基于IXP2400的源端DDoS防御系統(tǒng).pdf

1、近年來，很多英特網(wǎng)服務(wù)器都遭到一種被稱為分布式拒絕服務(wù)（DDoS）的攻擊。這種攻擊的目的是阻止合法用戶訪問所需資源，比如互聯(lián)網(wǎng)的帶寬。以前的安全威脅能用一種嚴(yán)密的安全策略和積極的措施比如防火墻、入侵檢測(cè)系統(tǒng)（IDS）來應(yīng)對(duì)。但DDoS攻擊是一種新型的攻擊，以至于現(xiàn)在都還沒有非常有效的防護(hù)措施。因此，需要一種功能強(qiáng)大的檢測(cè)互聯(lián)網(wǎng)服務(wù)器安全漏洞攻擊的工具。DDoS向網(wǎng)絡(luò)安全提出了一個(gè)必須解決的問題，很多防御設(shè)備也面臨這個(gè)問題的挑戰(zhàn)。DDoS

2、防御系統(tǒng)對(duì)硬件的要求是運(yùn)行速度快，對(duì)軟件的要求是可擴(kuò)展性、攻擊檢測(cè)的高準(zhǔn)確性以及對(duì)新型攻擊的高適應(yīng)性。防御系統(tǒng)的部署越靠近攻擊源端就越能更早地檢測(cè)到攻擊，最大程度減少對(duì)被攻擊者和網(wǎng)絡(luò)資源的影響，因此源端是部署DDoS防御系統(tǒng)比較理想的地方。本文采取在IXP2400（Internet eXchange Point，互聯(lián)網(wǎng)交換中心）網(wǎng)絡(luò)處理器上增加3個(gè)軟件模塊的方法，設(shè)計(jì)并實(shí)現(xiàn)了部署在源端的 DDoS防御系統(tǒng)。該系統(tǒng)能有效檢測(cè)IP欺騙攻擊與

3、洪水攻擊，由于系統(tǒng)設(shè)計(jì)是基于英特爾IXA SDK4.1軟件構(gòu)架，因此具有可移植性，利于大規(guī)模部署、升級(jí)。
　　本研究主要內(nèi)容包括：⑴設(shè)計(jì)了一種基于IXP2400網(wǎng)絡(luò)處理器的源端DDoS防御系統(tǒng)。該系統(tǒng)部署在源端網(wǎng)絡(luò)的邊界，它能在源端子網(wǎng)檢測(cè)數(shù)據(jù)流并且在源端控制惡意數(shù)據(jù)流，使它不能影響到其他網(wǎng)絡(luò)，它包含了3個(gè)模塊：源端過濾器、DDoS分類器和DDoS限速器。⑵給出了源端過濾器、DDoS分類器和DDoS限速器的詳細(xì)設(shè)計(jì)。源端過濾是通過

4、檢查數(shù)據(jù)包報(bào)頭內(nèi)的源 IP地址字段的值是否是有效來實(shí)現(xiàn)的；DDoS分類器主要負(fù)責(zé)收集數(shù)據(jù)流和連接信息統(tǒng)計(jì)，并將它們與合法的數(shù)據(jù)流和連接模型進(jìn)行對(duì)比，通過建立在數(shù)據(jù)包發(fā)送和接受比例基礎(chǔ)上的無參數(shù) CUSUM算法來檢測(cè)是否為惡意數(shù)據(jù)；DDoS限速器主要通過三色標(biāo)記器來實(shí)現(xiàn)，三色標(biāo)記器使用DDoS分類器收集的統(tǒng)計(jì)數(shù)據(jù)來對(duì)疑似惡意數(shù)據(jù)進(jìn)行限制速率，同時(shí)DDoS限速器通過兩個(gè)令牌桶對(duì)已限速的數(shù)據(jù)進(jìn)行再次判斷，判定是否為惡意數(shù)據(jù)。⑶利用模擬DDoS