基于網(wǎng)絡接受標記的Internet終端通信.pdf

1、Intemet的開放性使其得到了廣泛的應用，但同時也帶來了很多問題，每一個終端都有可能成為被攻擊者，由此引起的DDOS攻擊廣泛的存在于Intemet中，其本質是向受害主機發(fā)送大量的數(shù)據(jù)包，導致中間網(wǎng)絡發(fā)生擁塞，造成數(shù)據(jù)包的大量丟失，或者消耗受害主機的有限資源而使其無法向合法用戶提供服務。而對于DDOS攻擊的防御，則在網(wǎng)絡安全中一直倍受關注。本文通過對目前：DDOS攻擊主要防御方法的分析與研究，選擇了基于網(wǎng)絡接受標記的防御方法為研究內容，

2、其主要思想為：受害主機可以通過中間網(wǎng)絡來決定是否接受數(shù)據(jù)包，而這正是從本質上面緩解了D D O S攻擊的威脅。而在這類研究方法當中，網(wǎng)絡接受標記的分配機制至關重要，論文正是從接受標記的分配機制出發(fā)，主要做了如下兩方面的工作。 1．對于私有服務器來講，很容易區(qū)分其合法用戶與攻擊者。論文提出了通過out-of-band方法獲得接受標記的ObD(Off by Default)防御機制。用戶可以向服務器信任的第三方發(fā)送請求包，第三方通過

3、身份認證來決定是否發(fā)放接受標記，用戶再將接受標記加入到數(shù)據(jù)包中與服務器進行通信，而網(wǎng)絡中間路由器則通過驗證這些標記的有效性，來傳送數(shù)據(jù)包。通過網(wǎng)絡實驗可以得出，該方法在抵御D D O s攻擊時起到了很好的效果。 2．對于公共服務器來講，很難區(qū)分合法用戶與攻擊者。而針對拒絕接受標記服務(denial-of-capabilities)的攻擊則會很大程度上影響接受標記的分配。本文通過對數(shù)據(jù)流的劃分，即：根據(jù)IP地址將數(shù)據(jù)流劃分為幾個地