|
在攻击研究方面,我们可以看到每种典型的DDoS攻击工具(Trin00,TFN,Stacheldrant, TFN2K,Shaft,mstream)都被做了详细的分析[3]。这些工作一方面为DDoS攻击的防御提供了重要参考,另一方面也使攻击者能进一步改进攻击工具。Mixter(TFN和TFN2K的作者)对DDoS攻击工具做了理论性的全面评价,并给出了针对DDoS攻击的网络入侵检测规则。 基于DDoS攻击报文的源IP地址伪造特性,Farguson和Senie[4]提出了入口报文过滤技术,它是一种对付匿名攻击的方法,可以过滤掉伪造源IP地址的数据包。这种机制主要是配置在路由器的入口,通过网络提供者(ISP)利用路由器将来源地址不是属于该客户区域的数据包过滤掉。该技术如果能被全面部署的话,将能有效的杜绝DDoS攻击,然而该方案的部署难度太大。鉴于此,Park和Lee[5]提出了基于路由的报文过滤机制,本质上是将入口报文过滤机制扩展到了Internet核心,该技术使用边界网关协议(BGP)信息来识别源IP地址伪造报文。实验证明,在18%的Internet核心路由器上部署该机制,就能较有效的防范DDoS攻击,然而与上者一样,该方案的部署仍然很难。 贝尔实验室的Bellovin[6]提议在路由中使用ICMP Traceback Messages,用于追踪真正的攻击源。该方案要求路由器额外的向报文的目的IP地址发送ICMP Traceback Messages,从而使接收方有机会重建攻击流的路径。接着Barros对该方案做了改进,以适用于反射式DDos攻击[7]情况。与上面的做法不同,Burch和Cheswick[8]在2000年提出由报文自身来记载其路由信息.具体做法是路由器在报文头部(随机或确定的)写入相关地址信息,接收方可据此构建报文的路由路径。该方案一经提出,引起了许多学者的关注。Savage等[9]对基于概率的报文标记机制做了深入的研究,路由器以一定的概率p(通常是1/25),用其IP地址或IP地址的一部分随机标记经过它的数据包。当发生DoS攻击时,受害者根据其收到的攻击数据包中的标记信息,重建攻击路径。接着Song和Perrig[l0]也提出了更好的报文标记算法,使得标记更加精简,路径的恢复更加高效。Snoren等[11]又提出了一种基于Hash的IP Traceback技术,该方案使用了源路径提取机SPIE来重构攻击流路径。上述几个IP Traceback技术能较有效的追踪到攻击源,但也存在着一些缺陷,特别是当DDOS攻击有大量的攻击源时,追踪效率会受很大的影响。 另外目前也有一些研究成果,主要部署在被攻击网络或主机上,T.Peng[12]等提出了基于历史IP地址的HIP(History-based IP Filtering)技术,首先建立的一个IP地址库用来记录经常访问服务器的IP地址,当发生DDoS攻击时,通过提取数据包的IP地址和地址库中的IP地址进行比较,如果该IP地址和库中IP匹配,则认为是合法IP,否则为非法IP。C.Jin[13]等提出了基于跳数的滤波HCF (Hop-Count Filtering)技术,预先建立一个IP地址和对应的跳数的映射表,通过提取数据包的IP地址和跳数来识别伪造的源护地址。Jun XU等[14]提出了一种针对Web服务器的DDoS防御方法,通过博弈理论深入的分析了Web服务器可能受到得攻击,主要通过路由器,防火墙,以及本地Web服务器组成一个本地防御网络,其中提到了对使用合法IP地址进行攻击防御。王文奇等[15]提出了一种基于状态转换和信任度的主机防御方法,该算法通过记录每个连接的状态及信任度,判断进入主机的IP数据包是否为攻击包,从而阻止或允许该IP包通过。 从目前DDoS攻击和DDoS的防御现状来看,新的攻击工具以及攻击方法不断的出现,与此同时新的防御机制也被提出.然而,现有的一些防御措施都有一定的缺陷,DDoS防御措施的性能还有待提高。无论国内还是国际.对于DDoS防御的研究仍是一个热点。 详细阐述拟选课题的目的、意义、要完成的工作和预期结果: 随着Internet的发展,Web服务已成为互联网上的一个主要应用,尤其是电子商务的发展更进一步促进了Web的应用。据计算机网统计,截至加06年12月,已经有80%的企业使用了Web服务。而针对Web服务的DDoS攻击发生的频率也越来越大。根据DDoS攻击,分别以网络层,传输层,应用层为基础,本文设计一种多层防御机制。论文主要完成的工作内容具体包括: (l) 引入了新的分类法对现有的DoS,DDoS攻击方式进行了综合归类和分析研究,详细讨论了各种攻击技术特点。 (2) 对现有的DDoS防御技术进行深入研究,提出了各种技术的优缺点及适用环境。 (3) 提出了一种多层DDoS防御机制。 (4) 提出一种新算法,作为多层防御机制中的网络层防御方法。 (5) 详细的研究了syn cookie技术和扩展syn cookie技术syn cookie firewall,作为多层防御机制中的传输层防御方法。 (6) 针对使用合法IP地址进行DDoS攻击的情况,采用了一种简单的流量限制策略,将其作为多层防御机制中的应用层防御方法。 (7) 在Linux下,通过使用可卸载模块化编程技术对提出的方法进行了实现,并对系统进行了测试。 拟采用的研究方案和要解决的关键技术问题: 根据DDoS攻击的方式,现有防御机制的不足,提出了DDoS 攻击三层防御机制 :具体就是基于网络层的防御,基于传输层的防御以
及基于应用层的防御。在网络层采用了 SHCF技术滤出大量的非法流量,保证尽可能多的合法用户通过;在传输层采用了SYN cookie firewall 技术滤出网络层未过滤掉的非法流量;在应用层针对采用合法IP进行的攻击,采用了流量限制策略,最大限度的减低攻击的影响。多层协同工作,通过互补的原则来保证DDoS攻击下丢弃非法用户的流量,缓解攻击的影响,可以持续的为合法用户提供服务。
指导教师(签字):
指导教师(签字): 备 注
学术论文网Tag: |
