāo)無法提供正常的網(wǎng)絡(luò)服務(wù)[2]。

根據(jù)攻擊路徑不同，可將DDoS攻擊劃分為直接DDoS攻擊和反射DDoS攻擊。分布式反射拒絕服務(wù)（Distributed Reflection Denial of Sevice，DRDoS）攻擊是指利用路由器、服務(wù)器等設(shè)施對請求產(chǎn)生應(yīng)答，從而反射攻擊流量并隱藏攻擊來源的一種分布式拒絕服務(wù)攻擊技術(shù)[3]。

直接DDoS攻擊主要是攻擊者、主僵尸機和從僵尸機三部分組成。與直接DDoS攻擊相比，DRDoS攻擊在從僵尸機和受害者之間增加了反射點部分，攻擊者不是通過僵尸機直接向受害者發(fā)送大量的攻擊報文，而是向網(wǎng)絡(luò)中提供服務(wù)的主機發(fā)送請求報文，偽造請求數(shù)據(jù)包的源 IP地址信息，利用那些提供服務(wù)的主機（任何具有回應(yīng)能力的計算機）作為反射點，向受害者發(fā)送響應(yīng)包[4]。

在進行反射攻擊時，攻擊者使用受控主機發(fā)送大量的數(shù)據(jù)包，這些數(shù)據(jù)包的特別處在于，其目的 IP地址指向作為反射器的服務(wù)器、路由器等設(shè)施，而源IP地址則被偽造成被攻擊目標(biāo)的IP地址。反射器在收到數(shù)據(jù)包時，會認為該數(shù)據(jù)包是由被攻擊目標(biāo)所發(fā)出的請求，因此會將響應(yīng)數(shù)據(jù)發(fā)送給被攻擊目標(biāo)。當(dāng)大量的響應(yīng)數(shù)據(jù)包涌向攻擊目標(biāo)時，就會耗盡目標(biāo)的網(wǎng)絡(luò)帶寬資源，造成拒絕服務(wù)攻擊[3]。如圖1所示。

圖1 DRDoS的攻擊原理

執(zhí)行反射攻擊，需要具備四個因素。

（1）一個服務(wù)器：用于執(zhí)行IP地址欺騙；

（2）一個脆弱的、易于反射/放大的協(xié)議：任何設(shè)計不完善的、基于UDP請求的協(xié)議都可能被利用；

（3）反射服務(wù)器列表：支持脆弱協(xié)議的服務(wù)器；

（4）一個目標(biāo)IP地址：受害者的IP地址。

攻擊過程如圖2所示。

圖2 DRDoS的攻擊過程

發(fā)動攻擊時，主控端以欲攻擊的主機的 IP 地址為源地址，從構(gòu)造的反彈IP列表中循環(huán)選擇目的地址，從而形成TCP-SYN包[5]。

1.2 常見反射攻擊類型

根據(jù) CNCERT 抽樣監(jiān)測數(shù)據(jù)[6]，2018年以來利用反射服務(wù)器發(fā)起的三類重點反射攻擊共涉及19，708，130臺反射服務(wù)器，其中境內(nèi)反射服務(wù)器 16，549，970臺，境外反射服務(wù)器 3，158，160臺。被利用發(fā)起 Memcached反射攻擊的反射服務(wù)器有232，282臺，占比1.2%，其中境內(nèi)187，247臺，境外45，035臺；被利用發(fā)起NTP反射攻擊的反射服務(wù)器有3，200，200臺，占比 16.2%，其中境內(nèi)2，040，066臺，境外1，160，134臺；被利用發(fā)起SSDP反射攻擊的反射服務(wù)器有16，275，648臺，占比 82.6%，其中境內(nèi) 14，322，657 臺，境外 1，952，991臺。

（1）基于Memcached的反射攻擊

Memcached是一個高性能的開源分布式內(nèi)存對象緩存系統(tǒng)，主要用于提高Web應(yīng)用的擴展性。Memcached反射攻擊利用了Memcached服務(wù)（一種分布式緩存系統(tǒng)）存在的認證設(shè)計缺陷，攻擊者通過向在公網(wǎng)上暴露的memcached服務(wù)器IP地址（默認11211端口）發(fā)送偽造受害者 IP地址的特定 UDP數(shù)據(jù)包，使memcached服務(wù)器向受害者IP地址返回比請求數(shù)據(jù)包大數(shù)倍的數(shù)據(jù)，從而進行反射攻擊[5]。

（2）基于NTP的反射攻擊

NTP是Network Time Protocol（網(wǎng)絡(luò)時間協(xié)議）的簡稱，是互聯(lián)網(wǎng)中時間同步的標(biāo)準(zhǔn)之一。

NTP反射攻擊利用了 NTP（一種通過互聯(lián)網(wǎng)服務(wù)于計算機時鐘同步的協(xié)議）服務(wù)器存在的協(xié)議脆弱性，攻擊者通過向NTP服務(wù)器的默認123端口發(fā)送偽造受害者 IP 地址的 Monlist指令數(shù)據(jù)包，使 NTP 服務(wù)器向受害者 IP 地址反射返回比原始數(shù)據(jù)包大數(shù)倍的數(shù)據(jù)，從而進行反射攻擊[6]。

（3）基于SSDP的反射攻擊

SSDP（Simple Service Discovery Protocol），簡單服務(wù)發(fā)現(xiàn)協(xié)議，是應(yīng)用層協(xié)議，是構(gòu)成 UPnP（通用即插即用）技術(shù)的核心協(xié)議之一。利用SSDP協(xié)議進行反射攻擊的原理與利用NTP服務(wù)類似，都是偽造成被攻擊者的 IP地址向互聯(lián)網(wǎng)上大量的智能設(shè)備默認1900端口發(fā)起SSDP請求，接收到請求的設(shè)備根據(jù)源IP地址將響應(yīng)數(shù)據(jù)包返回給受害者。

2 反射DDoS攻擊研究現(xiàn)狀

從上面的分析可以得知，DRDoS攻擊是一種特殊的DDoS攻擊方式，它不需要在實際攻擊前控制大量傀儡機，而是巧妙地利用暴露在公共互聯(lián)網(wǎng)上的大量反射服務(wù)器作為跳板來將洪水?dāng)?shù)據(jù)包反彈給目標(biāo)IP地址。雖然目前對于DRDoS攻擊的研究已有不少，但是在實際應(yīng)用場景中對此類攻擊的檢測與防御效果不夠理想，因此針對DRDoS攻擊的防護處置研究成為一個重要的課題[7]。

近年來，研究者們已經(jīng)提出了很多的防御措施[7-13]。2014年，德國波鴻大學(xué)的一篇研究報告對14種UDP協(xié)議進行了實驗性研究[8]，認為這些協(xié)議存在實施反射攻擊的可能，并對攻擊的危害程度進行了對比分析。李剛等[9]討論了被利用進行 DRDoS的協(xié)議漏洞，并就這些協(xié)議的攻擊防范在主機服務(wù)設(shè)置方面提供了參考意見。劉克勝等[10]提出對DDoS攻擊的防護分為三種情況：對DDoS攻擊的檢測、對DDoS攻擊的追蹤處理、對主機和服務(wù)器加強監(jiān)控和安全策略。何雪妮[11]提出一種改進的 DRDoS檢測算法，該算法能夠針對性地檢測到利用特定網(wǎng)絡(luò)服務(wù)產(chǎn)生的DRDoS攻擊流量，但這種方法通過網(wǎng)絡(luò)中請求包與回應(yīng)包的比例異常來發(fā)現(xiàn)攻擊，檢測行為發(fā)生在攻擊流量被反射后，防御反應(yīng)比較滯后。WangHaining等[12]提出了一個輕量級的可以粗略進行DDOS防御的防御模型——HCF（hop count filter）。這種方法基于請求包的異常行為進行檢測，在訓(xùn)練完全的情況下能夠以較低的系統(tǒng)開銷過濾掉大部分的DRDoS攻擊，但是無法有效消除在與受害主機相似的網(wǎng)絡(luò)拓撲位置上發(fā)起的攻擊。翟瑞等[13]結(jié)合IPv6網(wǎng)絡(luò)特點實現(xiàn)動態(tài)過濾，引入域內(nèi)攻擊測試服務(wù)器對數(shù)據(jù)包源地址進行驗證，實現(xiàn)有效識別偽造源地址的數(shù)據(jù)包。張明清等[7]基于協(xié)同防御思想，提出一種DRDoS協(xié)同防御模型——HCFAST（hop count filtering-attack source tracing）。該模型把DRDoS檢測和過濾設(shè)備部署在網(wǎng)關(guān)，通過協(xié)同式自學(xué)習(xí)過程，實現(xiàn)設(shè)備間DRDoS防御知識的共享，并引入入侵追蹤技術(shù)，彌補防火墻單獨防御的不足。

目前大多數(shù)研究者多是從檢測或者防御單一角度去研究DRDoS攻擊處置，從現(xiàn)有的技術(shù)角度說，對于DRDoS攻擊還缺少有效的綜合處置方法。本文提出基于URPF和ACL的DRDoS協(xié)同處置方法，該方法充分考慮到基礎(chǔ)電信運營商的業(yè)務(wù)運行特點，在不影響到正常業(yè)務(wù)開展的基礎(chǔ)上，達到對DRDoS攻擊的有效治理。

3 基于URPF和ACL的DRDoS協(xié)同處置方法

根據(jù)工作實踐，綜上分析可以發(fā)現(xiàn)，對于DRDoS攻擊的治理主要集中在以下三個要素：

（1）對僵尸網(wǎng)絡(luò)進行治理，能夠從源頭抑制正在進行的DRDoS攻擊；

（2）對源IP地址偽造攻擊進行治理，能夠控制和阻止未來可能發(fā)生的一部分DRDoS攻擊，并有利于找到攻擊源IP地址；

（3）對攻擊反射點進行治理，能夠控制和縮小DRDoS攻擊的規(guī)模。

因?qū)┦W(wǎng)絡(luò)的治理主要是由各運營企業(yè)對多次參與DRDoS攻擊的控制端和肉雞用戶進行及時通報并督促整改，本文研究的主要內(nèi)容是源IP地址偽造攻擊治理和攻擊反射點治理，我們提出基于URPF和精確ACL的DRDoS協(xié)同處置方法，從源IP地址偽造攻擊治理和攻擊反射點治理著手，在事前事中事后全過程有效處置DRDoS攻擊。

3.1 URPF對源IP地址偽造攻擊進行治理

URPF（Unicast Reverse Path Forwarding）即單播反向路徑轉(zhuǎn)發(fā)，是一種用來檢測偽造IP源地址和阻止IP源地址欺騙攻擊的技術(shù)。該技術(shù)比較成熟，在路由器上比較容易實現(xiàn)，實用價值很高。URPF的主要功能是防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。URPF檢查有嚴(yán)格（strict）型和松散（loose）型兩種。此外，還可以支持ACL與缺省路由的檢查[14]。

在互聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)備上開啟松散URPF功能，會對訪問數(shù)據(jù)包檢查 IP源地址和源端口是否在路由表中。如果存在，則認為該數(shù)據(jù)包是通過最優(yōu)路徑到達該路由器，應(yīng)該正常轉(zhuǎn)發(fā)，否則丟棄。如果在路由器上開啟嚴(yán)格URPF功能，在路由表中找到訪問數(shù)據(jù)包的IP源地址，進一步獲取數(shù)據(jù)包的IP源地址和輸入接口，通過 IP源地址查找到下一跳路由后，將得到的輸出接口和輸入接口進行比對。如果成功，則認為該數(shù)據(jù)包合法；否則丟棄該數(shù)據(jù)包。URPF通過檢查IP源地址和源端口來決定是否轉(zhuǎn)發(fā)數(shù)據(jù)包，從源頭上有效阻止偽造IP地址流量的發(fā)生。

具體分為5個步驟：

（1）檢查數(shù)據(jù)包的IP源地址的合法性。如果IP源地址是廣播地址或者目的地址不是廣播的全零IP地址，則直接丟棄。

（2）檢查路由器的FIB表中能否找到數(shù)據(jù)包的IP源地址。若找到，則跳轉(zhuǎn)到步驟3；否則，跳轉(zhuǎn)到步驟5。

（3）如果在路由器的FIB表中匹配的是默認路由，檢查配置的URPF策略是否允許。如果允許，跳轉(zhuǎn)到步驟4；否則，跳轉(zhuǎn)到步驟5。

（4）檢查數(shù)據(jù)包的輸入接口和輸出接口是否一致。如果一致，則通過檢查；如果不一致，檢查是否是松散模式URPF。如果是松散模式URPF，則通過檢查；如果不是松散模式URPF（即是嚴(yán)格模式URPF），則不通過檢查。

（5）檢查用戶是否配置了ACL規(guī)則，如果配置了ACL規(guī)則，檢查數(shù)據(jù)包是否符合ACL規(guī)則，如果符合，則通過檢查；否則丟棄。

在實際基礎(chǔ)電信運營商DDoS防護應(yīng)用場景中，經(jīng)常有一種組網(wǎng)結(jié)構(gòu)，即用戶端單獨構(gòu)建接入路由器，通過多條鏈路接入骨干路由器。針對此類用戶的接入端口，如果部署嚴(yán)格型URPF策略，會攔截許多出接口與入接口不同的正常報文，造成用戶正常通信故障，大部分網(wǎng)絡(luò)核心路由器廠商均建議開啟松散模式URPF。如果部署松散型URPF，會導(dǎo)致部分偽造IP地址流量沒有被阻止，攻擊者利用這些偽造IP地址會增加DRDoS攻擊的深度和廣度，給DRDoS攻擊的防御和治理帶來更大的困難。

3.2 精確ACL處置DRDoS攻擊

ACL（Access Control List），即訪問控制列表。這種策略是路由器、交換機等網(wǎng)絡(luò)設(shè)備提供的一種訪問控制技術(shù)，用來控制端口進出的數(shù)據(jù)包。系統(tǒng)管理員通過增加/刪除ACL策略，將特定端口轉(zhuǎn)發(fā)的數(shù)據(jù)包直接過濾/通過，如允許局域網(wǎng)內(nèi)的設(shè)備只能使用FTP服務(wù)訪問外部網(wǎng)絡(luò)，ACL適用于所有的路由協(xié)議。

除此之外，通過配置ACL可以限制信息點和內(nèi)外網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量，只允許特定設(shè)備或者特定大小流量的訪問，進而保證通信網(wǎng)尤其是內(nèi)網(wǎng)的安全性。ACL既可以在路由器、交換機等硬件設(shè)備上配置，也可以在具有該項功能的業(yè)務(wù)軟件上進行配置。

DRDoS攻擊利用的都是一些常見的協(xié)議和服務(wù)（Memcached、NTP、SSDP等），被攻擊者很難將惡意連接請求和正常連接請求區(qū)分開，無法有效分離出攻擊數(shù)據(jù)包[15]。用戶在收到DRDoS攻擊后，也難以及時有效處理。

在實際應(yīng)用中，在現(xiàn)網(wǎng)部署精確ACL策略，針對不同DRDoS攻擊場景，采用限速和精確處置的方法，在防御、檢測和響應(yīng)等方面采取防范措施，以最大限度地減少DDOS攻擊帶來的危害。

通過對DRDoS的攻擊行為進行分析，發(fā)現(xiàn)攻擊過程中的源地址是不固定的，源端口是固定的；目的地址和目的端口是固定的。為精確處置DDoS反射攻擊源，可以通過部署精確ACL策略來解決。具體做法如下：

源IP地址+源端口號+目的地址+目的端口號，以SSDP反射攻擊（11211端口）為例，華為交換機配置如下（目的IP地址：1.1.1.1，源IP地址：2.2.2.2，源端口：11211，目的端口：443）：

Rule deny udp source 2.2.2.2 0 source-port eq 11211 destination 1.1.1.1 0 destination-port eq 443

//本地源IP地址（IP：2.2.2.2）的11211端口訪問目的地址（IP：1.1.1.1）的443端口流量都會被拒絕掉

4 實驗

為了驗證所提出的基于URPF技術(shù)和精確ACL的DRDoS協(xié)同處置方法的有效性，搭建如圖3所示的拓撲結(jié)構(gòu)進行仿真實驗。因為URPF處置實驗國內(nèi)外相關(guān)很多人員已經(jīng)做過，本文不贅述，僅對限速和精確處置兩個場景進行研究。

4.1 實驗拓撲

利用華為ENSP搭建驗證環(huán)境，若干PC代替攻擊端，網(wǎng)內(nèi)主機（IP地址：58.247.215.101）作為被攻擊端，通過攻擊端UDP發(fā)包工具模擬攻擊端（IP地址：58.243.254.130）對被攻擊端發(fā)送大量UDP 11211報文。實驗拓撲及UDP發(fā)包工具配置如下：

從監(jiān)測到的報文可以看出，本地源IP地址58.243.254.130服務(wù)端口35931 到目的IP地址58.247.215.101服務(wù)端口11211存在活動連接。

4.2 實驗場景1（限速）

對網(wǎng)內(nèi)使用UDP 11211服務(wù)端口的用戶，進行流量采樣，計算出來自網(wǎng)外UDP 11211的報文流量（本例計算正常UDP 11211報文流量約為20Mbit/s），在入局方向上進行流量限速，策略為單鏈路流量超過20Mbit/s時，則丟棄超標(biāo)流量。配置如下：

acl 3000

rule 5 permit udp destination 58.247.215.101 0 destination-port eq 11211

traffic classifier speed_ddos_udp11211 operator or if-match acl 3000

traffic behavior speed_ddos_udp11211

car cir 20000 green pass yellow discard red discard

traffic policy speed_ddos_udp11211

classifier speed_ddos_udp11211 behavior speed_ddos_udp11211

traffic-policy speed_ddos_udp11211 inbound //出局接口in方向應(yīng)用策略。

圖3 實驗拓撲結(jié)構(gòu)圖

圖4 模擬發(fā)包

（1）未部署限速前，抓包結(jié)果如圖5。

圖5 未限速場景1

可以看到接口流量統(tǒng)計結(jié)果全部為 pass，未丟棄過載報文。

（2）部署限速后，抓包結(jié)果如圖6。

圖6 限速場景1

可以看到接口流量統(tǒng)計結(jié)果：過載流量（超過20Mbit/s）報文被丟棄。限速處置方法，在保障正常使用UDP 11211服務(wù)的客戶同時，當(dāng)面對異常UDP 11211流量攻擊時，限速丟棄了過載流量，避免了下一級鏈路擁塞，保護了其他正常網(wǎng)絡(luò)流量。

4.3 實驗場景2（處置）

針對未使用UDP 11211服務(wù)端口的用戶，在入局方向上，直接對本地源IP地址58.243.254.130服務(wù)端口35931到目的IP地址58.247.215.101 服務(wù)端口11211的報文流量進行處置（丟棄），配置如下：

acl number 3001

rule 5 deny udp source 58.243.254.130 0 source-port eq 35931 destination 58.247.215.101 0 destination-port eq 11211

//限制源地址58.243.254.130/32（端口35931）訪問目的地址58.247.215.101/32 （端口11211）

rule 399 permit ip

traffic classifier ipfilter operator or

if-match acl 3001

#

traffic behavior ipfilter

traffic policy ipfilter

classifier ipfilter behavior ipfilter

traffic-policy ipfilter outbound //出局接口上應(yīng)用 trafficpolicy

（1）未做加固，抓包結(jié)果如圖7。

圖7 未處置場景2

可以看到本地源IP地址58.243.254.130服務(wù)端口35931 到目的IP地址58.247.215.101 服務(wù)端口11211的活動連接可以正常建立。

（2）加固后，抓包結(jié)果如圖8。

圖8 處置場景2

可以看到本地源IP地址58.243.254.130服務(wù)端口35931到目的 IP地址 58.247.215.101 服務(wù)端口 11211的活動連接（MEMACHE）已經(jīng)不能正常建立。出局報文在接口上被過濾丟棄。以上基于精準(zhǔn)ACL防范Memcached攻擊的方法，同樣適用于防范現(xiàn)網(wǎng)基于UDP的1900端口SSDP攻擊和123端口NTP攻擊。

通過大規(guī)模實際應(yīng)用發(fā)現(xiàn)，基于 URPF和精確 ACL的DRDoS協(xié)同處置方法使用效果顯著。

5 結(jié)束語

本文針對DRDoS攻擊原理、攻擊類型和攻擊研究現(xiàn)狀進行分析，提出了基于URPF和精確ACL的DRDoS協(xié)同處置方法。該方法立足于實際基礎(chǔ)電信運營商的應(yīng)用場景，利用路由器現(xiàn)有的常用策略，在不影響基礎(chǔ)電信運營商正常業(yè)務(wù)的基礎(chǔ)上，創(chuàng)新性地將URPF技術(shù)和ACL這兩種技術(shù)結(jié)合，從事前事中事后全過程處置DRDoS攻擊，具有一定的現(xiàn)實指導(dǎo)意義。

由于我國基礎(chǔ)電信運營商組網(wǎng)結(jié)構(gòu)有差異，目前該方法主要應(yīng)用于安徽聯(lián)通的基礎(chǔ)網(wǎng)絡(luò)中，應(yīng)用場景較少。此外，松散模式URPF及 ACL規(guī)則需要在核心路由器上進行數(shù)據(jù)配置，全網(wǎng)的DRDoS攻擊流量也需要人工分析，人工成本較高，影響了互聯(lián)網(wǎng)管理從低水平粗放管理模式向高水平精準(zhǔn)管理模式轉(zhuǎn)型。

在后續(xù)的工作中我們將會在以下幾個方面做進一步的探索：

（1）深入分析基礎(chǔ)電信運營商的網(wǎng)絡(luò)特點，將該方法應(yīng)用到更多場景中；

（2）利用人工智能算法自動更新維護更新URPF和ACL策略，自動化監(jiān)測、分析和判定DRDoS攻擊流量的來源并實時處置，增強該方法的準(zhǔn)確度和實用性；

（3）對電信運營商基礎(chǔ)網(wǎng)絡(luò)上存在的服務(wù)進行優(yōu)化，互聯(lián)網(wǎng)上的主機只運行必要的服務(wù)，減少受攻擊的風(fēng)險；

（4）促進網(wǎng)絡(luò)安全主管單位、基礎(chǔ)電信運營商和網(wǎng)絡(luò)設(shè)備廠家的協(xié)助與合作，建立快速合作處置機制，有效阻止和快速處置DRDoS攻擊。