【摘要】：隨著計算機技術的不斷發(fā)展,Internet在日常生活和工作中發(fā)揮著越來越重要的作用,網(wǎng)絡安全面臨更多的挑戰(zhàn)。分布式拒絕服務攻擊日益猖獗,SYN Flood DDoS攻擊是一種容易發(fā)動的攻擊方式,而且短時間內(nèi)就可以使受害服務器端崩潰,深受黑客和不法分子青睞。這使得對SYN Flood DDoS攻擊的防范,一直是網(wǎng)絡安全領域重要且極具挑戰(zhàn)的熱門課題。在當前情況下是不可能徹底杜絕DDoS攻擊的,我們能做的,就是盡早檢測到攻擊,對攻擊采取適當?shù)姆婪洞胧�。因�?對SYN Flood DDoS攻擊的檢測和過濾研究顯得尤為重要。 本文首先對SYN Flood DDoS攻擊的研究現(xiàn)狀做了深入調(diào)研,通過分析SYNFlood DDoS攻擊的原理、分類、特點和應對SYN Flood DDoS攻擊的攻擊前、攻擊中、攻擊后三條防線,提出基于主動隊列管理(Active Queue Management, AQM)的SYN Flood DDoS攻擊檢測和過濾方法——SYN隨機公平藍色(SYN StochasticFair Blue, SYN-SFB)算法�；诠魴z測的實時性要求,設計了SYN數(shù)據(jù)包流量監(jiān)測模塊,用SYN數(shù)據(jù)包的平均流量增長值來判斷是否發(fā)生攻擊,并以此作為啟用保護層的條件。保護層通過數(shù)據(jù)流標記概率過濾攻擊數(shù)據(jù)包,將識別出的良性SYN數(shù)據(jù)包加入到安全SYN請求隊列(Safe SYN Request Queue, SSRQ)中,并賦予不同的優(yōu)先級,保證良性SYN數(shù)據(jù)包的順利傳輸。 通過在NS2(Network Simulator Version2)仿真環(huán)境下開展一系列實驗,對比了SYN-SFB算法與幾個著名主動隊列管理算法在發(fā)生SYN Flood DDoS攻擊時的性能。實驗結果表明：SYN-SFB算法具有高度的健壯性；能夠識別出SYN FloodDDoS攻擊,并實現(xiàn)對攻擊包的過濾；因SYN Flood DDoS攻擊而損失的正常TCP數(shù)據(jù)流吞吐率都被控制在l%以內(nèi)。
【圖文】：

Tbrget圖2-1 ： DDoD攻擊體系結構2. 1. 2分布式拒絕服務攻擊分類根據(jù)受害主機地址在數(shù)據(jù)包中位置的不同，可以將DDoS攻擊分為直接式攻擊和反彈式攻擊。1)直接式DDoS攻擊在直接式攻擊中，，攻擊者采用如圖2-1所示的等級方式控制僵尸網(wǎng)絡。執(zhí)行僵尸機將接收到的攻擊指揮臺的攻擊指令轉發(fā)給代理僵尸機，代理僵尸機在攻擊指令的操控下向受害主機直接發(fā)動攻擊。直接式DDoS攻擊按照代理僵尸機發(fā)送的攻擊包數(shù)量不同，可進一步分為洪流攻擊、細流攻擊兩種攻擊方式。(1)洪流攻擊洪流攻擊利用應用程序和協(xié)議中的漏洞，向被攻擊端發(fā)送大量的攻擊包，使被攻擊端無法正確處理代理僵尸機發(fā)來的攻擊包，最終導致被攻擊端崩m(xù)

本文編號：2541358