第四章DDoS攻擊與IP擁塞控制研究

1、第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究計(jì)算機(jī)入侵檢測(cè)技術(shù)DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四章第四章 DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第一節(jié)第一節(jié) 引言引言隨著DDoS攻擊的日益增多，該攻擊手段已逐漸引起全球各國的高度重視，并被認(rèn)為是目前Internet所面臨的最大威脅之一。人們通過不斷努力研究，提出了一些可行的解決辦法。從DDoS攻擊的過程和效果來看，當(dāng)攻擊發(fā)生時(shí)，攻擊者通過控制傀儡機(jī)向目標(biāo)發(fā)送大量的請(qǐng)求，導(dǎo)致系統(tǒng)資源耗盡或網(wǎng)絡(luò)擁塞，從而使目標(biāo)系統(tǒng)或網(wǎng)絡(luò)不能響應(yīng)正常用戶的請(qǐng)求。第

2、四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第一節(jié) 引言引言常見的表現(xiàn)有：1、被攻擊主機(jī)上有大量處于等待狀態(tài)的TCP連接；2、網(wǎng)絡(luò)中充斥著大量無用的數(shù)據(jù)包，源地址為假；3、制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無法正常和外界通訊；4、利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)、高速的發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無法及時(shí)處理所有正常請(qǐng)求，嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)；第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第一節(jié) 引言引言雖然DDoS的攻擊類型很多，但對(duì)于絕大部分攻擊而言，防護(hù)重點(diǎn)可集中于以下兩個(gè)方面：1、緩解攻擊所造成的網(wǎng)絡(luò)擁塞狀況2、防止被攻擊主機(jī)的資源

3、耗盡。由于DDoS攻擊引起的網(wǎng)絡(luò)擁塞，是由惡意主機(jī)控制大量傀儡機(jī)所造成的，并非傳統(tǒng)意義上的端到端擁塞，所以只能在路由器上進(jìn)行控制，因而本文所討論的DDoS攻擊防護(hù)是基于IP擁塞控制來進(jìn)行的。第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第二節(jié) DDoS攻擊與網(wǎng)絡(luò)擁塞網(wǎng)絡(luò)產(chǎn)生擁塞的根本原因在于用戶提供給網(wǎng)絡(luò)的負(fù)載超過了網(wǎng)絡(luò)的存儲(chǔ)和處理能力。擁塞具體表現(xiàn)為無效數(shù)據(jù)包增加、報(bào)文時(shí)延增加與丟失、服務(wù)質(zhì)量降低等。一般情況下形成網(wǎng)絡(luò)擁塞的三個(gè)直接原因是：（1）路由器存儲(chǔ)空間不足。幾個(gè)輸入數(shù)據(jù)流共同需要同一個(gè)輸出端口，如果入口速率之和大于出口速率，在這個(gè)端口就會(huì)建立隊(duì)列。如果沒有足夠的存儲(chǔ)空間

4、，數(shù)據(jù)包就會(huì)被丟棄，對(duì)突發(fā)數(shù)據(jù)流更是如此；第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第二節(jié)DDoS攻擊與網(wǎng)絡(luò)擁塞（2）帶寬容量相對(duì)不足。直觀的說，當(dāng)數(shù)據(jù)的總輸入帶寬大于輸出數(shù)據(jù)帶寬時(shí)，在網(wǎng)絡(luò)低速鏈路處就會(huì)形成帶寬瓶頸，網(wǎng)絡(luò)就會(huì)發(fā)生擁塞，相關(guān)證明可參考香農(nóng)信息理論；（3）處理器處理能力弱、速度慢。如果路由器的CPU在執(zhí)行排隊(duì)緩存、更新路由表等操作時(shí)，處理速度跟不上高速鏈路，也會(huì)產(chǎn)生擁塞。同理，低速鏈路對(duì)高速CPU也會(huì)產(chǎn)生擁塞。以上是早期Internet網(wǎng)絡(luò)發(fā)生擁塞的三個(gè)主要原因。對(duì)此，TCP擁塞控制給出了較好的解決方案。在實(shí)際應(yīng)用中，如果所有的端用戶均遵守或兼容TCP控制，網(wǎng)絡(luò)

5、的擁塞應(yīng)該能得到很好的控制。第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四章 DDoS攻擊與IP擁塞控制研究第三節(jié)第三節(jié) IP擁塞控制研究進(jìn)展擁塞控制研究進(jìn)展這里討論一下近年來IP擁塞控制的有關(guān)策略，并對(duì)其應(yīng)用于DDoS攻擊時(shí)的防護(hù)能力進(jìn)行簡要評(píng)價(jià)。根據(jù)DDoS攻擊的原理和機(jī)制，可對(duì)各種機(jī)制的防護(hù)能力給出以下評(píng)價(jià)標(biāo)準(zhǔn)：條件一：是否能按一定規(guī)則進(jìn)行特征設(shè)定；條件二：是否能根據(jù)一定規(guī)則對(duì)流經(jīng)的數(shù)據(jù)加以分；條件三：針對(duì)不同類型的數(shù)據(jù)包，是否能提供不同優(yōu) 先級(jí)的服務(wù)。如果一個(gè)擁塞控制機(jī)制滿足了以上三個(gè)條件，就基本具備了防護(hù)DDoS攻擊的能力。第四章第四章DDoS攻擊與攻擊與IP擁塞控

6、制研究擁塞控制研究第三節(jié) IP擁塞控制研究進(jìn)展對(duì)現(xiàn)有若干算法是否符合條件，進(jìn)行分析和評(píng)價(jià)： 1、先進(jìn)先出（FIFO）；2、隨機(jī)早期檢測(cè)算法RED（Random Early Detection）；3、顯示擁塞指示算法ECN（Explicit Congestion Notification）；4、公平排隊(duì)算法FQ（Fair Queuing）；5、加權(quán)公平排隊(duì)算法WFQ（Weighted Fair Queuing）；6、加權(quán)隨機(jī)先期檢測(cè)WRED（Weighted Random Early Detection）；7、定制排隊(duì)；第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第三節(jié) IP擁塞

7、控制研究進(jìn)展1、先進(jìn)先出（FIFO）：傳統(tǒng)的先進(jìn)先出策略是在目前Internet上使用最廣泛的一種方式。它的最大優(yōu)點(diǎn)是便于實(shí)施，但由于FIFO本質(zhì)上是一種“去尾”（Drop-tail）的算法，所以當(dāng)突發(fā)性數(shù)據(jù)到達(dá)時(shí)容易出現(xiàn)包丟失現(xiàn)象，其公平性較差，對(duì)上層的TCP快速恢復(fù)的效率也較低。對(duì)照評(píng)價(jià)標(biāo)準(zhǔn)可知，該算法沒有滿足任何一個(gè)條件。由于過于簡單以及缺乏智能性，完全不能用于DDoS攻擊防護(hù)；第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第三節(jié) IP擁塞控制研究進(jìn)展2、 隨機(jī)早期檢測(cè)算法RED（Random Early Detection）：隨機(jī)早期檢測(cè)算法是按一定的概率丟棄進(jìn)入路由器的

8、數(shù)據(jù)包。RED的早期設(shè)計(jì)思路是避免丟棄屬于同一連接的連續(xù)數(shù)據(jù)包，從而提高連接的吞吐量。通過分?jǐn)偘鼇G失率，RED可以在各連接之間獲得較好的公平性，對(duì)突發(fā)業(yè)務(wù)的適應(yīng)性較強(qiáng)。RED算法 的處理過程中，包丟失率P為平均排隊(duì)長度 的函數(shù)， 、 和 為可配置的RED參數(shù)， 為排隊(duì)長度的統(tǒng)計(jì)平均。eQminQmaxQmaxPeQ第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究丟失概率1QminQmax平均隊(duì)長第三節(jié)IP擁塞控制研究進(jìn)展RED存在一些不足，例如可能會(huì)引起網(wǎng)絡(luò)的不穩(wěn)定，而選擇合適的配置參數(shù)也不是一件容易的事，如圖4.1所示。近年來，研究者提出了許多RED的改進(jìn)算法，這些算法都在一定程

9、度上，從不同方面改善了RED的性能。圖4.1 隨機(jī)早期檢測(cè)算法RED示意圖第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第三節(jié)IP擁塞控制研究進(jìn)展對(duì)照評(píng)價(jià)標(biāo)準(zhǔn)可知，該方法對(duì)DDoS攻擊的防護(hù)作用不大，這是因?yàn)槠渌悸肥欠謹(jǐn)偘鼇G失率，對(duì)正常業(yè)務(wù)和攻擊數(shù)據(jù)“過分公平”，不能做到有所區(qū)分，從而導(dǎo)致在攻擊發(fā)生時(shí)大量正常業(yè)務(wù)無法得到服務(wù)；3、顯示擁塞指示算法ECN（Explicit Congestion Notification）：前面兩種擁塞控制算法都是通過包丟失來告訴端系統(tǒng)，網(wǎng)絡(luò)已經(jīng)發(fā)生擁塞。而顯示擁塞指示算法通過明確的擁塞提示（RFC2481）來實(shí)現(xiàn)擁塞控制，對(duì)一次性大批量數(shù)據(jù)傳輸?shù)男?/p>

10、果比較理想，但對(duì)時(shí)延有一定要求。對(duì)照評(píng)價(jià)標(biāo)準(zhǔn)可知，該方法對(duì)防護(hù)DDoS攻擊效果不大，原因在于無攻擊特征識(shí)別和區(qū)分功能，在攻擊發(fā)生時(shí)智能性較差；第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第三節(jié) IP擁塞控制研究進(jìn)展4、公平排隊(duì)算法FQ（Fair Queuing）：在公平排隊(duì)算法中路由器對(duì)每個(gè)輸出線路都建有一個(gè)排隊(duì)隊(duì)列。當(dāng)一條線路空閑時(shí)，路由器就來回掃描所有隊(duì)列，依次將每隊(duì)的第一個(gè)包發(fā)出。FQ的帶寬分配獨(dú)立于數(shù)據(jù)包大小，各種服務(wù)在隊(duì)列中幾乎是同時(shí)開始的。因此在沒有犧牲統(tǒng)計(jì)復(fù)用的情況下提供了另外的公平性，與端到端的擁塞控制機(jī)制可以較好地協(xié)同。它的缺點(diǎn)在于實(shí)現(xiàn)起來很復(fù)雜，需要每個(gè)數(shù)據(jù)

11、流的排隊(duì)處理、每個(gè)流的狀態(tài)統(tǒng)計(jì)、數(shù)據(jù)包的分類以及包調(diào)度的額外開銷等。對(duì)照評(píng)價(jià)標(biāo)準(zhǔn)可知，該方法對(duì)防護(hù)DDoS攻擊效果不大，原因同ECN法；第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第三節(jié)IP擁塞控制研究進(jìn)展5、加權(quán)公平排隊(duì)算法WFQ（Weighted Fair Queuing）：加權(quán)公平排隊(duì)算法是FQ的改進(jìn)算法。根據(jù)不同數(shù)據(jù)流的不同帶寬要求，對(duì)每個(gè)排隊(duì)隊(duì)列采用加權(quán)方法分配緩存資源，從而增加FQ對(duì)不同應(yīng)用的適應(yīng)性，該算法還有其它一些改進(jìn)算法。對(duì)照評(píng)價(jià)標(biāo)準(zhǔn)可知，該方法通過改進(jìn)后可用于防護(hù)DDoS攻擊，思路是首先對(duì)攻擊進(jìn)行檢測(cè)和分類，然后將入口數(shù)據(jù)按攻擊數(shù)據(jù)、正常數(shù)據(jù)、可疑數(shù)據(jù)三種類

12、型分別排隊(duì)處理，對(duì)攻擊數(shù)據(jù)直接丟棄，而通過對(duì)可疑和正常數(shù)據(jù)賦予相應(yīng)權(quán)值來提供不同質(zhì)量的服務(wù)。當(dāng)路由器性能良好、處理能力強(qiáng)的情況下，甚至可以采取更復(fù)雜、智能的處理策略，例如多優(yōu)先級(jí)隊(duì)列；第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第三節(jié)IP擁塞控制研究進(jìn)展6、加權(quán)隨機(jī)先期檢測(cè)加權(quán)隨機(jī)先期檢測(cè)WRED（Weighted Random Early Detection）：是將隨機(jī)先期檢測(cè)與優(yōu)先級(jí)排隊(duì)結(jié)合起來，這種結(jié)合為高優(yōu)先級(jí)分組提供了優(yōu)先通信處理能力。當(dāng)某個(gè)接口開始出現(xiàn)擁塞時(shí)，它有選擇地丟棄較低優(yōu)先級(jí)的通信，而不是簡單地隨機(jī)丟棄分組。對(duì)照評(píng)價(jià)標(biāo)準(zhǔn)可知，該方法通過改進(jìn)后可用于防護(hù)DDo

13、S攻擊，思路與WFQ類似，它們都符合評(píng)價(jià)標(biāo)準(zhǔn)的條件三，改進(jìn)應(yīng)從增加條件一和條件二著手；第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第三節(jié)IP擁塞控制研究進(jìn)展7、定制排隊(duì)定制排隊(duì)是為允許具有不同最低帶寬和延遲要求的應(yīng)用程序共享網(wǎng)絡(luò)而設(shè)計(jì)的。定制排隊(duì)為不同協(xié)議分配不同的隊(duì)列空間，并以循環(huán)方式處理隊(duì)列，為特定的協(xié)議分配較大的隊(duì)列空間可以提高其優(yōu)先級(jí)，定制排隊(duì)比優(yōu)先級(jí)隊(duì)列更為公平。定制排隊(duì)可以保證每一個(gè)特定的通信類型得到固定的可用帶寬，同時(shí)在鏈路緊張的情況下，避免了數(shù)據(jù)流企圖超出預(yù)分配量限制的可能。對(duì)照評(píng)價(jià)標(biāo)準(zhǔn)可知，該方法通過改進(jìn)后可用于防護(hù)DDoS攻擊，改進(jìn)思路與WFQ和WRED類似

14、，都是在資源分配和使用時(shí)為不同業(yè)務(wù)提供優(yōu)先級(jí)加權(quán)；第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第三節(jié)IP擁塞控制研究進(jìn)展除了以上7種方法以外，還有其它一些方法。如將FQ與RED算法結(jié)合起來的Flow RED算法，它將緩存分成若干排隊(duì)隊(duì)列，再在每個(gè)數(shù)據(jù)流使用RED算法，仿真表明它的公平性也較好；又如核心無狀態(tài)公平排隊(duì)算法CSFQ（Core-Stateless Fair Queuing）在網(wǎng)絡(luò)邊界路由器執(zhí)行數(shù)據(jù)流管理，而在核心并不做處理，等等。以上非常簡略的分析了當(dāng)前的一些主流IP擁塞控制算法，并對(duì)其防護(hù)DDoS攻擊的可行性進(jìn)行了評(píng)價(jià)?？梢钥闯觯@些算法的防護(hù)能力存在著較大差異，其

15、中的任何一種都不能不加改進(jìn)，就有效的應(yīng)用于控制DDoS攻擊所造成的網(wǎng)絡(luò)擁塞。第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四章第四章 DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四節(jié)第四節(jié) 一種針對(duì)一種針對(duì)DDoS攻擊的擁塞控制機(jī)制攻擊的擁塞控制機(jī)制一、回推機(jī)制的思路回推機(jī)制的思路是：當(dāng)路由器不能完全確定流經(jīng)的數(shù)據(jù)包是屬于正常流量還是攻擊流量時(shí)，通過回推（pushback）機(jī)制來盡可能找到異常包，并將之丟棄，而對(duì)正常業(yè)務(wù)提供較好的服務(wù)?？煞譃镈DoS攻擊示意圖、回推機(jī)制的功能、聚合檢測(cè)、限速、回推等幾個(gè)部分。為了達(dá)到這個(gè)目的，回推使用聚合擁塞控制ACC（Aggregati

16、on Congestion Control），其功能是識(shí)別擁塞的聚合流量，并在路由器端執(zhí)行丟棄動(dòng)作。聚合特征可以是“到特定主機(jī)或服務(wù)器的包”、“TCP SYN包”、“校驗(yàn)和錯(cuò)誤的IP數(shù)據(jù)包”，等等。第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四節(jié)一種針對(duì)DDoS攻擊的擁塞控制機(jī)制1、DDoS攻擊示意圖如圖4.2所示。圖中的服務(wù)器T遭受攻擊，并且到達(dá)T的流量來自編號(hào)R1至R8的所有路由器。圖中粗線表示可疑流量流經(jīng)的主要路徑，細(xì)線表示正常業(yè)務(wù)流量流經(jīng)的主要路徑。當(dāng)攻擊發(fā)生而又缺乏防護(hù)措施時(shí)，正常業(yè)務(wù)流量幾乎不可能到達(dá)目的地T。在圖中，鏈路R2-R5、R3-R6、R5-R8、 R6

17、-R8、R8- D為粗線，表示有較多可疑流量流經(jīng)，但這些路徑上仍然可能有正常業(yè)務(wù)的流量流經(jīng)了它們，只是由于R8-T的擁塞，大多數(shù)正常流量的包被丟棄了。R7R6R4R5R3R2R1R8T圖4.2 進(jìn)行中的DDoS攻擊示意圖第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四節(jié)一種針對(duì)DDoS攻擊的擁塞控制機(jī)制圖中的示例顯示，正常流量與可疑流量一同流入路由器R2，R3，R4，而流入R1的只有可疑流量。鏈路R2-R5，R3-R6，R4-R7可能既有正常流量，也有可疑流量。這種情況下，正常流量的損失將取決于鏈路的擁塞程度。R7R6R4R5R3R2R1R8T圖4.2 進(jìn)行中的DDoS攻擊示意

18、圖第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四節(jié) 一種針對(duì)DDoS攻擊的擁塞控制機(jī)制2、回推機(jī)制（pushback） 回推機(jī)制的思路是：當(dāng)路由器不能完全確定流經(jīng)的數(shù)據(jù)包，是屬于正常流量還是攻擊流量時(shí)，通過回推（pushback）機(jī)制來盡可能找到異常包，并將之丟棄，而對(duì)正常業(yè)務(wù)提供較好的服務(wù)。可分為DDoS攻擊示意圖、回推機(jī)制的功能、聚合檢測(cè)、限速、回推等幾個(gè)部分。第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四節(jié)一種針對(duì)DDoS攻擊的擁塞控制機(jī)制圖4.3說明了路由器上回推機(jī)制的工作流程，這里的輸入隊(duì)列表示了路由器的各個(gè)輸入鏈路。限速器回推進(jìn)程匹配擁塞特征？N

19、輸出隊(duì)列Y調(diào)整局部ACC更新?lián)砣卣鬏斎腙?duì)列P丟棄 圖4.4 回推機(jī)制工作過程第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四節(jié)一種針對(duì)DDoS攻擊的擁塞控制機(jī)制首先，數(shù)據(jù)包被檢查是否匹配擁塞特征（攻擊特征），若不匹配擁塞特征，將包送至輸出隊(duì)列，若匹配則將之送至限速器；由限速器根據(jù)當(dāng)前擁塞情況來決定對(duì)包是丟棄還是轉(zhuǎn)發(fā)；丟棄的包被送到回推進(jìn)程；回推進(jìn)程可根據(jù)擁塞情況，選擇丟棄該數(shù)據(jù)包或?qū)⑵浠厮拖匏倨鳎送?，根?jù)擁塞的程度，回推進(jìn)程將定期更新限速器的參數(shù)，并通知上游的后臺(tái)進(jìn)程對(duì)其同步更新。限速器回推進(jìn)程匹配擁塞特征？N輸出隊(duì)列Y調(diào)整局部ACC更新?lián)砣卣鬏斎腙?duì)列P丟棄 圖4.4 回

20、推機(jī)制工作過程第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四節(jié)一種針對(duì)DDoS攻擊的擁塞控制機(jī)制輸出隊(duì)列限制和緩存過大正常流量的其余部分；限速動(dòng)作執(zhí)行過程中，一個(gè)正常的包未被丟棄到限速器，并不表示它的優(yōu)先級(jí)較高，當(dāng)其加入到輸出隊(duì)列后，如果正常流量過大出現(xiàn)擁塞時(shí)，也會(huì)被丟棄到回推進(jìn)程中。擁塞發(fā)生時(shí)，回推進(jìn)程將不斷的從限速器、輸出隊(duì)列中得到被丟棄的包，在到達(dá)數(shù)據(jù)流為恒速的情況下，后臺(tái)將得數(shù)量相等的丟棄包，但應(yīng)優(yōu)先從限速器得到。只要攻擊仍在進(jìn)行過程中，回推進(jìn)程將不斷從限速器獲取丟棄包，當(dāng)緩存不夠時(shí)，將其徹底丟棄。當(dāng)攻擊停止時(shí)，回推進(jìn)程和限速器無需采用特別行為，在下一個(gè)執(zhí)行周期，無攻

21、擊被識(shí)別時(shí)限速將自動(dòng)停止。第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四節(jié)一種針對(duì)DDoS攻擊的擁塞控制機(jī)制由以上可見，回推機(jī)制是一種可行的DDoS攻擊防護(hù)機(jī)制。在判定引起擁塞的攻擊特征之后，該機(jī)制采取隊(duì)列緩存與帶寬計(jì)算相結(jié)合的方法，對(duì)那些引起擁塞的可疑數(shù)據(jù)按照一定策略進(jìn)行處理，并在上、下行路由器之間通過一定格式的消息包進(jìn)行通信，保證了整個(gè)攻擊數(shù)據(jù)流經(jīng)的鏈路上各路由節(jié)點(diǎn)采取一致策略。第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究附:參考文獻(xiàn)1. P. R. Jelena Mirkovic, Greg Prier, “Attacking ddos at the s

22、ource,” in 10th IEEE International Conference on Network Protocols, Paris, France,November 2002.2. L.Vicisano, L.Rizzo, J.Crowcroft. TCP-like Congestion Control for Layered Multicast Data Transfer. In IEEE INFOCOM98, Feb. 1998.3. 羅萬明，林闖，閻保平。TCP/IP擁塞控制研究。計(jì)算機(jī)學(xué)報(bào)，2001，24(1)：118.4. Nagel, J.: “On Packet

23、Switches with Infinite Storage,”IEEE Trans, on commun. ,vol. COM-35,pp. 435-438,April 1987.5. A.K.Parekh,R.G.Gallager. A generalized processor sharing approach to flow control in integrated services networks: the single-node. IEEE/ACM Trans. Networking, 1993,1(3): 344357.第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究附:參考文獻(xiàn)6. A.K.Choudhury, E.L.Hahne. Dynamic Thresholds for Multiple Loss Priorities. In: IEEE ATM97 Workshop, Lisbon, Portugal, May 1997.7. Athuraliya S, Low S