DDoS攻擊防御系統(tǒng)的設計與實現(xiàn).pdf

1、隨著互聯(lián)網覆蓋范圍的日益擴大，網絡應用服務的增多以及互聯(lián)網網民人數(shù)的大幅增長，越來越多的人通過網絡進行購物、賬單繳費等活動，但與此同時網絡攻擊、病毒感染的次數(shù)也在隨之增長。為維護網民的合法權益及個人信息安全，保障網絡安全成為當前的重要研究課題。在所有的安全威脅中分布式拒絕服務攻擊(Distributed Denial of Service,DDoS)因其易于發(fā)起、攻擊危害大等特點而被廣泛使用，這使得針對DDoS攻擊的檢測與防御技術研究成

2、為熱點。針對網絡層和傳輸層協(xié)議漏洞的攻擊自DDoS攻擊誕生以來就成為其重要的攻擊手段，隨著防御方法的不斷提升，人們提高了對網絡層和傳輸層攻擊的防御能力，但目前針對應用層的攻擊不斷涌現(xiàn)且破壞力更大，成為DDoS攻擊研究的新目標。
　　防火墻是維護網絡安全的核心設備，為保護網絡安全，防火墻會按照策略對出入其的報文進行監(jiān)控，常用的防火墻技術包括數(shù)據(jù)包狀態(tài)過濾技術、網絡地址轉換技術、數(shù)據(jù)加密技術、隧道傳輸技術等。為使防火墻設備可以應對DD

3、oS攻擊，有效保護網絡安全，本文在防火墻設備上實現(xiàn)了DDoS攻擊防御功能。
　　本文首先分析了DDoS攻擊現(xiàn)狀及發(fā)展方向，并依次介紹了網絡層、傳輸層及應用層報文結構、協(xié)議交互過程，針對不同類型報文及協(xié)議交互過程給出相應的防御策略，其中重點研究了應用層攻擊防御策略。在以上研究基礎上提出了DDoS攻擊防御系統(tǒng)，對系統(tǒng)進行了詳細的需求分析和運行設計，并在防火墻設備上實現(xiàn)了DDoS攻擊檢測與防御系統(tǒng)。最后，通過手工測試及自動化測試等方法對

4、系統(tǒng)進行基本功能測試、性能測試及壓力異常測試。
　　本系統(tǒng)具有實時配置功能，可根據(jù)不同的攻擊類型來配置策略，來執(zhí)行相應的防御動作，可執(zhí)行的動作包括：加入代理驗證源端真實性，丟棄報文和加入黑名單。源端認證是防御過程的核心，當開啟源端認證命令后，系統(tǒng)會向報文的源端發(fā)送構造的認證報文，若源端能夠正確回應則認為不存在惡意攻擊。當源端通過認證后，會被加入信任列表，但信任列表具有時限性，一段時間后當有該源端報文到達設備時，則需再次進行源端認證