IPv6下的DDoS防御研究.pdf

1、隨著Internet的發(fā)展，IPv4地址資源即將用完，近年來(lái)IPv6 網(wǎng)絡(luò)開(kāi)始普及。網(wǎng)絡(luò)安全向來(lái)是互聯(lián)網(wǎng)的重頭戲，IPv6 網(wǎng)絡(luò)也不會(huì)例外。而且可以預(yù)見(jiàn)DDoS 攻擊將是IPv6網(wǎng)絡(luò)的主要安全問(wèn)題之一，因?yàn)镈DoS攻擊是利用TCP/IP協(xié)議漏洞進(jìn)行的一種簡(jiǎn)單而致命的網(wǎng)絡(luò)攻擊，IPv6的推出并沒(méi)有對(duì)這些漏洞進(jìn)行修復(fù)。
　　 在IPv4 網(wǎng)絡(luò)下,自1999年第一次DDoS攻擊發(fā)生以后，人們對(duì)DDoS的防御進(jìn)行大量的研究，提出了許多行

2、之有效的方法，這些方法可以為我們研究IPv6網(wǎng)絡(luò)下DDoS防御提供很好的借鑒作用。但是，IPv6 有許多新特性，并且有些新特性導(dǎo)致IPv6與IPv4不相兼容。由此使得IPv6 下的DDoS 攻擊與IPv4 下的DDoS攻擊具有不同的特點(diǎn)，并且使得IPv6 下的DDoS 防御也會(huì)有新的要求。
　　 因此，本文對(duì)IPv6 下DDoS的防御展開(kāi)研究，主要有以下幾部分工作：
　　 討論了典型的DDoS攻擊以及典型DDoS攻擊工具

3、的特點(diǎn)，分析了典型的DDoS防御方法并指出其優(yōu)缺點(diǎn)。
　　 研究了IPv6協(xié)議的框架和存在的安全問(wèn)題。這些安全問(wèn)題可以總結(jié)為兩方面:IPv4下的一些在IPv6下依然有效攻擊手段和IPv6新特性帶來(lái)的新攻擊威脅。
　　 IPv6所帶來(lái)的新攻擊威脅中，又以各種DDoS 攻擊最為突出。對(duì)此本文討論了IPv6的幾個(gè)最主要的新特性，根據(jù)這些新特性分析IPv6 下DDo 攻擊的新特點(diǎn)和發(fā)展趨勢(shì)，分析了IPv4 下原有DDoS 防御方

4、法在IPv6新環(huán)境下的不足。
　　 改進(jìn)了基于統(tǒng)計(jì)特征的DDoS 防御方法。本文根據(jù)IPv6的新特性和IPv6 下DDoS 攻擊的發(fā)展趨勢(shì)對(duì)基于統(tǒng)計(jì)特征的DDoS 防御方法進(jìn)行改進(jìn)，使得其對(duì)IPv6下DDoS 攻擊具有針對(duì)性。改進(jìn)后這種方法綜合了速率過(guò)濾和指紋過(guò)濾的優(yōu)點(diǎn)，克服了他們各自的缺點(diǎn)，使得防御的效率和準(zhǔn)確度達(dá)到一個(gè)平衡。本文改進(jìn)的方法從兩個(gè)不同的角度對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)分析和過(guò)濾。首先從包的角度把網(wǎng)絡(luò)數(shù)據(jù)包分成正常流和異