基于P2P泛洪DDoS攻击防范研究.docVIP

基于P2P泛洪DDoS攻击防范研究 　　摘 要：提出了基于马尔可夫过程的信任和信誉模型，在节点间构建信任关系，利用节点间信任与信誉信息的交互对恶意节点进行识别，阻断对恶意消息的转发传播，从而增强抵御DDoS攻击的效能。仿真实验结果表明，提出的模型能有效地隔离恶意节点的消息数，提高网络抵御这种基于应用层的DDoS攻击的容忍度。 　　关键词：对等网；Gnutella协议；分布式拒绝服务攻击；可信和信誉 　　中图分类号：TP309文献标志码：A 　　文章编号：1001-3695(2009)06-2116-03 　　doi:10.3969/j.issn.1001-3695.2009.06.035 　　 　　Defending P2P from flooding-based DDoS 　　GENG Ji,MA Xin-xin 　　(School of Computer Science Engineering, University of Science Technology of China, Chengdu 610054, China) 　　Abstract:This paper proposed a trust and reputation model based on Markov process,which constructed trust relationship among peers.In this model, well-behavior peers possessed ability to identify bad-behavior peers to intermit transmission of malicious message through the interaction of trust and reputation information established among peers, so that the networks could resist on the DDoS attack. Simulation result shows that the model of provides an efficient isolation on malicious message amount and promotion on tolerance of the DDoS attack resisting on the application layer. 　　Key words:P2P；Gnutella protocol；DDoS；trust and reputation 　　 　　0 引言?? 　　 　　Gnutella网络是一种非结构化的对等网络，该网络是基于应用层上的自组织网络。网络中节点基于同一兴趣加入网络并共同维护网络的运行。节点间彼此可信，共享资源内容真实可靠；在对共享资源查找、定位和下载过程中运用Query消息的查询过程进行泛洪的路由查找，共享资源的下载传输基于HTTP协议[1]。通过Gnutella的Query/Query Hit查询机制和HTTP协议的下载机制的优势实现网络中共享资源的快速查找和定位。但在开放的Internet网络中首先各节点彼此间多数是不熟悉，甚至是陌生的，网络中每一节点对其行为产生的后果没有任何的追究责任，且任何节点出于私心而尽可能最大化地利用网络资源但自身并不向对等网络贡献任何的资源。节点间实际上并没有明确的信任关系，导致彼此共享资源的不可靠[2]。?? 　　Gnutella协议的Query/Query Hit消息查询没有对消息内容的确认机制，节点对收到的查询消息进行本地查找和继续向网络其他节点进行转发，使得基于Query/Query Hit的消息查询过程成为DDoS攻击的平台[3]。正常情况下只有当节点存储有匹配Query消息的资源时, 节点才能够回复QueryHit消息。但恶意节点会对Query消息和回应的QueryHit消息包内容进行窜改，伪造大量不存在的节点标志和目的不可达信息，而Query/Query Hit消息交换由于没有采用消息完整性保护机制, 缺乏对回应节点回传的QueryHit消息进行验证的手段或策略，对回应节点也没有可信确认机制, 从而无法保证QueryHit 消息中的IP 地址和端口号就是回复该Query-Hit消息节点的IP地址和端口号。事实上,恶意节点可以对收到的每一个Query 消息回复QueryHit 消息,并将其欲攻击的节点或虚构的IP 地址和端口号填入QueryHit 消息中。而网络中一些无知的良性行为的节点会在不知晓的情况下帮助这些恶意节点在网络中对更改后的消息进行转发，这种由于网络中各节点