基于拥塞控制的DDoS防御机制的研究.pdf

分类号:TP393; 密级天津理工大学研究生学位论文基于拥塞控制的DDoS防御机制的研究基金项目:教育部科学技术重点项目(03010) (申请硕士学位) 学科专业:计算机应用技术研究方向:计算机网络安全作者姓名:忽海娜指导教师:程明教授 2005年12月摘要随着互联网的迅速普及和应用的不断发展,各种黑客工具和网络攻击手段也随之倍出,网络攻击导致网络和用户受到侵害,其中分布式拒绝服务DDoS以其攻击范围广、隐蔽性强、简单有效等特点成为常见的网络攻击技术之一,极大地影响网络和业务主机系统的有效服务。上很多的协从主机,消耗目的主机和合法客户端之间的临界资源,它还有一个负效应,就是经常在源端到目地端的通路上造成网络拥塞,搅乱正常的操作。现在已有的安全机制对这些攻击没有提供有效的防护措施。大量的攻击机器使用源地址欺骗使得现有的跟踪是不可能的。攻击者应用合法的数据包和变化的包信息使得描述和过滤攻击流都变得无效。自然分布式的攻击引起的分布式防御策略,在管理员之间协作是很难达到的,为了保证安全需要很高的代价。本文首先介绍了DDoS攻击的基本原理,常见的攻击工具和攻击方式,重点对典型的TCP SYN Flood、UDP Flood、ICMP Flood和Smurf攻击进行了分析。在此基础上, 从DDoS攻击源追踪和目标端防御两个方面对DDoS攻击的防范技术作了详细分析。并在 DDoS攻击源追踪方面,开发了一个小型的网络交换设备流量侦测系统NSDFD,旨在发生攻击时,可以在局域网内迅速定位攻击源,从而在源端切断攻击。在DDoS攻击防御方面,讨论了基于拥塞控制的DDoS防御机制,指出在DDoS攻击下,网络拥塞是由于一个精心设计的数据流的子集?一聚类造成的。在发生DDoS攻击时,被攻击的边界路由器由于拥塞而产生丢包现象,速度限制就是使边界路由器根据被丢弃的报文提取网络流量特征(高流量地址),算法限制此特征的网络流量,达到减弱DDoS攻击的目的。结合Ipv6数据流标签,聚类识别算法进行了改进;并在NS2下模拟了DDoS攻击实验,比较了改进后的算法和原算法在性能上的差异。结合 DDoS攻击数据包的显著特性,对Rate-Limiter中被限制速率的数据包,分析其数据包头,缩小拥塞标识。最后对本文的研究内容作了总结,并提出了进一步的研究方向。关键词:分布式拒绝服务攻击源追踪拥塞控制聚类 ABSTRACT With popularized quickly and itsapplication developing,more and mere all kinds of hacker’s tools work attack measures are appearing. Network attacks works and users,among which DDoS(Distributed Denial of Service)attacks e one work attack techniques by the characteristics,such as extensive area,strong concealment,simpleness and efficiency, attacks greatly affected the effective service work and host systems. DDoS engage the power of a vast number of coordinated hosts to consume some critical resource at the target and deny the service to legitimate aside effect,they frequently work congestion on the way from a source to the target,thus disrupting normal existing security mechanisms do not provide effective defense against these large number ofattacking machines and the use of source IPaddress spoofing make the traceback use of legitimate packets for the attack and the varying of packet fields disable characteriza