基于路由器BGP協(xié)議的低速率攻擊與防御.pdf

1、低速率拒絕服務(wù)攻擊(Low-rate Denial-Of-Service，LDoS)是一種分布式服務(wù)攻擊的變種，它無需維持高速的攻擊流，只針對TCP協(xié)議超時(shí)重傳機(jī)制，發(fā)送周期性的脈沖數(shù)據(jù)流量，使得被攻擊系統(tǒng)長時(shí)間處于超時(shí)等待狀態(tài)，從而引發(fā)系統(tǒng)服務(wù)性能下降，造成網(wǎng)絡(luò)鏈路擁塞。與傳統(tǒng)的分布式拒絕服務(wù)攻擊相比，LDoS攻擊加隱蔽，危害更大。本文基于路由器邊界網(wǎng)關(guān)(Border Gateway Protocol，BGP)協(xié)議進(jìn)行LDoS攻擊實(shí)驗(yàn)

2、，主要工作如下:
　　1.利用真實(shí)設(shè)備搭建實(shí)驗(yàn)平臺。以往研究人員對于LDoS的研究都是基于軟件上的模擬，本文在真實(shí)的實(shí)驗(yàn)環(huán)境中進(jìn)行試驗(yàn)，突破了軟件仿真的局限性，效果更加真實(shí)。
　　2.提出了BGP路由懲罰機(jī)制抑制路由震蕩現(xiàn)象。實(shí)驗(yàn)中針對路由器BGP協(xié)議的LDoS攻擊，產(chǎn)生路由震蕩現(xiàn)象(route flapping,指路由器處于正常狀態(tài)和非正常狀態(tài)之間來回的變化)，產(chǎn)生大量的Update更新報(bào)文，長時(shí)間積壓在網(wǎng)絡(luò)中，會造成網(wǎng)絡(luò)

3、的癱瘓。BGP路由懲罰機(jī)制可以抑制震蕩的路由產(chǎn)生Update報(bào)文，使網(wǎng)絡(luò)環(huán)境更加穩(wěn)定。
　　3.提出隨機(jī)化處理TCP協(xié)議的超時(shí)重傳時(shí)間防御LDoS攻擊。LDoS攻擊主要在于脈沖攻擊流量與TCP協(xié)議的超時(shí)重傳時(shí)間同步，每次精確在TCP協(xié)議超時(shí)重傳的時(shí)刻進(jìn)行攻擊。隨機(jī)化處理超時(shí)重傳時(shí)間可以使得被攻擊系統(tǒng)有效的避開LDoS攻擊的脈沖流量，達(dá)到防御的目的。對非開源的思科路由器系統(tǒng)代碼修改起來難度很大，但思科路由器系統(tǒng)代碼是基于linux開