天堂国产午夜亚洲专区-少妇人妻综合久久蜜臀-国产成人户外露出视频在线-国产91传媒一区二区三区

基于IXP2400的源端DDoS防御系統(tǒng)

發(fā)布時(shí)間:2017-09-23 18:03

  本文關(guān)鍵詞:基于IXP2400的源端DDoS防御系統(tǒng)


  更多相關(guān)文章: DDoS攻擊 源端防御 IXP2400 模塊


【摘要】:近年來(lái),很多英特網(wǎng)服務(wù)器都遭到一種被稱為分布式拒絕服務(wù)(Distributed Denial of Service,DDo S)的攻擊。這種攻擊的目的是阻止合法用戶訪問(wèn)所需資源,比如互聯(lián)網(wǎng)的帶寬。以前的安全威脅能用一種嚴(yán)密的安全策略和積極的措施比如防火墻、入侵檢測(cè)系統(tǒng)(Intrusion Detection Systems,IDS)來(lái)應(yīng)對(duì)。但DDoS攻擊是一種新型的攻擊,以至于現(xiàn)在都還沒(méi)有非常有效的防護(hù)措施。因此,需要一種功能強(qiáng)大的檢測(cè)互聯(lián)網(wǎng)服務(wù)器安全漏洞攻擊的工具。DDoS向網(wǎng)絡(luò)安全提出了一個(gè)必須解決的問(wèn)題,很多防御設(shè)備也面臨這個(gè)問(wèn)題的挑戰(zhàn)。DDoS防御系統(tǒng)對(duì)硬件的要求是運(yùn)行速度快,對(duì)軟件的要求是可擴(kuò)展性、攻擊檢測(cè)的高準(zhǔn)確性以及對(duì)新型攻擊的高適應(yīng)性。防御系統(tǒng)的部署越靠近攻擊源端就越能更早地檢測(cè)到攻擊,最大程度減少對(duì)被攻擊者和網(wǎng)絡(luò)資源的影響,因此源端是部署DDoS防御系統(tǒng)比較理想的地方。本工作中,采取了在IXP2400(Internet eXchange Point,互聯(lián)網(wǎng)交換中心)網(wǎng)絡(luò)處理器上增加3個(gè)軟件模塊的方法,設(shè)計(jì)并實(shí)現(xiàn)了部署在源端的DDoS防御系統(tǒng)。該系統(tǒng)能有效檢測(cè)IP欺騙攻擊與洪水攻擊,由于系統(tǒng)設(shè)計(jì)是基于英特爾IXA SDK 4.1軟件構(gòu)架,因此具有可移植性,利于大規(guī)模部署、升級(jí)。具體工作如下:1.設(shè)計(jì)了一種基于IXP2400網(wǎng)絡(luò)處理器的源端DDoS防御系統(tǒng)。該系統(tǒng)部署在源端網(wǎng)絡(luò)的邊界,它能在源端子網(wǎng)檢測(cè)數(shù)據(jù)流并且在源端控制惡意數(shù)據(jù)流,使它不能影響到其他網(wǎng)絡(luò),它包含了3個(gè)模塊:源端過(guò)濾器、DDoS分類器和DDoS限速器。2.給出了源端過(guò)濾器、DDoS分類器和DDoS限速器的詳細(xì)設(shè)計(jì)。源端過(guò)濾是通過(guò)檢查數(shù)據(jù)包報(bào)頭內(nèi)的源IP地址字段的值是否是有效來(lái)實(shí)現(xiàn)的;DDoS分類器主要負(fù)責(zé)收集數(shù)據(jù)流和連接信息統(tǒng)計(jì),并將它們與合法的數(shù)據(jù)流和連接模型進(jìn)行對(duì)比,通過(guò)建立在數(shù)據(jù)包發(fā)送和接受比例基礎(chǔ)上的無(wú)參數(shù)CUSUM算法來(lái)檢測(cè)是否為惡意數(shù)據(jù);DDoS限速器主要通過(guò)三色標(biāo)記器來(lái)實(shí)現(xiàn),三色標(biāo)記器使用DDoS分類器收集的統(tǒng)計(jì)數(shù)據(jù)來(lái)對(duì)疑似惡意數(shù)據(jù)進(jìn)行限制速率,同時(shí)DDoS限速器通過(guò)兩個(gè)令牌桶對(duì)已限速的數(shù)據(jù)進(jìn)行再次判斷,判定是否為惡意數(shù)據(jù)。3.利用模擬DDoS攻擊來(lái)檢驗(yàn)這套源端DDoS防御系統(tǒng)。利用SmartBits SMB-6000模擬發(fā)送DDoS攻擊數(shù)據(jù)來(lái)攻擊服務(wù)器,同時(shí)合法用戶與服務(wù)器進(jìn)行數(shù)據(jù)交換,通過(guò)合法用戶連接的接收數(shù)量和合法連接的拒絕率來(lái)判定測(cè)試這套防御系統(tǒng)的防御能力。通過(guò)測(cè)試,分析可知這個(gè)防御系統(tǒng)可以防御IP欺騙、TCP(Transmission Control Protocol,傳輸控制協(xié)議)SNY(synchronous,TCP/IP建立連接時(shí)使用的握手信號(hào))洪水攻擊、ICMP(Internet Control Message Protocol,Internet控制報(bào)文協(xié)議)和UDP(User Datagram Protocol,用戶數(shù)據(jù)報(bào)協(xié)議)洪水攻擊。
【關(guān)鍵詞】:DDoS攻擊 源端防御 IXP2400 模塊
【學(xué)位授予單位】:電子科技大學(xué)
【學(xué)位級(jí)別】:碩士
【學(xué)位授予年份】:2016
【分類號(hào)】:TP393.08
【目錄】:
  • 摘要5-7
  • ABSTRACT7-11
  • 第一章 緒論11-15
  • 1.1 DDoS攻擊和防御研究工作的背景與意義11
  • 1.2 DDoS攻擊和防御在國(guó)內(nèi)外的研究現(xiàn)狀11-13
  • 1.3 本文的主要貢獻(xiàn)13
  • 1.4 本文的結(jié)構(gòu)安排13-14
  • 1.5 本章小結(jié)14-15
  • 第二章 DDoS攻擊原理及防御策略15-23
  • 2.1 DDoS攻擊原理15-17
  • 2.1.1 IP欺騙攻擊16
  • 2.1.2 SYN洪水攻擊16
  • 2.1.3 ICMP洪水攻擊16
  • 2.1.4 UDP洪水攻擊16-17
  • 2.2 DDoS攻擊的防御策略17-22
  • 2.2.1 目標(biāo)端防御17-18
  • 2.2.2 網(wǎng)絡(luò)通路防御18-20
  • 2.2.3 源端防御20-22
  • 2.3 本章小結(jié)22-23
  • 第三章 源端DDoS防御系統(tǒng)的硬件、軟件環(huán)境23-28
  • 3.1 源端DDoS防御系統(tǒng)的需求分析23
  • 3.2 IXP2400網(wǎng)絡(luò)處理器23-25
  • 3.3 英特爾IXA SDK 4.1 軟件構(gòu)架25-27
  • 3.4 本章小結(jié)27-28
  • 第四章 源端防御系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)28-48
  • 4.1 DDoS防御系統(tǒng)構(gòu)架28-29
  • 4.2 在IXP2400上實(shí)現(xiàn)源端防御系統(tǒng)29-33
  • 4.3 源過(guò)濾33-36
  • 4.3.1 源過(guò)濾的核心組件33
  • 4.3.2 核心組件和配置實(shí)用程序間的相互作用33-35
  • 4.3.3 源過(guò)濾微塊35-36
  • 4.4 DDoS分類器36-46
  • 4.4.1 基于軟件的分類36-44
  • 4.4.2 基于TCAM的硬件分類44-46
  • 4.5 DDoS限速器46-47
  • 4.6 本章小結(jié)47-48
  • 第五章 測(cè)試和分析48-57
  • 5.1 測(cè)試環(huán)境48-50
  • 5.2 結(jié)果分析50-55
  • 5.3 基于TCAM分類器的預(yù)期表現(xiàn)55-56
  • 5.4 本章小結(jié)56-57
  • 第六章 結(jié)論57-58
  • 致謝58-59
  • 參考文獻(xiàn)59-62

【參考文獻(xiàn)】

中國(guó)博士學(xué)位論文全文數(shù)據(jù)庫(kù) 前1條

1 陳世文;基于譜分析與統(tǒng)計(jì)機(jī)器學(xué)習(xí)的DDoS攻擊檢測(cè)技術(shù)研究[D];解放軍信息工程大學(xué);2013年

中國(guó)碩士學(xué)位論文全文數(shù)據(jù)庫(kù) 前2條

1 李錦玲;應(yīng)用層分布式拒絕服務(wù)攻擊的異常檢測(cè)算法研究[D];解放軍信息工程大學(xué);2013年

2 趙軒;基于狀態(tài)檢測(cè)的硬件防火墻實(shí)現(xiàn)技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2004年

,

本文編號(hào):906669

資料下載
論文發(fā)表

本文鏈接:http://sikaile.net/guanlilunwen/ydhl/906669.html


Copyright(c)文論論文網(wǎng)All Rights Reserved | 網(wǎng)站地圖 |

版權(quán)申明:資料由用戶f2262***提供,本站僅收錄摘要或目錄,作者需要?jiǎng)h除請(qǐng)E-mail郵箱bigeng88@qq.com