论文摘要
对等(peer-to-peer,简称P2P)网络技术近年来发展迅速,以Tapestry、Pastry、Chord、CAN为代表的结构化P2P网络具有扩展性好、可以在有限的跳数内定位到资源等优点,成为当前研究热点。P2P网络结构松散,节点可以动态地加入和退出,系统具有高度的不确定性和随机性,节点一般无法确定对方的身份及其可信程度,安全性问题是P2P网络进一步发展和应用急待解决的重要问题之一。本文从攻击的发生、预防、检测和抑制这四个方面对结构化P2P网络中的拒绝服务(Denial of Service,DoS)攻击进行研究。在指出结构化P2P网络具有容易遭受来自网络层和覆盖层攻击的弱点后,阐述了攻击者利用网络采用宣告/收听的“软状态”(soft-state)机制对局部索引和路由表进行维护的特点,在覆盖层发起分布式拒绝服务(Distributed Denial of Service,DDoS)攻击的过程。引入认证技术,提出基于确认消息和公钥加密的认证方法。通过采用这些认证方法,系统中的节点可以有效地识别出攻击者伪造的资源拥有消息和节点加入消息,避免局部索引和路由表遭受污染,达到预防覆盖层DDoS攻击的目的。在分析结构化P2P网络消息路由过程具备树型特点的基础上,提出了分布式的攻击检测算法,该算法利用消息路由的树型特点,将攻击尽可能地追溯到靠近攻击源的位置,由靠近攻击节点的节点对攻击进行抑制,从而减少了攻击影响的范围。为了削弱对正常节点的影响,设计了自适应的攻击抑制算法,进行攻击抑制的节点根据攻击的强弱及时地调整抑制策略,在对攻击进行有效抑制的同时避免出现攻击节点附近的正常节点得不到服务的现象,保证了网络的服务效率。