基于邊界網(wǎng)關(guān)的分布式拒絕服務(wù)攻擊防御技術(shù).pdf

1、分布式拒絕服務(wù)(Distributed Deny of Service, DDoS)攻擊是目前威脅最大危害最嚴(yán)重的Internet主要攻擊手段之一。DDoS攻擊是基于TCP/IP協(xié)議當(dāng)初在設(shè)計上的缺陷和Internet的開放性而產(chǎn)生的?，F(xiàn)如今研究 DDoS攻擊防御具有非常重要的作用和意義，一直以來它都是網(wǎng)絡(luò)安全領(lǐng)域的重要研究課題。近年來雖然很多研究者提出了一些防御 DDoS攻擊的新技術(shù)技術(shù)新方法，這些方法雖然可以解決一些問題，但也具有一

2、些不可避免的局限性。
　　本文首先介紹了 DDoS攻擊原理，根據(jù) TCP/IP協(xié)議和網(wǎng)絡(luò)流量特征對DDoS攻擊進(jìn)行簡單分析和分類，并介紹了當(dāng)前國內(nèi)外 DDoS攻擊防御方法的成果和現(xiàn)狀。經(jīng)過比較和分析發(fā)現(xiàn)：目前的大部分防御方案普遍存在精確度低、漏報率高、計算復(fù)雜度高、資源消耗大、響應(yīng)延遲大、防御范圍小等缺點。由此提出一種基于自治域邊界網(wǎng)關(guān)的DDoS攻擊防御方案和概念。
　　其次，在詳細(xì)分析了路由牽引技術(shù)、源 IP地址追蹤技術(shù)、

3、遠(yuǎn)程觸發(fā)黑洞路由技術(shù)和源地址單播路徑反向驗證技術(shù)的基礎(chǔ)上，針對其 DDoS攻擊防御缺乏實時性和計算復(fù)雜性，分別提出了改進(jìn)的實時雙層過濾凈化網(wǎng)絡(luò)、基于AS的自適應(yīng)概率包標(biāo)記、基于源和地址的路徑驗證方法，彌補(bǔ)了傳統(tǒng)方案的一些不足，以較小的計算復(fù)雜度和較小的資源消耗過濾數(shù)據(jù)包，并快捷迅速地追蹤到攻擊源。
　　然后，基于改進(jìn)的技術(shù)方案的組合提出基于邊界路由器的DDoS攻擊防御方案，并實現(xiàn)其模型，在NS2上對該模型進(jìn)行仿真測試。針對各個模塊