本文關(guān)鍵詞：基于IXP2400的源端DDoS防御系統(tǒng)

  更多相關(guān)文章： DDoS攻擊 源端防御 IXP2400 模塊

【摘要】：近年來,很多英特網(wǎng)服務(wù)器都遭到一種被稱為分布式拒絕服務(wù)(Distributed Denial of Service,DDo S)的攻擊。這種攻擊的目的是阻止合法用戶訪問所需資源,比如互聯(lián)網(wǎng)的帶寬。以前的安全威脅能用一種嚴(yán)密的安全策略和積極的措施比如防火墻、入侵檢測系統(tǒng)(Intrusion Detection Systems,IDS)來應(yīng)對。但DDoS攻擊是一種新型的攻擊,以至于現(xiàn)在都還沒有非常有效的防護(hù)措施。因此,需要一種功能強(qiáng)大的檢測互聯(lián)網(wǎng)服務(wù)器安全漏洞攻擊的工具。DDoS向網(wǎng)絡(luò)安全提出了一個必須解決的問題,很多防御設(shè)備也面臨這個問題的挑戰(zhàn)。DDoS防御系統(tǒng)對硬件的要求是運(yùn)行速度快,對軟件的要求是可擴(kuò)展性、攻擊檢測的高準(zhǔn)確性以及對新型攻擊的高適應(yīng)性。防御系統(tǒng)的部署越靠近攻擊源端就越能更早地檢測到攻擊,最大程度減少對被攻擊者和網(wǎng)絡(luò)資源的影響,因此源端是部署DDoS防御系統(tǒng)比較理想的地方。本工作中,采取了在IXP2400(Internet eXchange Point,互聯(lián)網(wǎng)交換中心)網(wǎng)絡(luò)處理器上增加3個軟件模塊的方法,設(shè)計并實現(xiàn)了部署在源端的DDoS防御系統(tǒng)。該系統(tǒng)能有效檢測IP欺騙攻擊與洪水攻擊,由于系統(tǒng)設(shè)計是基于英特爾IXA SDK 4.1軟件構(gòu)架,因此具有可移植性,利于大規(guī)模部署、升級。具體工作如下:1.設(shè)計了一種基于IXP2400網(wǎng)絡(luò)處理器的源端DDoS防御系統(tǒng)。該系統(tǒng)部署在源端網(wǎng)絡(luò)的邊界,它能在源端子網(wǎng)檢測數(shù)據(jù)流并且在源端控制惡意數(shù)據(jù)流,使它不能影響到其他網(wǎng)絡(luò),它包含了3個模塊:源端過濾器、DDoS分類器和DDoS限速器。2.給出了源端過濾器、DDoS分類器和DDoS限速器的詳細(xì)設(shè)計。源端過濾是通過檢查數(shù)據(jù)包報頭內(nèi)的源IP地址字段的值是否是有效來實現(xiàn)的;DDoS分類器主要負(fù)責(zé)收集數(shù)據(jù)流和連接信息統(tǒng)計,并將它們與合法的數(shù)據(jù)流和連接模型進(jìn)行對比,通過建立在數(shù)據(jù)包發(fā)送和接受比例基礎(chǔ)上的無參數(shù)CUSUM算法來檢測是否為惡意數(shù)據(jù);DDoS限速器主要通過三色標(biāo)記器來實現(xiàn),三色標(biāo)記器使用DDoS分類器收集的統(tǒng)計數(shù)據(jù)來對疑似惡意數(shù)據(jù)進(jìn)行限制速率,同時DDoS限速器通過兩個令牌桶對已限速的數(shù)據(jù)進(jìn)行再次判斷,判定是否為惡意數(shù)據(jù)。3.利用模擬DDoS攻擊來檢驗這套源端DDoS防御系統(tǒng)。利用SmartBits SMB-6000模擬發(fā)送DDoS攻擊數(shù)據(jù)來攻擊服務(wù)器,同時合法用戶與服務(wù)器進(jìn)行數(shù)據(jù)交換,通過合法用戶連接的接收數(shù)量和合法連接的拒絕率來判定測試這套防御系統(tǒng)的防御能力。通過測試,分析可知這個防御系統(tǒng)可以防御IP欺騙、TCP(Transmission Control Protocol,傳輸控制協(xié)議)SNY(synchronous,TCP/IP建立連接時使用的握手信號)洪水攻擊、ICMP(Internet Control Message Protocol,Internet控制報文協(xié)議)和UDP(User Datagram Protocol,用戶數(shù)據(jù)報協(xié)議)洪水攻擊。
【關(guān)鍵詞】：DDoS攻擊 源端防御 IXP2400 模塊
【學(xué)位授予單位】：電子科技大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2016
【分類號】：TP393.08
【目錄】：

• 摘要5-7
• ABSTRACT7-11
• 第一章 緒論11-15
• 1.1 DDoS攻擊和防御研究工作的背景與意義11
• 1.2 DDoS攻擊和防御在國內(nèi)外的研究現(xiàn)狀11-13
• 1.3 本文的主要貢獻(xiàn)13
• 1.4 本文的結(jié)構(gòu)安排13-14
• 1.5 本章小結(jié)14-15
• 第二章 DDoS攻擊原理及防御策略15-23
• 2.1 DDoS攻擊原理15-17
• 2.1.1 IP欺騙攻擊16
• 2.1.2 SYN洪水攻擊16
• 2.1.3 ICMP洪水攻擊16
• 2.1.4 UDP洪水攻擊16-17
• 2.2 DDoS攻擊的防御策略17-22
• 2.2.1 目標(biāo)端防御17-18
• 2.2.2 網(wǎng)絡(luò)通路防御18-20
• 2.2.3 源端防御20-22
• 2.3 本章小結(jié)22-23
• 第三章 源端DDoS防御系統(tǒng)的硬件、軟件環(huán)境23-28
• 3.1 源端DDoS防御系統(tǒng)的需求分析23
• 3.2 IXP2400網(wǎng)絡(luò)處理器23-25
• 3.3 英特爾IXA SDK 4.1 軟件構(gòu)架25-27
• 3.4 本章小結(jié)27-28
• 第四章 源端防御系統(tǒng)的設(shè)計實現(xiàn)28-48
• 4.1 DDoS防御系統(tǒng)構(gòu)架28-29
• 4.2 在IXP2400上實現(xiàn)源端防御系統(tǒng)29-33
• 4.3 源過濾33-36
• 4.3.1 源過濾的核心組件33
• 4.3.2 核心組件和配置實用程序間的相互作用33-35
• 4.3.3 源過濾微塊35-36
• 4.4 DDoS分類器36-46
• 4.4.1 基于軟件的分類36-44
• 4.4.2 基于TCAM的硬件分類44-46
• 4.5 DDoS限速器46-47
• 4.6 本章小結(jié)47-48
• 第五章 測試和分析48-57
• 5.1 測試環(huán)境48-50
• 5.2 結(jié)果分析50-55
• 5.3 基于TCAM分類器的預(yù)期表現(xiàn)55-56
• 5.4 本章小結(jié)56-57
• 第六章 結(jié)論57-58
• 致謝58-59
• 參考文獻(xiàn)59-62

【參考文獻(xiàn)】

中國博士學(xué)位論文全文數(shù)據(jù)庫 前1條

1 陳世文;基于譜分析與統(tǒng)計機(jī)器學(xué)習(xí)的DDoS攻擊檢測技術(shù)研究[D];解放軍信息工程大學(xué);2013年

中國碩士學(xué)位論文全文數(shù)據(jù)庫 前2條

1 李錦玲;應(yīng)用層分布式拒絕服務(wù)攻擊的異常檢測算法研究[D];解放軍信息工程大學(xué);2013年

2 趙軒;基于狀態(tài)檢測的硬件防火墻實現(xiàn)技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2004年

，

本文編號：906669