七种主流ip拥塞控制算法及评价（二）

《七种主流ip拥塞控制算法及评价（二）》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、七种主流IP拥塞控制算法及评价（二）～教育资源库　　根据DDoS攻击的原理和机制，对各种机制的防护能力做评价时应参照以下标准:条件一，是否能按一定规则进行特征设定;条件二，是否能根据一定规则对流经的数据加以区分;条件三，针对不同类型的数据包，是否能提供不同优先级的服务。如果一个拥塞控制机制满足了以上三个条件，就基本上具备了防护DDoS攻击的能力。　　下面将简略地分析当前一些主流IP拥塞控制算法，并对其防护DDoS攻击的可行性进行评价:　　●先进先出FIFO(FirstInFirstOut)　　传统的先进先出策略是目前Inter上使用最广泛的一种服务模型。它的最大优点是便于

2、实施，但由于FIFO本质上是一种去尾(Drop-tail)的算法，所以当突发性数据到达时容易出现包丢失现象，其公平性较差，对上层的TCP快速恢复的效率也较低。　　对照评价标准可知，该算法没有满足任何一个条件，过于简单且缺乏智能性，完全不能用于DDoS攻击防护。　　●随机早期检测算法RED(RandomEarlyDetection)　　RED算法是按一定概率丢弃进入路由器的数据包。RED的早期设计思路是避免丢弃属于同一连接的连续数据包，从而提高连接的吞吐量。通过分摊包丢失率，RED可以在各连接之间获得较好的公平性，对突发业务的适应性较强。RED也存在一些不足，例如可能会引起

3、网络的不稳定，而且选择合适的配置参数也不是一件容易的事。近年来，研究者提出了许多RED的改进算法，这些算法都在一定程度上，从不同方面改善了RED的性能。　　对照评价标准可知，该方法对DDoS攻击的防护作用不大，由于其思路是分摊包丢失率，对正常业务和攻击数据过分公平，不能做到有所区分，从而使得大量正常业务在攻击发生时无法得到服务。　　●显示拥塞指示算法E(ExplicitCongestionNotification)　　前面两种拥塞控制算法都是通过包丢失来告诉端系统，网络已经发生拥塞。而显示拥塞指示算法通过明确的拥塞提示(RFC2481)来实现拥塞控制，对一次性大批量数据传

4、输的效果比较理想，但对时延有一定要求。　　该算法在源端数据包中嵌入E，由路由器根据网络情况设置CE(CongestionExperienced)比特位。源端接收到从网络中反馈回来的这种CE置位数据包后，将随后发出的数据包标记为可丢弃的数据包。E的优势在于不需要超时重传，也不依赖于粗粒度的TCP定时，所以在对时延有一定要求的应用场合性能较好。在此基础上还提出了另一种改进算法，它通过调整拥塞窗口CEarlyDetection)　　是将随机先期检测与优先级排队结合起来，这种结合为高优先级分组提供了优先通信服务能力。当某个接口开始出现拥塞时，它有选择丢弃优先级较低的分组，而不是简

5、单地随机丢弃分组。　　对照评价标准可知，该方法通过改进后可用于防护DDoS攻击，思路与WFQ类似，它们都符合评价标准的条件三，改进应从增加条件一和条件二着手。　　●定制排队　　定制排队是为允许具有不同最低带宽和延迟要求的应用程序共享网络而设计的。定制排队为不同协议分配不同的队列空间，并以循环方式处理队列，当特定协议的数据流被分配了较大的队列空间，也就获得了较优先的服务，定制排队比优先级队列更为公平。定制排队可以保证每一个特定的通信类型得到固定的可用带宽，同时在链路紧张的情况下，避免了数据流企图超出预分配量限制的可能。　　对照评价标准可知，该方法通过改进后可用于防护DDoS

6、攻击，都是在资源分配和使用时为不同业务提供优先级加权，改进思路与WFQ和WRED类似。　　除了以上7种方法以外，还有其他一些方法。如将FQ与RED算法结合起来的FlowRED算法，它将缓存分成若干排队队列，再在每个数据流使用RED算法，仿真实验证明它的公平性较好;又如核心无状态公平排队算法CSFQ(Core-StatelessFairQueuing)在网络边界路由器执行数据流管理，而在核心并不做处理等等。　　可以看出，这些算法的防护能力存在着较大差异，其中的任何一种都需要在改进后，才能有效地应用于控制DDoS攻击所造成的网络拥塞。友情提醒：，特别！