IPv6下基于源地址验证DRDoS攻击防御方案研究.docVIP

IPv6下基于源地址验证DRDoS攻击防御方案研究 　　摘要：在网络攻击日益泛滥的今天，分布式拒绝服务攻击带来的危害持续上升，其中最为典型的就是DRDoS攻击（分布式反射拒绝服务攻击），IPv6网络也面临这样的危险。为了应对DRDoS攻击带来的严峻安全形势，保障下一代互联网通信的健康安全，在IPv4接入网源地址验证的基础上进行了改进。结合IPv6网络特点实现动态过滤，引入域内攻击测试服务器对数据包源地址进行验证。实验结果表明，该方案能有效识别伪造源地址的数据包，进而实现对DDRoS攻击的有效防御。 　　关键词：源地址验证；分布式反射拒绝服务攻击；防御方案；网络安全 　　DOIDOI：10.11907/rjdk.172880 　　中图分类号：TP309 　　文献标识码：A文章编号文章编号：1672-7800（2018）001-0199-03 　　Abstract：With the increasing proliferation of cyber attacks， the dangers of distributed denial of service attacks continue to rise. Which is currently the most typical is DRDoS attacks （distributed reflex denial of service attacks）， IPv6 network is also facing such a danger. In order to deal with the DRDoS attack to bring the severe security situation， to protect the next generation of Internet communication health and safety and stability. In this paper， based on the IPv4 address network source address authentication to improve， combined with the characteristics of IPv6 network to achieve dynamic filtering， and the introduction of domain attack test server to verify the source address of the packet. Through the experimental results， we can see that the scheme effectively identifies the packets with the source address， and realizes the effective defense of the DDRoS attack. 　　Key Words：source address verification； DRDoS attack； defense program； network security 　　0引言 　　IPv4地址已在全球分配完毕，IPv6网络受到越来越多的国家重视，但IPv6网络同样面临安全问题，也会受到分布式拒绝服务攻击的威胁。DRDoS（分布式反射拒绝服务）是一个精心设计的分布式拒绝服务攻击，其基本思想是通过使用UDP（用户数据报协议）来调用大量服务（如DNS域名服务器、NTP服务器或在线视频游?蛐?议）。利用UDP协议的特点，攻击者可以使用第三方IP使数据包反弹并隐藏攻击来源。虽然对DRDoS（分布式反射拒绝服务）攻击的研究已经进行了多年，但实际网络对此类攻击的防范作用效果不明显。信息安全公司Verisign最新发布的2017年第一季度DDOS攻击趋势报告[1]指出，基于UDP协议的攻击类型在所有攻击类型中占据了主要地位，最常见的UDP洪水攻击均为DRDoS攻击。 　　对DRDoS攻击的检测防御方法研究很多。如Peng等[2]提出了基于现有IP过滤伪造源IP的方案，但针对现有IP进行的攻击则无能为力。Jin等[3]提出基于跳数映射的反射端监测过滤方案，但方案实施复杂。针对请求回应包的检测模型法[4]对过滤攻击包有较好效果，但实施中可能导致开销过大。基于请求包与回应包比例异常[5]检测DRDoS攻击并实现过滤的方案，主要实现攻击完成之后的检测，防御效果不理想。 　　针对这些方案的不足，本文提出了一种基于源地址验证的DRDoS攻击防御方案，从源头上遏制DRDoS攻击的发生。 　　1DRDoS攻击原理分析 　　在DRDoS攻击