慢速拒絕服務攻擊防御方法研究.pdf

1、隨著計算機網(wǎng)絡和通信技術的飛速發(fā)展，網(wǎng)絡安全問題也不斷涌現(xiàn)。拒絕服務攻擊問題就是一類非常嚴重的網(wǎng)絡安全問題。拒絕服務攻擊者利用各種手段造成網(wǎng)絡服務的中斷或服務質量的下降，導致網(wǎng)絡用戶的不便甚至危及到網(wǎng)絡基礎設施，帶來極大的經濟危害和社會影響。拒絕服務攻擊的種類層出不窮，其中很多基于大流量洪水攻擊的方法在現(xiàn)有的入侵檢測以及路由器的主動隊列管理方法下很容易被發(fā)現(xiàn)及預防。慢速拒絕服務(Low-rate Denial of Service，Lr

2、DoS)攻擊是近期出現(xiàn)的一種新型的拒絕服務攻擊方法，不同于洪水型拒絕服務攻擊，其平均流量小，很難被現(xiàn)有的入侵檢測及路由器上的主動隊列管理(Active Queue Management，AQM)算法所發(fā)現(xiàn)。這種攻擊的出現(xiàn)導致網(wǎng)絡安全問題的進一步加劇。對于此類攻擊的防御方法的研究已經為研究者所關注。 慢速拒絕服務攻擊利用TCP中的超時重傳機制中使用的定時器存在常量下限這一特點，攻擊者使用很小的攻擊代價獲得鏈路上的TCP數(shù)據(jù)流吞吐量

3、的下降，使TCP發(fā)送端的擁塞窗口停留在一個非常低的水平，甚至可能出現(xiàn)持續(xù)超時的情況。相對于高流量拒絕服務攻擊而言，慢速拒絕服務攻擊的持續(xù)時間很短，攻擊數(shù)據(jù)流可以偽裝成合法數(shù)據(jù)流，單純使用流量特征匹配的方法檢測慢速拒絕服務攻擊很容易發(fā)生誤警。而目前應用較廣泛的RED、RED-PD，CHOKe等AQM算法都無法有效的過濾慢速拒絕服務攻擊流量。這對于當前網(wǎng)絡中使用的最廣泛的TCP協(xié)議是一個非常嚴重的問題。 從網(wǎng)絡研究的開始階段就使用的

4、非常廣泛的網(wǎng)絡流量模型是基于到達數(shù)據(jù)包滿足泊松分布這一假設的，在此基礎上可以使用馬爾可夫鏈等理論對于網(wǎng)絡的性能進行分析。對于具有慢速拒絕服務攻擊的網(wǎng)絡，我們同樣可以使用隨機過程相關理論分析慢速拒絕服務攻擊下正常網(wǎng)絡數(shù)據(jù)流的整體性能。 本文首先分析了慢速拒絕服務攻擊的原理以及其對網(wǎng)絡造成影響的本質原因。在分析過程中使用了模擬實驗和實際測試的方法分析了TCP Reno，TCP Newreno，F(xiàn)AST TCP等不同擁塞控制協(xié)議受慢速

5、拒絕服務攻擊的影響程度。通過分析和實驗，指出慢速拒絕服務攻擊出現(xiàn)的本質原因是TCP與UDP協(xié)議的不公平性以及TCP協(xié)議超時重傳機制的時間量程與攻擊者所需要花費的攻擊時間量程的不對稱。另外通過對可以防御慢速拒絕服務攻擊的AQM特點的總結，提出一些防御此類攻擊的思路。 其次，分析了慢速拒絕服務攻擊下正常網(wǎng)絡數(shù)據(jù)流的整體性能，使用半馬爾可夫鏈分析慢速拒絕服務攻擊下鏈路上TCP發(fā)送端擁塞窗口的變化。 再次，為了防御慢速拒絕服務攻

6、擊，在對ACK數(shù)據(jù)包IP包頭做出較小改動的基礎上提出了兩種動態(tài)調整策略即時調整超時重傳定時器，以提高慢速拒絕服務攻擊下TCP數(shù)據(jù)流的性能。進一步討論了在使用動態(tài)調整策略時可能遇到的問題并作出了相應的解決方案。實驗結果證明，這類動態(tài)調整策略可以在出現(xiàn)慢速拒絕服務攻擊的時候很大程度的提升TCP數(shù)據(jù)傳輸?shù)男阅?，同時在沒有慢速拒絕服務攻擊出現(xiàn)時不會對網(wǎng)絡性能產生影響。 最后，設計了一種可以根據(jù)網(wǎng)絡擁塞情況調整擁塞窗口的擁塞控制協(xié)議，在發(fā)