本文選題：SDN + DDoS放大攻擊��； 參考：《北京郵電大學(xué)》2017年碩士論文

【摘要】：作為常見且危害巨大的一類網(wǎng)絡(luò)攻擊方式,分布式拒絕服務(wù)(DistributedDenial of Service,DDoS)放大攻擊經(jīng)常被黑客用來對網(wǎng)絡(luò)設(shè)施進(jìn)行攻擊破壞。而鑒于DNS服務(wù)器開放且易被利用的特點,很多黑客常選擇使用DNS放大攻擊的方式向目標(biāo)主機(jī)發(fā)起DDoS放大攻擊。針對這類攻擊,傳統(tǒng)網(wǎng)絡(luò)中現(xiàn)有的防御思路都是在企業(yè)網(wǎng)關(guān)入口設(shè)置專用的DDoS防御平臺進(jìn)行流量清洗,或是在網(wǎng)絡(luò)元件端進(jìn)行流量過濾。這些方式可視性差、靈活性差,或是需要引入第三方專用設(shè)備,導(dǎo)致成本變高。作為未來網(wǎng)絡(luò)新型架構(gòu)之一,軟件定義網(wǎng)絡(luò)(Software Defined Networks,SDN)也面臨著相同的威脅。但SDN架構(gòu)的可視性和可編程性為攻擊防御機(jī)制的設(shè)計提供了新的思路。結(jié)合上述優(yōu)勢,本文在SDN架構(gòu)下提出一種由三個防御階段組成的DNS放大攻擊防御機(jī)制,具體包括攻擊初步檢測階段、攻擊確認(rèn)和受害主機(jī)保護(hù)階段與傀儡機(jī)發(fā)現(xiàn)和隔離階段。1)攻擊初步檢測階段。對流經(jīng)轉(zhuǎn)發(fā)層的DNS請求數(shù)據(jù)包測速來進(jìn)行攻擊的初步檢測。接著對其中超速包的源IP通過熵值運算來衡量其集中程度,判斷攻擊是否可能發(fā)生并找出疑似受害主機(jī)。2)攻擊確認(rèn)和受害主機(jī)保護(hù)階段。充分利用網(wǎng)絡(luò)可視性和OpenFlow協(xié)議靈活性的優(yōu)勢通過分析疑似受害主機(jī)端口的DNS請求包和回復(fù)包的數(shù)量來準(zhǔn)確判定攻擊是否發(fā)生并迅速保護(hù)受害主機(jī),同時確保對受害主機(jī)正常DNS訪問的影響很小。3)傀儡機(jī)發(fā)現(xiàn)和隔離階段。通過利用端口信息進(jìn)行攻擊路徑回溯的算法精確找出并迅速從網(wǎng)絡(luò)中隔離傀儡機(jī),使網(wǎng)絡(luò)流量完全恢復(fù)正常。最后,基于Ryu控制器和Mininet仿真平臺對整體防御機(jī)制進(jìn)行仿真實驗,并對實驗結(jié)果進(jìn)行詳細(xì)分析和評估。仿真實驗結(jié)果表明防御機(jī)制有效且穩(wěn)定,為SDN網(wǎng)絡(luò)中DDoS放大攻擊的防御研究提供了新的更加靈活的思路。
[Abstract]:As a common and dangerous network attack, distributed denial of Service (DDoS) amplification attacks are often used by hackers to attack and destroy network facilities.However, due to the open and easy to use of DNS server, many hackers often choose to use DNS amplification attack to launch DDoS amplification attack on the target host.In view of this kind of attack, the existing defense thoughts in the traditional network are to set up a dedicated DDoS defense platform to clean the traffic at the entrance of the enterprise gateway, or to filter the traffic at the network component end.Poor visibility, poor flexibility, or the introduction of third-party-specific equipment can lead to higher costs.As one of the new network architecture in the future, Software Defined Networks (SDN) is facing the same threat.However, the visibility and programmability of SDN architecture provide a new idea for the design of attack defense mechanism.Combined with the above advantages, this paper proposes a three-stage DNS amplification attack defense mechanism under the SDN framework, which includes the initial attack detection phase.Attack confirmation and victim protection stage and puppet machine discovery and isolation stage. 1) initial attack detection phase.The initial detection of the attack is carried out on the DNS request packet which flows through the forwarding layer.Then the source IP of overspeed packet is evaluated by entropy operation to determine whether the attack is likely to occur and to find out the phase of attack confirmation and victim host protection.Taking full advantage of network visibility and flexibility of OpenFlow protocol, by analyzing the number of DNS request packets and reply packets of suspected victim host ports, we can accurately determine whether the attack occurred and protect the victim host quickly.Also make sure that the impact on the victim's normal DNS access is minimal. 3) the puppet machine discovery and isolation phase.By using the port information to trace the attack path accurately and quickly isolate the puppet machine from the network the network traffic is completely restored to normal.Finally, the overall defense mechanism is simulated based on Ryu controller and Mininet simulation platform, and the experimental results are analyzed and evaluated in detail.The simulation results show that the defense mechanism is effective and stable, which provides a new and more flexible way to study the defense of DDoS amplification attacks in SDN networks.
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 寇蕓,王育民;DDOS攻擊的原理及其防范[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2001年08期

2 何宗耀,崔雪冰;DDOS攻擊的原理及對策[J];平頂山工學(xué)院學(xué)報;2002年04期

3 周偉,王麗娜,張煥國,傅建明;一種新的DDoS攻擊方法及對策[J];計算機(jī)工程與應(yīng)用;2003年01期

4 楊升;DDoS攻擊及其應(yīng)對措施[J];南平師專學(xué)報;2003年02期

5 樊愛京;DDoS攻擊的原理及防范[J];平頂山師專學(xué)報;2003年05期

6 ;天目抗DoS/DDoS[J];信息安全與通信保密;2004年12期

7 喻超;智勝DDoS攻擊解析[J];通信世界;2004年46期

8 ;Detecting DDoS Attacks against Web Server Using Time Series Analysis[J];Wuhan University Journal of Natural Sciences;2006年01期

9 唐佳佳;;DDoS攻擊和防御分類機(jī)制[J];電腦知識與技術(shù);2006年29期

10 邱曉理;;抵御DDoS攻擊的三大法寶[J];華南金融電腦;2006年10期

相關(guān)會議論文 前10條

1 蔣平;;DDoS攻擊分類及趨勢預(yù)測[A];第十七次全國計算機(jī)安全學(xué)術(shù)交流會暨電子政務(wù)安全研討會論文集[C];2002年

2 張鑌;黃遵國;;DDoS防彈墻驗證調(diào)度層設(shè)計與實現(xiàn)[A];中國電子學(xué)會第十六屆信息論學(xué)術(shù)年會論文集[C];2009年

3 李淼;李斌;郭濤;;DDoS攻擊及其防御綜述[A];第二十次全國計算機(jī)安全學(xué)術(shù)交流會論文集[C];2005年

4 王永強(qiáng);;分布式拒絕服務(wù)攻擊(DDoS)分析及防范[A];第二十一次全國計算機(jī)安全學(xué)術(shù)交流會論文集[C];2006年

5 劉晉生;岳義軍;;常用攻擊方式DDoS的全面剖析[A];網(wǎng)絡(luò)安全技術(shù)的開發(fā)應(yīng)用學(xué)術(shù)會議論文集[C];2002年

6 蘇金樹;陳曙輝;;國家級骨干網(wǎng)DDOS及蠕蟲防御技術(shù)研究[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會’2004論文集[C];2004年

7 王欣;方濱興;;DDoS攻擊中的相變理論研究[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會'2005論文集（上冊）[C];2005年

8 孫紅杰;方濱興;張宏莉;云曉春;;基于鏈路特征的DDoS攻擊檢測方法[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會'2005論文集（上冊）[C];2005年

9 羅華;胡光岷;姚興苗;;DDoS攻擊的全局網(wǎng)絡(luò)流量異常檢測[A];2006中國西部青年通信學(xué)術(shù)會議論文集[C];2006年

10 張少俊;李建華;陳秀真;;動態(tài)博弈論在DDoS防御中的應(yīng)用[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會論文集（上冊）[C];2007年

相關(guān)重要報紙文章 前10條

1 邊歆;DDoS成為“商業(yè)武器”？[N];網(wǎng)絡(luò)世界;2006年

2 本報記者 那罡;網(wǎng)絡(luò)公害DDoS[N];中國計算機(jī)報;2008年

3 本報記者 鄒大斌;打贏DDoS攻防戰(zhàn)[N];計算機(jī)世界;2008年

4 本報實習(xí)記者 張奕;DDoS攻擊 如何對你說“不”[N];計算機(jī)世界;2009年

5 本報記者 那罡;DDoS防御進(jìn)入“云”清洗階段[N];中國計算機(jī)報;2010年

6 ;DDoS攻防那些事兒[N];網(wǎng)絡(luò)世界;2012年

7 本報記者 李旭陽;DDoS防護(hù)需新手段[N];計算機(jī)世界;2012年

8 合泰云天（北京）信息科技公司創(chuàng)辦人 Cisco Arbor Networks流量清洗技術(shù)工程師 郭慶;云清洗三打DDoS[N];網(wǎng)絡(luò)世界;2013年

9 本報記者 姜姝;DDoS之殤 拷問防御能力[N];中國電腦教育報;2013年

10 劉佳源;英國1/5公司遭遇DDoS攻擊[N];中國電子報;2013年

相關(guān)博士學(xué)位論文 前10條

1 徐圖;超球體多類支持向量機(jī)及其在DDoS攻擊檢測中的應(yīng)用[D];西南交通大學(xué);2008年

2 徐川;應(yīng)用層DDoS攻擊檢測算法研究及實現(xiàn)[D];重慶大學(xué);2012年

3 周再紅;DDoS分布式檢測和追蹤研究[D];湖南大學(xué);2011年

4 賈斌;基于機(jī)器學(xué)習(xí)和統(tǒng)計分析的DDoS攻擊檢測技術(shù)研究[D];北京郵電大學(xué);2017年

5 魏蔚;基于流量分析與控制的DDoS攻擊防御技術(shù)與體系研究[D];浙江大學(xué);2009年

6 羅光春;入侵檢測若干關(guān)鍵技術(shù)與DDoS攻擊研究[D];電子科技大學(xué);2003年

7 劉運;DDoS Flooding攻擊檢測技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2011年

8 王冬琦;分布式拒絕服務(wù)攻擊檢測和防御若干技術(shù)問題研究[D];東北大學(xué);2011年

9 于明;DDoS攻擊流及其源端網(wǎng)絡(luò)自適應(yīng)檢測算法的研究[D];西安電子科技大學(xué);2007年

10 黃昌來;基于自治系統(tǒng)的DDoS攻擊追蹤研究[D];復(fù)旦大學(xué);2009年

相關(guān)碩士學(xué)位論文 前10條

1 邢曉東;SDN網(wǎng)絡(luò)中DDoS放大攻擊的防御機(jī)制研究[D];北京郵電大學(xué);2017年

2 王曉瑞;SDN中DDoS攻擊檢測與流表過載防御技術(shù)研究[D];鄭州大學(xué);2017年

3 陳q，

本文編號：1749450