基于路由器BGP協(xié)議的低速率攻擊與防御.pdf

1、低速率拒絕服務攻擊(Low-rate Denial-Of-Service，LDoS)是一種分布式服務攻擊的變種，它無需維持高速的攻擊流，只針對TCP協(xié)議超時重傳機制，發(fā)送周期性的脈沖數(shù)據(jù)流量，使得被攻擊系統(tǒng)長時間處于超時等待狀態(tài)，從而引發(fā)系統(tǒng)服務性能下降，造成網(wǎng)絡鏈路擁塞。與傳統(tǒng)的分布式拒絕服務攻擊相比，LDoS攻擊加隱蔽，危害更大。本文基于路由器邊界網(wǎng)關(guān)(Border Gateway Protocol，BGP)協(xié)議進行LDoS攻擊實驗

2、，主要工作如下:
　　1.利用真實設備搭建實驗平臺。以往研究人員對于LDoS的研究都是基于軟件上的模擬，本文在真實的實驗環(huán)境中進行試驗，突破了軟件仿真的局限性，效果更加真實。
　　2.提出了BGP路由懲罰機制抑制路由震蕩現(xiàn)象。實驗中針對路由器BGP協(xié)議的LDoS攻擊，產(chǎn)生路由震蕩現(xiàn)象(route flapping,指路由器處于正常狀態(tài)和非正常狀態(tài)之間來回的變化)，產(chǎn)生大量的Update更新報文，長時間積壓在網(wǎng)絡中，會造成網(wǎng)絡

3、的癱瘓。BGP路由懲罰機制可以抑制震蕩的路由產(chǎn)生Update報文，使網(wǎng)絡環(huán)境更加穩(wěn)定。
　　3.提出隨機化處理TCP協(xié)議的超時重傳時間防御LDoS攻擊。LDoS攻擊主要在于脈沖攻擊流量與TCP協(xié)議的超時重傳時間同步，每次精確在TCP協(xié)議超時重傳的時刻進行攻擊。隨機化處理超時重傳時間可以使得被攻擊系統(tǒng)有效的避開LDoS攻擊的脈沖流量，達到防御的目的。對非開源的思科路由器系統(tǒng)代碼修改起來難度很大，但思科路由器系統(tǒng)代碼是基于linux開