论文摘要
随着计算机技术的迅速发展和互联网应用的日益普及,网络已经成为我们获取信息、进行交流的主要渠道之一,因而网络安全也显得越来越重要。近年来,拒绝服务攻击已经成为最为严重的网络威胁之一,它不仅对网络社会具有极大的危害性,也是政治和军事对抗的重要手段。而伪造IP地址的分布式拒绝服务攻击更以其攻击力度大、易实施、难防范、难追踪等特点,给互联网带来了巨大的安全隐患,现有的传统防御措施如防火墙、入侵检测系统等只能被动地抵御攻击,防御效果不是很理想。因此,如何有效追踪、防御伪造IP地址的分布式拒绝服务攻击(DDoS)是目前网络安全领域所面临的挑战之一。在本文中,首先介绍了分布式拒绝服务攻击的特点、现状以及发展趋势;分析并探讨了分布式拒绝服务攻击的各种防御措施;同时围绕分布式拒绝服务攻击源追踪问题展开了深入的研究和探讨。通过对各种攻击形式及防御措施分类的讨论,指出了攻击源追踪技术在DDoS攻击防御中的重要作用和意义,并在此基础上提出了一种基于路由器指纹的动态概率包标记方案;在总结前人工作的前提下,针对伪造IP地址的分布式拒绝服务攻击,提出了一种基于数据包标记的伪造IP地址的DDoS攻击防御方案由于分布式拒绝服务攻击通常采用随机伪造的源IP地址填充攻击数据包,使得对拒绝服务攻击的防御变得更为困难,为了能够有效过滤掉伪造IP地址的攻击流,保证主机的正常网络服务,本文提出的基于数据包标记的伪造IP地址的DDoS攻击防御方案在IP数据包中嵌入一个路径相关的16位标识,并为每个16位的标识设置不同的计数器,通过检测标识计数器临界值来判断是否发生了伪造IP地址的拒绝服务攻击,并通过对伪造地址的IP数据包进行过滤,达到有效防御伪造IP地址的DDoS攻击的目的。最后的仿真实验表明,该方案对于伪造IP地址的数据包具有较高的识别率。包标记方案是一种针对DoS攻击提出的攻击源追踪方案,由于其具有响应时间快、占用资源少的特点,近年来受到了研究者的广泛关注。Savage等人提出了一种基于概率的包标记方案,由于其在标记过程中采用固定标记概率,使得受害者进行路径重构时所需收到的数据包数目大大超过了进行重构所必需收到的最小数据包数目,从而导致重构误报率的提高和响应时间的增长,并且运算量大、误报率高。本文提出的基于路由器指纹的动态概率包标记方案中,路由器动态标记每个到达的数据包,使得数据包携带每个路由器信息的概率达到1/d,另外,为了减小路径重构过程中所需要的数据包数目和运算量,文中利用IP首部的13位偏移域记录路由器的指纹(13bit的哈希值),在目标主机重构攻击路径时,将距离域、片偏移值和13位哈希值相等的不同分片进行组合,从而得到攻击路径上路由器的IP地址。由文中对算法的分析得出,该方案大大减小了路径重构时的运算量和误报率,具有一定的实际意义。