本文提出一種完全基于服務器端的DDoS 包過濾技術，它通過IP 收斂算法對來源于受
限地址空間的攻擊包進行有效的過濾，并彌補了基于Cookie 的虛假地址防御技術存在的不足，通過實驗證明該方法是有效的。
關鍵詞：源地址受限的分布式拒絕服務攻擊；主阻塞列表；臨時阻塞列表
分布式拒絕服務攻擊（DDoS）是攻擊者利用網絡通信協議存在的缺陷，通過大量攻擊代理主機向受害主機發送大量看似正常的服務請求包，從而耗盡受害主機的系統資源或網絡帶寬，致使正常的連接請求無法得到響應。DDoS 攻擊采用分布式結構, 基于Client/Server體系。整個攻擊體系由攻擊者、主控機 、實施攻擊的代理機、被攻擊的目標主機形成四個層次。主控機和攻擊代理機分別實施控制和發起實際攻擊, 對目標主機而言, DDoS 攻擊包實際來自于攻擊代理機, 而主控機只發布命令, 不參與實際的攻擊。常見的 DDoS 攻擊方法有：SYN Flood 攻擊[1]、Land 攻擊[2]、Smurf 攻擊[3]等.
SYN Flood 攻擊是一種最常見的 DDoS 攻擊手段，它利用TCP/IP 連接“三次握手”過程，通過虛假IP, 源地址發送大量 SYN 數據包，請求連接到被攻擊方的一個或多個端口。當被攻擊方按照約定向這些虛假IP,地址發送確認數據包后，等待對方連接，虛假的IP 源地址將不給予響應。這樣，連接請求將一直保存在系統緩存中直到超時。如果系統資源被大量此類未完成的連接占用，系統性能明顯下降。后續正常的TCP 連接請求也會因等待隊列填滿而被丟棄，造成服務器拒絕服務的現象。
由于DDoS 以貌似合法的數據包向目標主機發動攻擊，傳統的防火墻對其無能為力。近
年來針對日益頻繁的DDoS 攻擊事件，研究人員進行了大量的研究工作，提出了多種防御機制。近年來針對日益頻繁的DDoS 攻擊事件，研究人員提出了多種防御機制，但是這些防御機制大多需要在整個Internet 范圍內部署大量的基礎設備，故而難以大規模推廣。近年來一種新的基于Cookie 的DDoS 防御機制[4]被提了出來，該方法通過在服務器一側設置SYN PROXY,能夠較為有效的防御SYN FLOOD，其設計思想為：一旦防火墻截獲外網發向內網的SYN請求，并不立即向服務器轉發，而是根據該數據包的源地址替代服務器生成一個發往該地址的SYN/ACK 數據包，并在返回的數據包中設置一個Cookie 項，其值由Cookie 算法確定，如果該地址是真實的地址，那么防火墻就能夠收到一個合法的ACK 包，可以通過對該包的Cookie 項計算來確定該包的有效性，如果是合法的數據包，則由防火墻向服務器轉發SYN包，在服務器發出SYN/ACK 包，防火墻回復ACK 包之后，一個由客戶端到服務器的TCP 連接成功建立。該防御機制從DDoS 攻擊具有源地址欺騙這一本質特征入手，能夠較好的對存在源地址欺騙的數據包進行過濾，然而如果執行攻擊的主機正好位于從服務器到虛假源地址之間的話，它就有可能截獲由防火墻發往虛假源地址的含有Cookie 項的SYN/ACK 數據包，這使的攻擊者有機會偽造ACK 包并回發給防火墻。