本文選題：IPv6　切入點(diǎn)：多地址性　出處：《哈爾濱工業(yè)大學(xué)》2014年碩士論文

【摘要】：自IPv4網(wǎng)絡(luò)誕生以來(lái)，拒絕服務(wù)（Denial-of-Service, DoS）攻擊一直是威脅網(wǎng)絡(luò)安全的重要問(wèn)題之一。隨著IPv6技術(shù)的不斷發(fā)展和IPv6網(wǎng)絡(luò)的逐步推廣，DoS攻擊在IPv6網(wǎng)絡(luò)中的安全問(wèn)題也逐漸顯現(xiàn)出來(lái)，并開(kāi)始影響IPv6網(wǎng)絡(luò)的正常運(yùn)行。 本文首先分析了現(xiàn)有IPv6網(wǎng)絡(luò)的安全問(wèn)題和IPv6網(wǎng)絡(luò)安全問(wèn)題的研究現(xiàn)狀，然后詳細(xì)介紹了IPv6協(xié)議特性及IPv6地址構(gòu)成方式。通過(guò)研究分析IPv6和隧道主機(jī)的多地址性，提出了虛擬主機(jī)的概念。 隨后本文指出攻擊者可以利用IPv6主機(jī)多地址的性質(zhì)，結(jié)合隧道方式獲得大量合法IPv6地址形成大量虛擬主機(jī)，進(jìn)而對(duì)目標(biāo)設(shè)備實(shí)施放大的DoS攻擊。與IPv4網(wǎng)絡(luò)相比，這種利用虛擬主機(jī)實(shí)施DoS攻擊的方式，可以有效的放大攻擊主機(jī)數(shù)目，并通過(guò)虛擬主機(jī)之間的配合，降低甚至逃避基于IP的傳統(tǒng)檢測(cè)和防御策略的效果。因此，對(duì)于攻擊者而言，這種攻擊方式可以有效放大攻擊節(jié)點(diǎn)的數(shù)量或者大大減少實(shí)際攻擊所需的節(jié)點(diǎn)數(shù)目。 為此，本文提出了基于地址特征的防御框架（DFAC）。DFAC框架的基本原理是：通過(guò)對(duì)含有相同地址特征的源IP進(jìn)行分類(lèi)聚合，，構(gòu)造包含多個(gè)連接的特征子集，然后再特征子集的基礎(chǔ)上對(duì)基于虛擬主機(jī)的DoS攻擊進(jìn)行檢測(cè)和防御，從而解決這種利用虛擬主機(jī)實(shí)施攻擊引發(fā)的放大問(wèn)題。在研究DFAC的攻擊判定模塊時(shí)，本文提出了特征子集層面基于相似度的攻擊判定方法，并詳細(xì)介紹了基于特征子集攻擊判定算法以及判定模塊的運(yùn)行流程。 本文最后設(shè)計(jì)并實(shí)現(xiàn)了檢測(cè)HTTP Get Flood攻擊的原型系統(tǒng)，并根據(jù)實(shí)驗(yàn)要求搭建了專(zhuān)門(mén)的模擬實(shí)驗(yàn)環(huán)境。實(shí)驗(yàn)結(jié)果表明，本課題提出的基于地址特征分類(lèi)的防御框架（DFAC），可以有效降低系統(tǒng)運(yùn)行處理的計(jì)算量和內(nèi)存占用率，提高系統(tǒng)應(yīng)對(duì)基于虛擬主機(jī)的DoS放大攻擊的能力。
[Abstract]:Since the birth of IPv4 network, Denial-of-Service (dos) attacks have been one of the most important threats to network security.With the development of IPv6 technology and the gradual popularization of IPv6 network, the security problems of dos attack in IPv6 network also appear gradually, and begin to affect the normal operation of IPv6 network.In this paper, the security problems of IPv6 network and the research status of IPv6 network security are analyzed, and then the characteristics of IPv6 protocol and the IPv6 address structure are introduced in detail.By studying and analyzing the multi-address property of IPv6 and tunnel host, the concept of virtual host is put forward.Then this paper points out that the attacker can take advantage of the multi-address nature of the IPv6 host and obtain a large number of legitimate IPv6 addresses in the tunnel mode to form a large number of virtual hosts and then carry out an amplified DoS attack on the target device.Compared with IPv4 network, this way of using virtual host to implement DoS attack can effectively enlarge the number of attacking hosts, and reduce or even evade the effect of traditional detection and defense strategy based on IP through the cooperation between virtual hosts.Therefore, for the attacker, this attack method can effectively enlarge the number of attack nodes or greatly reduce the number of nodes needed for the actual attack.For this reason, this paper puts forward the basic principle of the DFACU. DFAC framework based on address feature: by classifying and aggregating the source IP with the same address feature, we construct a feature subset containing multiple connections.Then, based on the feature subset, the DoS attack based on virtual host is detected and defended, so as to solve the problem of amplification caused by using virtual host attack.When studying the attack decision module of DFAC, this paper proposes a similarity based attack decision method at feature subset level, and introduces the attack decision algorithm based on feature subset and the running flow of the decision module in detail.Finally, a prototype system for detecting HTTP Get Flood attacks is designed and implemented, and a special simulation environment is built according to the experimental requirements.The experimental results show that the proposed defense framework based on address feature classification can effectively reduce the computation and memory occupancy of the system and improve the ability of the system to deal with the DoS amplification attack based on the virtual host.
【學(xué)位授予單位】：哈爾濱工業(yè)大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2014
【分類(lèi)號(hào)】：TP393.08;TP393.04

【共引文獻(xiàn)】

相關(guān)期刊論文 前10條

1 錢(qián)華林;鄂躍鵬;葛敬國(guó);任勇毛;游軍玲;;雙層IP地址空間體系結(jié)構(gòu)[J];軟件學(xué)報(bào);2012年01期

2 李紅艷;;蠕蟲(chóng)特征檢測(cè)技術(shù)的研究[J];山東電大學(xué)報(bào);2006年03期

3 王相林;徐靜靜;;IPv6路由報(bào)頭安全漏洞的保護(hù)方案[J];計(jì)算機(jī)工程與設(shè)計(jì);2008年12期

4 高繼森;何俊;;ISATAP隧道技術(shù)的研究與測(cè)試[J];平頂山學(xué)院學(xué)報(bào);2013年02期

5 欒杰;張曉平;;IPv6關(guān)鍵技術(shù)在網(wǎng)絡(luò)中部署的研究[J];中國(guó)新通信;2013年24期

6 申健;朱婧;;校園網(wǎng)IPv4到IPv6過(guò)渡技術(shù)分析與應(yīng)用[J];實(shí)驗(yàn)室研究與探索;2014年11期

7 陳新;范九倫;;IPv6過(guò)渡技術(shù)的改進(jìn)和實(shí)現(xiàn)[J];西安郵電學(xué)院學(xué)報(bào);2011年05期

8 徐錦;李章維;周源泉;;CGA技術(shù)的改進(jìn)與研究[J];浙江工業(yè)大學(xué)學(xué)報(bào);2009年01期

9 張平;李春青;;IPv4與IPv6隧道技術(shù)的研究及實(shí)現(xiàn)[J];計(jì)算機(jī)技術(shù)與發(fā)展;2012年08期

10 周?chē)?guó)軍;劉愛(ài)民;;基于GNS3的IPv4與IPv6互通實(shí)驗(yàn)教學(xué)設(shè)計(jì)[J];中國(guó)教育技術(shù)裝備;2013年09期

相關(guān)博士學(xué)位論文 前5條

1 劉輝宇;洪泛攻擊早期檢測(cè)及其溯源方法研究[D];華中科技大學(xué);2011年

2 周治國(guó);任播技術(shù)的研究[D];吉林大學(xué);2008年

3 賀金鑫;安全組通信中數(shù)據(jù)源認(rèn)證問(wèn)題的研究[D];吉林大學(xué);2008年

4 楊金翠;物聯(lián)網(wǎng)環(huán)境下的控制安全關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2013年

5 陳世文;基于譜分析與統(tǒng)計(jì)機(jī)器學(xué)習(xí)的DDoS攻擊檢測(cè)技術(shù)研究[D];解放軍信息工程大學(xué);2013年

相關(guān)碩士學(xué)位論文 前10條

1 鐘銳;基于隱馬爾科夫模型的入侵檢測(cè)系統(tǒng)研究[D];江西理工大學(xué);2010年

2 張曉輝;拒絕服務(wù)攻擊檢測(cè)與響應(yīng)的研究[D];長(zhǎng)春工業(yè)大學(xué);2010年

3 田宏偉;IPv6網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研究與實(shí)現(xiàn)[D];沈陽(yáng)工業(yè)大學(xué);2011年

4 曾紀(jì)霞;基于流量自相似性的IPv6中DDoS檢測(cè)方法的研究[D];湖南大學(xué);2009年

5 孫有曄;IPv6網(wǎng)絡(luò)中DDoS攻擊源回溯研究[D];天津大學(xué);2012年

6 王忠民;基于統(tǒng)計(jì)分析的DDoS攻擊檢測(cè)的研究[D];燕山大學(xué);2012年

7 任宏暉;IPv4-IPv6過(guò)渡技術(shù)下基于CIDF的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)[D];大連理工大學(xué);2011年

8 康秋生;大規(guī)模DDoS及蠕蟲(chóng)攻擊的發(fā)現(xiàn)與檢測(cè)[D];哈爾濱工程大學(xué);2006年

9 孟琦;IPv6網(wǎng)絡(luò)環(huán)境下入侵檢測(cè)技術(shù)的研究[D];山東科技大學(xué);2007年

10 王佳佳;DDoS攻擊檢測(cè)技術(shù)的研究[D];揚(yáng)州大學(xué);2008年

本文編號(hào)：1709988