基于擁塞控制的DDoS防御機制的研究.pdf

1、隨著互聯(lián)網的迅速普及和應用的不斷發(fā)展，各種黑客工具和網絡攻擊手段也隨之倍出，網絡攻擊導致網絡和用戶受到侵害，其中分布式拒絕服務DDoS以其攻擊范圍廣、隱蔽性強、簡單有效等特點成為常見的網絡攻擊技術之一，極大地影響網絡和業(yè)務主機系統(tǒng)的有效服務。 DDoS雇傭Internet上很多的協(xié)從主機，消耗目的主機和合法客戶端之間的臨界資源，它還有一個負效應，就是經常在源端到目地端的通路上造成網絡擁塞，攪亂正常的Internet操作?，F(xiàn)在已有

2、的安全機制對這些攻擊沒有提供有效的防護措施。大量的攻擊機器使用源地址欺騙使得現(xiàn)有的跟蹤是不可能的。攻擊者應用合法的數(shù)據(jù)包和變化的包信息使得描述和過濾攻擊流都變得無效。自然分布式的攻擊引起的分布式防御策略，在管理員之間協(xié)作是很難達到的，為了保證安全需要很高的代價。 本文首先介紹了DDoS攻擊的基本原理，常見的攻擊工具和攻擊方式，重點對典型的TCPSYNFlood、UDPFlood、ICMPFlood和Smurf攻擊進行了分析。在此

3、基礎上，從DDoS攻擊源追蹤和目標端防御兩個方面對DDoS攻擊的防范技術作了詳細分析。并在DDoS攻擊源追蹤方面，開發(fā)了一個小型的網絡交換設備流量偵測系統(tǒng)NSDFD，旨在發(fā)生攻擊時，可以在局域網內迅速定位攻擊源，從而在源端切斷攻擊。 在DDoS攻擊防御方面，討論了基于擁塞控制的DDoS防御機制，指出在DDoS攻擊下，網絡擁塞是由于一個精心設計的數(shù)據(jù)流的子集——聚類造成的。在發(fā)生DDoS攻擊時，被攻擊的邊界路由器由于擁塞而產生丟包

4、現(xiàn)象，速度限制就是使邊界路由器根據(jù)被丟棄的報文提取網絡流量特征(高流量地址)，通過ACC算法限制此特征的網絡流量，達到減弱DDoS攻擊的目的。結合Ipv6數(shù)據(jù)流標簽，對ACC聚類識別算法進行了改進；并在NS2下模擬了DDoS攻擊實驗，比較了改進后的算法和原算法在性能上的差異。結合DDoS攻擊數(shù)據(jù)包的顯著特性，對Rate-Limiter中被限制速率的數(shù)據(jù)包，分析其數(shù)據(jù)包頭，縮小擁塞標識。 最后對本文的研究內容作了總結，并提出了進一