面向DDoS攻击的溯源技术研究-通信与信息系统专业毕业论文.docxVIP

万方数据 万方数据 分类号 密级 UDC 注 1  学 位 论 文 面向 DDoS 攻击的溯源技术研究 赵会平 指导教师 阳小龙 教授 博导 电子科技大学 成都 （姓名、职称、单位名称） 申请学位级别 硕士 学科专业 通信与信息系统 提交论文日期 2013.03 论文答辩日期 2013.05 学位授予单位和日期 电子科技大学 2013 年 6 月 日 答辩委员会主席 评阅人 注 1：注明《国际十进分类法 UDC》的类号。 IP TRACEBACK TECHNOLOGY DEFENDING AGAINST DISTRIBUTED DENIAL OF SERVICE A Master Thesis Submitted to University of Electronic Science and Technology of China Major: Communication and Information Systems Author: ZhaoHuiping Advisor: YangXiaolong School: Communication and Information Engineering 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为 获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与 我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的 说明并表示谢意。 签名： 日期： 年 月 日 论文使用授权 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘， 允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全 部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描 等复制手段保存、汇编学位论文。 （保密的学位论文在解密后应遵守此规定） 签名： 导师签名： 日期： 年 月 日 摘 要 摘 要 网络正渗透到人们的生活的各个领域，越来越多的人感受到互联网给我们的 生活带来的方便快捷。然而人们在享受网络给我们带来的高效、便捷的服务的同 时，也在忍受着诸如木马、钓鱼和黑客攻击等问题。在诸多安全威胁中，DDoS （Distributed Denial of Service，分布式拒绝服务）攻击给人们带来的危害是巨大的， 因此，DDoS 攻击的防御一直受到社会各界的密切关注。 防御 DDoS 攻击的技术有很多种，IP 溯源技术可以根据攻击路径找到攻击者， 从根本上防御 DDoS 的攻击，因此受到很多研究者的青睐。IP 溯源技术通常分为 五类，其中数据包标记方法使用数据包包头空闲的空间，减少资源开销，日志记 录可以实现单包溯源，因此成为研究者研究的重点。近年来，将传统的 IP 溯源技 术提升到 AS(Autonomous System，自治系统)层上以减少路径长度，缩短溯源时间， 是 IP 溯源技术的一个重要发展方向。 目前，基于自治系统的溯源技术还没有一个系统的研究，本文中对现有的基 于自治系统的溯源技术进行分类研究。按照溯源的基本方法将其分为四类：带认 证机制的自治系统溯源方法、基于数据包标记的自治系统溯源方法、基于日志记 录的自治系统溯源方法和基于自治系统的二步溯源技术。 在分析现有的基于自治系统溯源技术的基础上，本文提出一种混合自治系统 溯源技术 HAST(Hybrid Autonomous System Traceback)。HAST 将传统的 IP 溯源技 术与基于自治系统的溯源技术混合，实现 IP 溯源精确度高的特点，同时具备自治 系统溯源时间短的优点。HAST 溯源技术分为两部分：一是数据包的信息标记过程， 另一个是路径重构过程。信息标记过程分两个阶段，第一个阶段在 IP 层面上的标 记过程，这一阶段是在数据包进入网络的源 AS 域中进行，AS 中所有路由器都参 与标记；第二个阶段是在 AS 域间的标记过程，该阶段主要由边界路由器参与。路 径重构过程也分为两个步骤，第一步，实现在自治系统进行路径重构，找到攻击 源 AS；第二步，在第一步中找到的源 AS 中进行 IP 层上路径重构，从而找到真正 的攻击者。仿真结果表明，HAST 溯源技术能够在较短时间内完成精确度较高的单 包溯源活动，并且具有资源开销小、防篡改性强等特点。 关键词：IP 溯源技术，自治域系统，数据包标记，日志记录，HAST I ABSTRACT ABSTRACT The network is penetrated into various areas of peoples lives, more