基于Web服務(wù)器的DDoS防御方法的研究.pdf

1、分布式拒絕服務(wù)(DDoS)攻擊是目前互聯(lián)網(wǎng)僅次于蠕蟲(chóng)病毒的第二大威脅，每年造成的經(jīng)濟(jì)損失達(dá)千億美元。由于其利用互聯(lián)網(wǎng)的系統(tǒng)漏洞和安全隱患進(jìn)行攻擊，具有行為自然，難以防范的特點(diǎn)。研究如何防御DDoS攻擊的安全機(jī)制已成為網(wǎng)絡(luò)安全的一個(gè)熱點(diǎn)。目前仍然沒(méi)有一種有效的防御機(jī)制徹底解決DDoS攻擊問(wèn)題。 本文在研究了DDoS攻擊原理的基礎(chǔ)上，采用新型的分類方法對(duì)現(xiàn)有的DDoS攻擊手段進(jìn)行了分類；分析了現(xiàn)有的防御機(jī)制，總結(jié)了各種防御機(jī)制的特點(diǎn)

2、及其存在的問(wèn)題；提出了一種新穎的防御DDoS攻擊的安全機(jī)制——基于Web服務(wù)器的防御DDoS攻擊的三層安全機(jī)制。該機(jī)制結(jié)合Web服務(wù)器的流量特點(diǎn)，針對(duì)TCP/IP的參考模型，從網(wǎng)絡(luò)層、傳輸層和應(yīng)用層逐層采用統(tǒng)計(jì)過(guò)濾和流量限制等技術(shù)手段最大限度的濾掉非法的DDoS攻擊流量，保證正常流量的通過(guò)。在網(wǎng)絡(luò)層提出了SHCF(SimplifiedHopCountFiltering)算法，利用IP包路由過(guò)程中的跳數(shù)作為統(tǒng)計(jì)對(duì)象，過(guò)濾大量偽造的非法流量