內(nèi)容分發(fā)網(wǎng)絡抗DDoS攻擊性能研究.pdf

1、內(nèi)容分發(fā)網(wǎng)絡(Content Distribution Network或Content Delivery Network，簡稱CDN)是一種基于現(xiàn)有網(wǎng)絡的重疊網(wǎng)絡系統(tǒng)，它包括若干個分布在網(wǎng)絡不同位置的緩存服務器，所有用戶從距離較近的服務器上獲取文件副本，而不是同時訪問同一臺服務器，從而避免了服務器的瓶頸問題，獲取最大的數(shù)據(jù)訪問帶寬。由于CDN可以有效地降低網(wǎng)絡流量、縮減響應時間、提高服務質(zhì)量，在網(wǎng)絡規(guī)模不斷擴大和寬帶需求日趨增加的今天，

2、CDN在緩解網(wǎng)絡擁塞方面得到了廣泛運用，特別在Web服務和流媒體應用領域。隨著應用的深入，一些與安全相關的問題也得到了重視。一種普遍觀點[12][29]認為CDN具有緩解分布式拒絕服務(Distributed Denial of Service，簡稱DDoS)攻擊的能力。然而，CDN對DDoS攻擊的緩解原理以及緩解程度，卻沒有得到理論證明和數(shù)據(jù)驗證。
　　本文以CDN防御DDoS攻擊能力作為研究對象，在認真研究了DDoS攻擊和CD

3、N的相關基礎知識后，通過多項實驗分析并總結(jié)了CDN在防御DDoS攻擊時的分流能力。
　　以下為本文做的主要工作。
　　(1)設計并實現(xiàn)了一個簡易的、通用的、開源的、基于智能DNS重定向的CDN。該系統(tǒng)可以根據(jù)用戶的地理位置將用戶請求轉(zhuǎn)發(fā)到距離用戶最近的邊緣服務器上。
　　(2)將網(wǎng)站開發(fā)和內(nèi)容發(fā)布分離，便于使用，使CDN能夠?qū)Ｗ⒂趦?nèi)容發(fā)布，而不必關心網(wǎng)站開發(fā)的具體細節(jié)。此外，系統(tǒng)添加了主動管理模塊，可以根據(jù)網(wǎng)絡流量和各

4、服務器的連接、負載狀況，以及到用戶的距離和響應時間等綜合信息做出相應變化，從而最大限度地提高數(shù)據(jù)訪問帶寬。
　　(3)根據(jù)CDN的原理及結(jié)構特點，分別設計傳輸層DDoS攻擊、應用層DDoS攻擊、針對DNS服務器的DDoS攻擊，以及針對默認服務器的DDoS攻擊。通過分析CDN的網(wǎng)絡性能，本文為CDN緩解DDoS攻擊提供了實驗驗證，并提出了基于CDN的DDoS攻擊檢測方法。
　　研究結(jié)果表明，基于DNS重定向的CDN能夠緩解應用