本文選題：IPv6　切入點：多地址性　出處：《哈爾濱工業(yè)大學》2014年碩士論文

【摘要】：自IPv4網(wǎng)絡(luò)誕生以來，拒絕服務(wù)（Denial-of-Service, DoS）攻擊一直是威脅網(wǎng)絡(luò)安全的重要問題之一。隨著IPv6技術(shù)的不斷發(fā)展和IPv6網(wǎng)絡(luò)的逐步推廣，DoS攻擊在IPv6網(wǎng)絡(luò)中的安全問題也逐漸顯現(xiàn)出來，并開始影響IPv6網(wǎng)絡(luò)的正常運行。 本文首先分析了現(xiàn)有IPv6網(wǎng)絡(luò)的安全問題和IPv6網(wǎng)絡(luò)安全問題的研究現(xiàn)狀，然后詳細介紹了IPv6協(xié)議特性及IPv6地址構(gòu)成方式。通過研究分析IPv6和隧道主機的多地址性，提出了虛擬主機的概念。 隨后本文指出攻擊者可以利用IPv6主機多地址的性質(zhì)，結(jié)合隧道方式獲得大量合法IPv6地址形成大量虛擬主機，進而對目標設(shè)備實施放大的DoS攻擊。與IPv4網(wǎng)絡(luò)相比，這種利用虛擬主機實施DoS攻擊的方式，可以有效的放大攻擊主機數(shù)目，并通過虛擬主機之間的配合，降低甚至逃避基于IP的傳統(tǒng)檢測和防御策略的效果。因此，對于攻擊者而言，這種攻擊方式可以有效放大攻擊節(jié)點的數(shù)量或者大大減少實際攻擊所需的節(jié)點數(shù)目。 為此，本文提出了基于地址特征的防御框架（DFAC）。DFAC框架的基本原理是：通過對含有相同地址特征的源IP進行分類聚合，，構(gòu)造包含多個連接的特征子集，然后再特征子集的基礎(chǔ)上對基于虛擬主機的DoS攻擊進行檢測和防御，從而解決這種利用虛擬主機實施攻擊引發(fā)的放大問題。在研究DFAC的攻擊判定模塊時，本文提出了特征子集層面基于相似度的攻擊判定方法，并詳細介紹了基于特征子集攻擊判定算法以及判定模塊的運行流程。 本文最后設(shè)計并實現(xiàn)了檢測HTTP Get Flood攻擊的原型系統(tǒng)，并根據(jù)實驗要求搭建了專門的模擬實驗環(huán)境。實驗結(jié)果表明，本課題提出的基于地址特征分類的防御框架（DFAC），可以有效降低系統(tǒng)運行處理的計算量和內(nèi)存占用率，提高系統(tǒng)應對基于虛擬主機的DoS放大攻擊的能力。
[Abstract]:Since the birth of IPv4 network, Denial-of-Service (dos) attacks have been one of the most important threats to network security.With the development of IPv6 technology and the gradual popularization of IPv6 network, the security problems of dos attack in IPv6 network also appear gradually, and begin to affect the normal operation of IPv6 network.In this paper, the security problems of IPv6 network and the research status of IPv6 network security are analyzed, and then the characteristics of IPv6 protocol and the IPv6 address structure are introduced in detail.By studying and analyzing the multi-address property of IPv6 and tunnel host, the concept of virtual host is put forward.Then this paper points out that the attacker can take advantage of the multi-address nature of the IPv6 host and obtain a large number of legitimate IPv6 addresses in the tunnel mode to form a large number of virtual hosts and then carry out an amplified DoS attack on the target device.Compared with IPv4 network, this way of using virtual host to implement DoS attack can effectively enlarge the number of attacking hosts, and reduce or even evade the effect of traditional detection and defense strategy based on IP through the cooperation between virtual hosts.Therefore, for the attacker, this attack method can effectively enlarge the number of attack nodes or greatly reduce the number of nodes needed for the actual attack.For this reason, this paper puts forward the basic principle of the DFACU. DFAC framework based on address feature: by classifying and aggregating the source IP with the same address feature, we construct a feature subset containing multiple connections.Then, based on the feature subset, the DoS attack based on virtual host is detected and defended, so as to solve the problem of amplification caused by using virtual host attack.When studying the attack decision module of DFAC, this paper proposes a similarity based attack decision method at feature subset level, and introduces the attack decision algorithm based on feature subset and the running flow of the decision module in detail.Finally, a prototype system for detecting HTTP Get Flood attacks is designed and implemented, and a special simulation environment is built according to the experimental requirements.The experimental results show that the proposed defense framework based on address feature classification can effectively reduce the computation and memory occupancy of the system and improve the ability of the system to deal with the DoS amplification attack based on the virtual host.
【學位授予單位】：哈爾濱工業(yè)大學
【學位級別】：碩士
【學位授予年份】：2014
【分類號】：TP393.08;TP393.04

【共引文獻】

相關(guān)期刊論文 前10條

1 錢華林;鄂躍鵬;葛敬國;任勇毛;游軍玲;;雙層IP地址空間體系結(jié)構(gòu)[J];軟件學報;2012年01期

2 李紅艷;;蠕蟲特征檢測技術(shù)的研究[J];山東電大學報;2006年03期

3 王相林;徐靜靜;;IPv6路由報頭安全漏洞的保護方案[J];計算機工程與設(shè)計;2008年12期

4 高繼森;何俊;;ISATAP隧道技術(shù)的研究與測試[J];平頂山學院學報;2013年02期

5 欒杰;張曉平;;IPv6關(guān)鍵技術(shù)在網(wǎng)絡(luò)中部署的研究[J];中國新通信;2013年24期

6 申健;朱婧;;校園網(wǎng)IPv4到IPv6過渡技術(shù)分析與應用[J];實驗室研究與探索;2014年11期

7 陳新;范九倫;;IPv6過渡技術(shù)的改進和實現(xiàn)[J];西安郵電學院學報;2011年05期

8 徐錦;李章維;周源泉;;CGA技術(shù)的改進與研究[J];浙江工業(yè)大學學報;2009年01期

9 張平;李春青;;IPv4與IPv6隧道技術(shù)的研究及實現(xiàn)[J];計算機技術(shù)與發(fā)展;2012年08期

10 周國軍;劉愛民;;基于GNS3的IPv4與IPv6互通實驗教學設(shè)計[J];中國教育技術(shù)裝備;2013年09期

相關(guān)博士學位論文 前5條

1 劉輝宇;洪泛攻擊早期檢測及其溯源方法研究[D];華中科技大學;2011年

2 周治國;任播技術(shù)的研究[D];吉林大學;2008年

3 賀金鑫;安全組通信中數(shù)據(jù)源認證問題的研究[D];吉林大學;2008年

4 楊金翠;物聯(lián)網(wǎng)環(huán)境下的控制安全關(guān)鍵技術(shù)研究[D];北京郵電大學;2013年

5 陳世文;基于譜分析與統(tǒng)計機器學習的DDoS攻擊檢測技術(shù)研究[D];解放軍信息工程大學;2013年

相關(guān)碩士學位論文 前10條

1 鐘銳;基于隱馬爾科夫模型的入侵檢測系統(tǒng)研究[D];江西理工大學;2010年

2 張曉輝;拒絕服務(wù)攻擊檢測與響應的研究[D];長春工業(yè)大學;2010年

3 田宏偉;IPv6網(wǎng)絡(luò)入侵檢測技術(shù)的研究與實現(xiàn)[D];沈陽工業(yè)大學;2011年

4 曾紀霞;基于流量自相似性的IPv6中DDoS檢測方法的研究[D];湖南大學;2009年

5 孫有曄;IPv6網(wǎng)絡(luò)中DDoS攻擊源回溯研究[D];天津大學;2012年

6 王忠民;基于統(tǒng)計分析的DDoS攻擊檢測的研究[D];燕山大學;2012年

7 任宏暉;IPv4-IPv6過渡技術(shù)下基于CIDF的入侵檢測系統(tǒng)的設(shè)計[D];大連理工大學;2011年

8 康秋生;大規(guī)模DDoS及蠕蟲攻擊的發(fā)現(xiàn)與檢測[D];哈爾濱工程大學;2006年

9 孟琦;IPv6網(wǎng)絡(luò)環(huán)境下入侵檢測技術(shù)的研究[D];山東科技大學;2007年

10 王佳佳;DDoS攻擊檢測技術(shù)的研究[D];揚州大學;2008年

本文編號：1709988