论文摘要
Internet的开放性使其得到了广泛的应用,但同时也带来了很多问题,每一个终端都有可能成为被攻击者,由此引起的DDOS攻击广泛的存在于Internet中,其本质是向受害主机发送大量的数据包,导致中间网络发生拥塞,造成数据包的大量丢失,或者消耗受害主机的有限资源而使其无法向合法用户提供服务。而对于DDOS攻击的防御,则在网络安全中一直倍受关注。本文通过对目前DDOS攻击主要防御方法的分析与研究,选择了基于网络接受标记的防御方法为研究内容,其主要思想为:受害主机可以通过中间网络来决定是否接受数据包,而这正是从本质上面缓解了DDOS攻击的威胁。而在这类研究方法当中,网络接受标记的分配机制至关重要,论文正是从接受标记的分配机制出发,主要做了如下两方面的工作。1.对于私有服务器来讲,很容易区分其合法用户与攻击者。论文提出了通过out-of-band方法获得接受标记的ObD(Off by Default)防御机制。用户可以向服务器信任的第三方发送请求包,第三方通过身份认证来决定是否发放接受标记,用户再将接受标记加入到数据包中与服务器进行通信,而网络中间路由器则通过验证这些标记的有效性,来传送数据包。通过网络实验可以得出,该方法在抵御DDOS攻击时起到了很好的效果。2.对于公共服务器来讲,很难区分合法用户与攻击者。而针对拒绝接受标记服务(denial-of-capabilities)的攻击则会很大程度上影响接受标记的分配。本文通过对数据流的划分,即:根据IP地址将数据流划分为几个地区,提出了随机地址聚类的请求包队列服务方式,从实验结果可以看出,某一地区发生严重的DDOS攻击时,对其它地区并没有影响,而目前的互联网结构在发生DDOS攻击时,会影响到服务器全部的用户。另外,对于处在发生严重DDOS攻击地区中的合法用户,采用增加触发器的方法来增大用户数据流的吞吐量。
论文目录
相关论文文献
标签:分布式拒绝服务攻击论文; 网络接受标记论文; 拒绝接受标记论文; 公平队列论文; 随机地址聚类队列论文; 网络模拟论文;