基于網絡處理器的DDoS防御技術研究與實現(xiàn).pdf

1、隨著Internet技術的發(fā)展與應用，企業(yè)所面臨的網絡安全問題越來越復雜，安全威脅形勢日益嚴峻，分布式拒絕服務(DDoS)攻擊由于攻擊簡單、目前常見的攻擊工具較多、容易達到目的、難于防止和追查，成為常見的攻擊方式。傳統(tǒng)的DDoS攻擊防范手段已是捉襟見肘。具有網上交易業(yè)務或具有關鍵、絕密信息流通的企業(yè)及政府部門必須采取有效的安全機制和安全措施對服務網絡及其關鍵的服務器進行保護，所以開發(fā)先進的防拒絕服務產品具有非常重要的意義。 本文

2、的工作主要包含以下內容： (1)提出了通用、自學習和可擴展的DDoS防御系統(tǒng)體系結構，此基礎上研發(fā)防拒絕服務產品，該系統(tǒng)能對現(xiàn)在流行的拒絕服務攻擊進行有效的檢測和響應。DDoS防御系統(tǒng)是一個軟硬件一體的專用網絡安全設備，以透明的方式接入網絡，對流經的DDoS攻擊流量進行檢測和攔截。系統(tǒng)以高性能網絡處理器為硬件平臺，分為DDoS防御引擎、蜜罐子系統(tǒng)和監(jiān)控管理中心三部分。 (2)在CAVIUM公司的網絡處理器OcteonCN

3、3120上設計了DDoS防御引擎，充分利用網絡處理器CN3120雙核處理網絡數(shù)據(jù)包的高性能，通過對網絡流量進行異常檢測和分析，通過防御模塊對攻擊流量進行處理。其軟件主要包括六個檢測防御模塊：靜態(tài)特征防御，異常檢測，SYNFlood防御，白名單提取，攻擊目標定位，流量控制。 (3)在DDoS防御引擎上設計和實現(xiàn)了通信模塊，靜態(tài)特征防御模塊和基于SYNCookie技術的SYNFlood攻擊防御模塊。通信模塊負責與監(jiān)控管理中心進行通信

4、，接收監(jiān)控管理中心發(fā)送的初始化信息和控制信息，發(fā)送各個檢測防御模塊的統(tǒng)計信息；靜態(tài)特征防御模塊負責阻攔一些特征明顯且已知的DoS攻擊如Land，Smurf,PingOfDeath，Nuke攻擊；SYNFlood防御模塊主要是針對目前最常見的拒絕服務攻擊之一SYNFlood攻擊，DDoS防御引擎主要使用改進的SYNCookie算法對這種拒絕服務攻擊進行檢測和防御。該SYNCookie技術不同于傳統(tǒng)采用計算SYN和ACK字段差值并保存的方法