基于TCP_IP报头分析和主动测试DDoS攻击响应机制.docVIP

第?33?卷??第?3?期 2010?年?3?月  合肥工业大学学报?(???自然科学版?) JO?U?RN?AL??O?F?H?EFEI?U?N?IV?ERSIT?Y??OF??T?ECH?N?OL?O?GY  Vol.?33?No?.?3 M?ar.??2010  基于?T?CP_IP?报头分析和主动测试的 DDoS?攻击响应机制 叶 震, 施伟伟 (?合肥工业大学?计算机与信息学院,?安徽?合肥??230009) 摘???要:?为了抵御分布式拒绝服务攻击(?DDoS)?,?必须解决的一个关键问题是如何有?效地从正常的数据流?中隔 离出攻击流。文章提出了基?于?T?CP?_IP?报?头?分析?和主?动?测试?的响?应?机制:?使?用?动态?更新?的?规则?集?来分?析 T?CP_I?P?报头以抵御如?U?DP?F?loo?d?这类的无连接攻击,?通过主动测试机制?来抵御面向连接的攻击。仿真?结果 验证了该机制的有效性。 关键词:?DDo?S;??响应;???T?CP_I?P?报头;???主动测试 中图分类号:?T?P3931?08 文献标识码:?A 文章编号:?1003-?5060(?2010)?03-?0363-?05 DDoS?defense?using?TCP-?IP?header?analysis?and?proactive?tests YE??Zhen, SH?I??We-i?w?ei (?School?of?Computer?and?Inform?ation,??H?efei?University??of??Techn?ology,??H?efei?230009,??C?hina) Abstract:?T?o??def?end??against??dist?ribut?ed??denial?of??ser?vice?(?DDoS)???att?acks,??o?ne?crit?ical?issue?is??t?o??ef?f?ec- t?ively??iso?lat?e?t?he?at?tack?t?raf?fic?fr?om?t?he?nor?mal?ones.??A??novel?DDoS??def?ense?scheme?based??on??T?CP-??IP header??analysis??and??proact?ive?t?est?s?is??hereby?proposed.???By??analyzing??t?he?T?CP-??IP?header,??t?he?w?ell??de- f?ined??rule??set???is??desig?ned??t?o??def?end??t?he??connect?ionless??oriented??at?t?ack, such???as??UDP??f?lood??at?t?ack. Meanw?hile,???t?he?pr?oact?ive?t?est??based??dif?ferentiat?ion??t?echnique??is??pr?opo?sed??t?o??handle?connect?ion-?or?ien- t?ed??att?ack.???Simulat?ion??result?s??validat?e?t?he?ef?f?ect?iv?eness??of??said??scheme. Key?words:?dist?ribut?ed??denial??of??service?(?DDoS)?;???react?io?n;???T?CP?-??IP??header;???pro?act?ive?t?est  0 引 言 [?1] 攻击预防、攻击检测、攻击源追踪和攻击响应。本 文将逐个对每一种抵御机制做简单介绍,?并分析 它们的优缺点。 (?1)???预防。攻击预防是在攻击到达他们的目 标之前来阻止他们。这类技术假定攻击流的源地 址是伪造的,?所以预防机制通常包含一系列的数 据报过滤机制,?配置了这些机制的路由器可以确 保只有有效的数据流才能被转发。文献[?2]?中的 RPF?机制将入口过滤扩展到核心因特网,?它根据 的原则是每一条核心因特网的链路上的数据流只 能来自于有限的地址集合,?对任意伪造源地址来  发起?DoS?攻击是有效的,?但是过滤粒度较低。文 献[?3]?提出的协议目的是给路由器的每一个端口 提供允许出现的源?IP?地址的范围信息,?它周期地 更新每一个路由器的进入表来克服因特网的路由 不对称,?但这种方法需要改变路由协议。 (?2)???检测。依据检测的方法可以将检测机制 分为?2?类。一类是基于误用的?DDoS??检测。SYN 检测方法[?4]?通过监测统计上的变化来检测攻击。 误用检测技术