论文部分内容阅读
分布式拒绝服务DDoS攻击是目前互联网上最严重的安全问题之一。因为互联网上大量的不安全的机器的存在、自动化DDoS攻击工具的广泛可获得性以及攻击者通常采用假冒的源IP地址等原因,使DDoS攻击的防御和追踪相当困难。已有的某些防御系统虽然能保护用户免受某种类型的DDoS攻击,但DDoS攻击仍然没有减轻。本文在深入研究了DDoS攻击机制、攻击方法、DDoS攻击的加强技术和加强方法以及现有的防御和追踪方法后,针对现有的DDoS攻击和加强的DDoS攻击,提出了基于路由器分布式防御DDoS攻击的DIS方案。主要工作如下:1) 对现有用于DDoS追踪的标记方案进行了深入分析,依据FMS标记思想,结合密码学的数字签名方法,设计了自适应hash签名标记AHSM方案。该方案是在包经过的路由器处,路由器按一个变化的概率对包进行hash签名。采用hash签名,签名速度快、误报率低、重构开销小,实现了IP地址的防篡改和发送者的不可否认,能有效地防止路由器假冒,采用变化的概率,可以减少受害者重构攻击路径时所需的数据包数,提高了追踪速度。2) 基于攻击发生时,会出现大量新的IP地址聚集以及合法用户请求率下降这个实验发现,运用统计学的方法,设计了DDoS检测方案。该方案建立了一个数据库,保存按不同源地址划分的聚集的信息以及各聚集的请求数等,定期对新IP地址聚集率和请求率这两个攻击指标进行检测,以发现攻击。3) 针对现有DDoS防御系统单点部署的不足,将设计的检测模块、追踪模块进行分布式部署。检测模块部署在上游路由器实现对DDoS攻击的快速检测,部署在受害端实现对DDoS攻击的精确检测。追踪方面除了采用自适应hash签名标记AHSM外,在包经过的第一个路由器处增加基于用户身份认证的路由器代签名,保证了源IP的真实性,并能实现对攻击包的精确追踪。在源端、中间网络、受害端进行响应,通过逻辑上重复的AS控制器网络传递响应信息,响应速度快。最后,对本文所提出的方案进行了理论分析和模拟实验,结果表明基于路由器分布式防御DDoS攻击的DIS方案是有效和可行的。