ddos攻击的御方法研究.pdf

DDoS攻击的防御方法研究 }两 要 随着计算机技术的迅速发展和互联网应用的日益普及，网络已经成为我们 获取信息、进行交流的主要渠道之一，因而网络安全也显得越来越重要。近年 来，拒绝服务攻击已经成为最为严重的网络威胁之一，它不仅对网络社会具有 极大的危害性，也是政治和军事对抗的重要手段。而伪造IP地址的分布式拒绝 服务攻击更以其攻击力度大、易实施、难防范、难追踪等特点，给互联网带来 了巨大的安全隐患，现有的传统防御措施如防火墙、入侵检测系统等只能被动 地抵御攻击，防御效果不是很理想。因此，如何有效追踪、防御伪造IP地址的 分布式拒绝服务攻击(DDoS)是目前网络安全领域所面临的挑战之一。 在本文中，首先介绍了分布式拒绝服务攻击的特点、现状以及发展趋势： 分析并探讨了分布式拒绝服务攻击的各种防御措施；同时围绕分布式拒绝服务 攻击源追踪问题展开了深入的研究和探讨。通过对各种攻击形式及防御措施分 类的讨论，指出了攻击源追踪技术在DDoS攻击防御中的重要作用和意义，并 在此基础上提出了一种基于路由器指纹的动态概率包标记方案：在总结前人工 作的前提下，针对伪造IP地址的分布式拒绝服务攻击，提出了一种基于数据包 标记的伪造IP地址的DDoS攻击防御方案 由于分布式拒绝服务攻击通常采用随机伪造的源IP地址填充攻击数据包， 使得对拒绝服务攻击的防御变得更为困难，为了能够有效过滤掉伪造IP地址的 攻击流，保证主机的J下常网络服务，本文提出的基于数据包标记的伪造IP地址 的DDoS攻击防御方案在IP数据包中嵌入一个路径相关的16位标识，并为每 个16位的标识设置不同的计数器，通过检测标识计数器临界值来判断是否发生 了伪造IP地址的拒绝服务攻击，并通过对伪造地址的IP数据包进行过滤，达 到有效防御伪造IP地址的DDoS攻击的目的。最后的仿真实验表明，该方案对 于伪造IP地址的数据包具有较高的识别率。 包标记方案是一种针对DoS攻击提出的攻击源追踪方案，由于其具有响应 时阳J快、占用资源少的特点，近年来受到了研究者的广泛关注。Savage等人提出 了一种基于概率的包标记方案，由于其在标记过程中采用固定标记概率，使得 受害者进行路径重构时所需收到的数据包数目大大超过了进行重构所必需收到 的最小数据包数目，从而导致重构误报率的提高和响应时间的增长，并且运算量 大、误报率高。本文提出的基于路由器指纹的动态概率包标记方案中，路由器 动态标记每个到达的数据包，使得数据包携带每个路由器信息的概率达到1／d， 另外，为了减小路径重构过程中所需要的数据包数目和运算量，文中利用IP首 部的13位偏移域记录路由器的指纹(13bit的哈希值)，在目标主机重构攻击路 径时，将距离域、片偏移值和13位哈希值相等的不同分片进行组合，从而得到 攻击路径上路由器的IP地址。由文中对算法的分析得出，该方案大大减小了路 径重构时的运算量和误报率，具有一定的实际意义。 关键词：拒绝服务：分布式拒绝服务；包标记；网络追踪：伪造IP rchonDefense i Attacks Resea MechanSITIofDDoS Abstract Withthe of of development Intemet， computertechnology,thepopularization networkhasbecomea ofour lifetocommunicateandobtain necessarypart daily becomes more information．Accordingly,networksecurity increasinglyimportant． have