基于擁塞控制的DDoS防御機(jī)制的研究.pdf

1、隨著互聯(lián)網(wǎng)的迅速普及和應(yīng)用的不斷發(fā)展，各種黑客工具和網(wǎng)絡(luò)攻擊手段也隨之倍出，網(wǎng)絡(luò)攻擊導(dǎo)致網(wǎng)絡(luò)和用戶(hù)受到侵害，其中分布式拒絕服務(wù)DDoS以其攻擊范圍廣、隱蔽性強(qiáng)、簡(jiǎn)單有效等特點(diǎn)成為常見(jiàn)的網(wǎng)絡(luò)攻擊技術(shù)之一，極大地影響網(wǎng)絡(luò)和業(yè)務(wù)主機(jī)系統(tǒng)的有效服務(wù)。 DDoS雇傭Internet上很多的協(xié)從主機(jī)，消耗目的主機(jī)和合法客戶(hù)端之間的臨界資源，它還有一個(gè)負(fù)效應(yīng)，就是經(jīng)常在源端到目地端的通路上造成網(wǎng)絡(luò)擁塞，攪亂正常的Internet操作?，F(xiàn)在已有

2、的安全機(jī)制對(duì)這些攻擊沒(méi)有提供有效的防護(hù)措施。大量的攻擊機(jī)器使用源地址欺騙使得現(xiàn)有的跟蹤是不可能的。攻擊者應(yīng)用合法的數(shù)據(jù)包和變化的包信息使得描述和過(guò)濾攻擊流都變得無(wú)效。自然分布式的攻擊引起的分布式防御策略，在管理員之間協(xié)作是很難達(dá)到的，為了保證安全需要很高的代價(jià)。 本文首先介紹了DDoS攻擊的基本原理，常見(jiàn)的攻擊工具和攻擊方式，重點(diǎn)對(duì)典型的TCPSYNFlood、UDPFlood、ICMPFlood和Smurf攻擊進(jìn)行了分析。在此

3、基礎(chǔ)上，從DDoS攻擊源追蹤和目標(biāo)端防御兩個(gè)方面對(duì)DDoS攻擊的防范技術(shù)作了詳細(xì)分析。并在DDoS攻擊源追蹤方面，開(kāi)發(fā)了一個(gè)小型的網(wǎng)絡(luò)交換設(shè)備流量偵測(cè)系統(tǒng)NSDFD，旨在發(fā)生攻擊時(shí)，可以在局域網(wǎng)內(nèi)迅速定位攻擊源，從而在源端切斷攻擊。 在DDoS攻擊防御方面，討論了基于擁塞控制的DDoS防御機(jī)制，指出在DDoS攻擊下，網(wǎng)絡(luò)擁塞是由于一個(gè)精心設(shè)計(jì)的數(shù)據(jù)流的子集——聚類(lèi)造成的。在發(fā)生DDoS攻擊時(shí)，被攻擊的邊界路由器由于擁塞而產(chǎn)生丟包

4、現(xiàn)象，速度限制就是使邊界路由器根據(jù)被丟棄的報(bào)文提取網(wǎng)絡(luò)流量特征(高流量地址)，通過(guò)ACC算法限制此特征的網(wǎng)絡(luò)流量，達(dá)到減弱DDoS攻擊的目的。結(jié)合Ipv6數(shù)據(jù)流標(biāo)簽，對(duì)ACC聚類(lèi)識(shí)別算法進(jìn)行了改進(jìn)；并在NS2下模擬了DDoS攻擊實(shí)驗(yàn)，比較了改進(jìn)后的算法和原算法在性能上的差異。結(jié)合DDoS攻擊數(shù)據(jù)包的顯著特性，對(duì)Rate-Limiter中被限制速率的數(shù)據(jù)包，分析其數(shù)據(jù)包頭，縮小擁塞標(biāo)識(shí)。 最后對(duì)本文的研究?jī)?nèi)容作了總結(jié)，并提出了進(jìn)一