基于分布式的DDoS攻擊及防范技術(shù)研究.pdf

1、互聯(lián)網(wǎng)的迅速發(fā)展使人們對網(wǎng)絡(luò)的依賴越來越大，網(wǎng)絡(luò)的安全性也就越來越受到人們的重視。但是，由于網(wǎng)絡(luò)本身(特別是TCP/IP協(xié)議)的安全缺陷，各種攻擊不可能消失，其中拒絕服務(wù)(Denial of Service，簡稱DoS)攻擊以其攻擊范圍廣、隱蔽性強(qiáng)、簡單有效等特點(diǎn)成為常見的網(wǎng)絡(luò)攻擊技術(shù)之一，極大地影響了網(wǎng)絡(luò)和業(yè)務(wù)主機(jī)系統(tǒng)的有效服務(wù)，特別是分布式拒絕服務(wù)(DDoS，Distributed Denial of Service)攻擊，由于其隱

2、蔽性和分布性而難于檢測和防御，從而嚴(yán)重威脅著互聯(lián)網(wǎng)的安全。
　　 本文從分析當(dāng)前DoS/DDoS攻擊的原理入手，在分析并研究了DoS/DDoS攻擊的常見攻擊形式和DRDoS攻擊原理的基礎(chǔ)上，對DDoS/DRDoS攻擊進(jìn)行合理分類，即分為帶寬耗用型攻擊、資源衰竭型攻擊和編程缺陷型攻擊三種。接著，就目前常見的DDoS攻擊防御措施做了簡要的介紹，這幾種常見的防御措施有流量/帶寬限制策略、網(wǎng)絡(luò)邊界硬化策略、攻擊監(jiān)測策略以及攻擊響應(yīng)策略。

3、并在這幾種常見的防御措施基礎(chǔ)上提出了一種新的防御措施即DDoS客服協(xié)同防御機(jī)制。該機(jī)制提出了從傀儡機(jī)(DDoS)和服務(wù)器端進(jìn)行協(xié)同防御的機(jī)制。對于像UDP flood以及ICMP Smurf這類非面向連接的攻擊，主要在傀儡機(jī)端采用流量檢測和協(xié)議分析的方法；對于面向連接的攻擊，我們采用客服協(xié)同的SYN Cookie技術(shù)，從而主動有效地防御攻擊DDoS。最后，介紹了有關(guān)網(wǎng)絡(luò)仿真的相關(guān)知識，并利用OPNET網(wǎng)絡(luò)仿真軟件進(jìn)行了仿真實(shí)驗(yàn)，初步驗(yàn)證