基于包標記技術(shù)DDoS防御機制研究.pdf

1、分布式拒絕服務(wù)攻擊是網(wǎng)絡(luò)中潛在的威脅和破壞性最大的一種黑客攻擊方式。近幾年來，分布式拒絕服務(wù)攻擊防御技術(shù)研究成為了網(wǎng)絡(luò)安全領(lǐng)域的熱點問題。在當前條件下，如何保障關(guān)鍵應(yīng)用技術(shù)的不間斷服務(wù)，尤其是如何抵御分布式拒絕服務(wù)攻擊，具有相當重要的意義。 在分布式拒絕服務(wù)攻擊中，攻擊者通常采用IP欺騙技術(shù)來隱藏其身份，針對這種類型的攻擊，本文提出了一種新的包標記計劃來保護TCP服務(wù)。每個到達邊界路由器的數(shù)據(jù)包都攜帶一個標記，標記由兩部分組成：

2、源IP地址和由中間路由器填寫在IP首部的16比特標識域的路徑標識符。在客戶完成TCP三次握手之后，邊界路由器動態(tài)地將路徑標識符和客戶對應(yīng)的IP地址添加到數(shù)據(jù)庫。攜帶有效標記的數(shù)據(jù)包可以獲得準許到達目的地。標記證明了該數(shù)據(jù)包是一個已存在的TCP連接的一部分。更重要的是，一個有效的標記證明了數(shù)據(jù)包首部的信息是正確的。這就使過濾設(shè)備能以更高程度的確定性識別流量。實驗證明這種新的包標記計劃能有效地防御IP欺騙分布式拒絕服務(wù)攻擊，并且可以防御反射

3、式分布式拒絕服務(wù)攻擊。 圍繞基于路徑標識的攻擊包區(qū)分和過濾技術(shù)，本文提出了改進路徑標識方案。參與標記的路由器不是像已有的路徑標識方案中那樣靜態(tài)地插入1或2位的本地標識，而是先根據(jù)待轉(zhuǎn)發(fā)數(shù)據(jù)包中的TTL值推算其已經(jīng)過的跳數(shù)，相應(yīng)地生成不同長度的本地節(jié)點標記，然后插入到數(shù)據(jù)包中。從而最大程度上實現(xiàn)了對標記域空間的有效利用，而且路徑標識的區(qū)分程度更高。基于真實因特網(wǎng)的大規(guī)模拓撲數(shù)據(jù)的仿真實驗表明，本方案可以有效地區(qū)分和過濾攻擊包，當攻