|
255 这两个函数都是由D 的“规则”调用的。 D DoS 保护 为了保护目的地D 免遭DoS(拒绝服务)攻击,D 可以为其用户列表中的每一个用户 (client)创建一个相应的“规则”。该“规则”将丢弃源地址不是其对用用户(client)地 址的所有“包”。不在列表中的用户(client)的“规则”查询请求将不被响应。 260 通过控制在一定时间内授予的“规则”的数量,D 可以控制一定时间内被允许与其通信 的用户(client)的最大数量。用户(client)被授予的“规则”的一个例子如下: R_D: If(source != requester_IP)//若“包”的源地址不是某个用户的地址 Drop;//则丢弃该“包” 265 Else ................................... 类似于基于容量的网络架构[8],该解决方案基于这样一个假设:D 可以在需要的时候授予 “规则”请求者——用户(client)相应的“规则”。因任何一个网络终端“用户”(client) 都可以请求一个“规则”,虽然不在D 的用户列表中的用户(client)的“规则”查询请求 270 将不被响应,D 仍会遭受DoS 攻击。 为了防止D 受到DoS 攻击,D 与一个更大的机构E 及DNS 基础设施达成协议。当一 个用户(client)要与D 通信,进行DNS 查询时,该“规则”查询请求将被转发给机构E。 机构E 再将该“规则”查询请求转发给D,但是机构E 会充当一个频率“阀门”,限制“规 则”请求的频率。因此,D 就不会遭受DoS 攻击了。D 为其批准的请求用户(client)制作 275 “规则”,并将其在DNS 应答中发给请求用户(client)。 机构E 遵守一定的“策略”将“规则”查询请求转发给D,该“策略”可能包含:最 大“规则”请求频率,白名单,黑名单等。D 可以随时更新该“策略”。假设机构E 比D 拥有更多的资源。D 可以利用多个类似于E 的机构并利用“DNS 轮询”来进一步迷惑袭击 者。 280 E 也可以代表D 直接创建“规则”并返回“规则”以响应“规则”查询请求。在这种 情况下,E 必须具有“规则认证机构”(RCI)的功能并且认证“规则”。与将机构E 作为 中间转接设备相比,这种方法在“规则”授予过程中避免了D 的直接参与,从而避免了D 遭受DoS 攻击,但是需要E 具有一定的抗DoS 攻击能力,同事E 与D 之间为了“规则”的 更新要频繁的通信。 285 E 解决移动通信中IP 地址变化的问题 在移动通信的场景中,随着物理位置的移动,D 需要改变它的IP 地址。在“基于规则 转发的网络架构”(FBR)中,D 可以继续现在的通信而不需要重新建立。为了达到这个目 的,D 为其新的IP 地址创建一个新的“规则”并将其放在返回“包”中返回给S。S 根据新 的“规则”与D 进行通信。 290 F 支持多播 为了安全的原因,“基于规则转发的网络架构”(FBR)不支持“包”的复制,因此多 播不能完全在RBF 层执行。但是,多播可以通过调用路由器的多播功能函数执行。该方法 提供了一种覆盖层的多播解决方案。由于多播的复杂性,本文只考虑单源多播。 当多播源S 想要向多播组M 发送“包”,S 需要创建组成员加入多播组M 所需要的“加 295 入规则”,其中M 的多播组的唯一标识符: R_multicast_join: If(router.multicast_available and !packet.is_joined) packet.is_joined = true Invoke multicast_join 300 Sendto S 其中,“加入规则”中packet.is_joined 参数用来表示想加入M 的某成员是否已经通过 调用路由器多播功能加入了多播组M,默认值为false。 当D1 想成为多播组M 的成员时,它将使用上面的“注册规则”发送一个“注册包”。 在发送“注册包”前,D1 创建一个“接收规则”来接收多播源S 的“包”,并将“接收规 305 则”放到“注册包”的“有效负载”中。 “接收规则”如下: R_multicast_to_D1: packet.dst_port = PORT_D1_LISTENS_MULTICAST_M Sendto D1 310 “注册包”的“有效负载”也包含多播组的唯一标识符M。在“注册包”的传播路径 中,第一个支持多播的路由器D1 R 将会把packet.is_joined 置为true,并调用路由器的 multicast_join 函数,进行以下操作:存储下面的映射:M→R_multicast_to_D1,创建自己的 “规则”rule_ D1 R 来接收多播“包”,替换“注册包”中的D1 的“接受规则”R_multicast_to_D1。 S 接收到“注册包”后将建立如下映射M→rule_ D1 R 。 315 当D2,D3,D4,.......也想成为多播组M 的成员时,它们也要经历D1 的注册过程,最 后S 中将建立如下映射M→{rule_ D1 R ,rule_ D2 R ,rule_ D3 R ,rule_ D4 R ,.........}。其中 rule_ D1 R ,rule_ D2 R ,rule_ D3 R ,rule_ D4 R ,.......为各个多播路由器创建的用来接收“多 播包”的“规则”。 为了向多播组M 发送报文,S 发送“组播包”给映射表中的所有“规则”,即与各个 320 “规则”相对应的多播路由器,并在“有效负载”中加入多播组的唯一标识M。 G 其他例子 “基于规则转发的网络架构”(FBR)还能实现很多功能,比如多路径转发,任播,转 发路径记录等。 4 仿真及分析 325 4.1 仿真环境 本文采用的仿真工具为OPNET[9]。OPNET是一个网络仿真技术软件包,它能够准确的 分析复杂网络的性能和行为,在网络模型中的任意位置都可以插入标准的或用户指定的探 头,以采集数据和进行统计。通过探头得到的仿真输出可以以图形化显示、数字方式观察、 或者输出到第三方的软件包去。 330 仿真的主要工作为创建新的包格式,创建新的路由器节点模型。仿真中定义了新的包格 式,在现有的协议栈中的IP 层之上增加了一层FBR 层,用以装入终端用户的“规则”。仿 真中创建了新的路由器节点模型,在该模型中加入了规则解析及执行模块,用以对“包”中 “规则”的解析,从而执行该“规则”,并按照该“规则”处理该包。 为了降低复杂度,仿真中没有涉及“规则认证机构”(RCI),终端用户的“规则”是 335 预先写入待发送的“包”中的。而且“包”使用的是自定义的简化格式,如图4 所示。 Source Port(2 Bytes) Des. Port(2 Bytes) Source IP(4 Bytes) Des. IP(4 Bytes) 传输层 IP层 图3 仿真所用普通“包”的格式 Source Port(2 Bytes) Des. Port(2 Bytes) Rule(20 Bytes) Package Attributes(2 Bytes) Source IP(4 Bytes) Des. IP(4 Bytes) 340 图4 仿真所用FBR“包”的格式 图5 FBR 路由器功能模型 345 4.2 仿真结果 通过仿真验证了上文§3“FBR 使用示例”中例子A-D 都是可行的,并且通过吞吐量这 个指标来估算加入规则后对路由器负载所造成的影响,例子E、F 由于太复杂,并未仿真验 证。 350 图6 FBR 路由器接收两种包吞吐量的对比 图6 给出了FBR 路由器在各种仿真用例中分别接收普通包(不包含规则)及RBF 包时 吞吐量的对比。 355 由仿真结构可得出,FBR 路由器接收RBF 包的吞吐量与接受普通包的吞吐量相比,下 降了8%,这是由于FBR 路由器要处理“规则”造成的,对路由器造成了更大的开销。 由仿真结构可知,基于“规则”的网络转发架构对路由器负载的影响是可以接受的。 5 结论 本文中引入了“规则”的概念并介绍了一种“基于规则的网络转发架构”,通过该架构, 360 网络的终端用户不仅可以指明它想要接收什么样的“包”而且可以指明它希望这些“包”在 网络中经过什么样的处理。这种架构给了终端用户对网络通信过程的极大的控制力,从而增 强了网络的灵活性。由仿真结果可知,引入“规则”后对网络造成的额外负担是可以接受的。 本文引入了“政策”及“规则认证机构”(RCI)。所有终端用户都必须在“规则认证机构” (RCI)处认证,只有该“规则”符合“规则”中涉及到得所有主体的“政策”时该规则才 365 会被认证,这样可以防止恶意“规则”被创建,从而保证了网络的安全性。 云计算[10]业务正在迅速发展,但是它也面对着与现有互联网类似的问题,如接入控制 机制的不灵活,云内部的DoS 攻击不易解决等。现有的云计算的接入控制机制更适合企业 用户,不适合云计算中的“租户”,不能提供灵活的接入控制机制。现有的云计算的安全机 制更适合企业用户,不适合云计算中的“租户”,不能提供个性化的安全防范机制。正是由 370 于云计算与现有互联网面对的问题类似,并且云计算是一个封闭的环境,作者的下一步工作 就是将“基于规则的网络转发架构”简化并将简化后的机制应用于云计算的接入控制机制及 安全机制,以便解决现在云计算中的接入控制机制不灵活及安全机制不个性化的问题。 [参考文献] (References) 375 [1] Raj Jian .Internet 3.0: Ten Problems with Current Internet Architecture and Solutions for the Next Generation [J].IEEE Proceeding of Military Communications Conference,2006,12(4):107-116. [2] James Roberts.The clean-slate approach to future Internet design:a survey of research initiatives[J].Ann. Telecommun,2009,64(2):271-276. [3] Osterweil, E., Massey, D., Lixia Zhang.Deploying and Monitoring DNS Security (DNSSEC) [J].Computer 380 Security Applications Conference,2009,21(2):429-438. [4] Wentao Liu.Research on DoS Attack and Detection Programming[J].Intelligent Information Technology Application, 2009,25(4):207 - 210. [5] David L.Mills,RFC1305-1992.Neteork Time Protocal[S]. [6] X.Liu, A.Li, X.Yang , D.Wetherall.Passport: Secure and Adoptable Source Authentication[J].USENIX 385 NSDI,2008,25(4):30-37. [7] Cisco Company.Cisco Traffic Anomaly Detector[OL].[2007-7-2].http://www.cisco.com/en/us/products/ps5892/ [8] A.Yaar, A.Perrig , D.Song.SIFF:A Stateless Internet Flow Filter to Mitigate DDoS Flooding Attacks[J].IEEE Symp.on Second Priv,2004,18(3):40-45. 390 [9] 伍俊洪,杨洋,李惠杰,林孝康.网络仿真方法和OPNET 仿真技术[J].计算机工程,2004, 30(5):20-26. 学术论文网Tag:代写硕士论文 代写论文 代写MBA论文 代写博士论文 |
