DNS服務(wù)器DDoS防御方法研究.pdf

1、域名服務(wù)器是互聯(lián)網(wǎng)上最重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之一，幾乎所有的互聯(lián)網(wǎng)應(yīng)用都依賴于域名服務(wù)器，對(duì)域名服務(wù)器發(fā)動(dòng)分布式拒絕服務(wù)攻擊產(chǎn)生的破壞性巨大且影響廣泛，研究防范此類攻擊對(duì)保證互聯(lián)網(wǎng)的穩(wěn)定性具有重要意義。
　　 經(jīng)過(guò)對(duì)攻擊過(guò)程的分析，我們將典型的針對(duì)域名服務(wù)器的分布式拒絕服務(wù)攻擊分為兩類：DNS 查詢攻擊和DNS 放大攻擊。在這兩類攻擊中，攻擊者出于隱藏自己的目的和達(dá)到更好的攻擊效果等方面的原因，都會(huì)偽造攻擊包的源IP 地址，因此我們

2、提出了BH_Comp 方法以檢測(cè)和過(guò)濾源IP 地址偽造包來(lái)保護(hù)域名服務(wù)器。
　　 BH_Comp是使用布隆過(guò)濾器作為核心數(shù)據(jù)結(jié)構(gòu)的跳數(shù)比對(duì)檢測(cè)方法。布隆過(guò)濾器，能有效的減少存儲(chǔ)空間，并且其存儲(chǔ)空間固定，可以避免分布式拒絕服務(wù)攻擊對(duì)動(dòng)態(tài)存儲(chǔ)結(jié)構(gòu)的潛在威脅。比對(duì)檢測(cè)中跳數(shù)難以被攻擊者偽造，便于建立以跳數(shù)作為先驗(yàn)知識(shí)的數(shù)據(jù)庫(kù)，來(lái)檢測(cè)和過(guò)濾訪問(wèn)服務(wù)器的源IP 地址偽造包，從而有效防御分布式拒絕服務(wù)攻擊。
　　 在華中地區(qū)教育網(wǎng)域