IPv6環(huán)境下基于自治系統(tǒng)的DDoS防御方法研究.pdf

1、DDoS攻擊已經(jīng)成為目前Internet所面臨的最嚴(yán)重的安全威脅之_。它通過(guò)利用大量受控制的主機(jī)向受害主機(jī)發(fā)送大量攻擊包，從而導(dǎo)致其資源(比如網(wǎng)絡(luò)帶寬，內(nèi)存和CPU資源等)耗盡，實(shí)現(xiàn)拒絕服務(wù)。隨著Internet的迅猛發(fā)展，它的危害性也越來(lái)越大。 作為兩種典型的AS(Autonomous Systems，自治系統(tǒng))追蹤技術(shù)，AS二步算法和基于代理的追蹤技術(shù)都需要重構(gòu)攻擊路徑，然而攻擊路徑的重構(gòu)要耗費(fèi)一定的時(shí)間；而且它們本身都無(wú)法

2、阻止DDoS攻擊。針對(duì)這些問(wèn)題，本文提出了一種IPv6環(huán)境下實(shí)時(shí)防御DDoS的新方法——AS實(shí)時(shí)防御方法，主要內(nèi)容如下： 1.首先透徹地研究了IPv6協(xié)議的相關(guān)內(nèi)容，包括IPv6的優(yōu)勢(shì)、IPv6的報(bào)頭和地址方案；另外，還詳細(xì)地分析了DDoS攻擊的原理、分類和典型攻擊工具，并且討論了這種攻擊的發(fā)展趨勢(shì)。 2.深入地剖析了AS二步算法和基于代理的追蹤技術(shù)。這兩種追蹤技術(shù)都能夠在IPv4環(huán)境下追蹤攻擊源。但是，因?yàn)镮Pv6協(xié)議

3、對(duì)報(bào)頭進(jìn)行了很大改動(dòng)，所以它們不能直接應(yīng)用于IPv6環(huán)境。針對(duì)這種情況，本文對(duì)這兩種追蹤技術(shù)進(jìn)行了改進(jìn)。具體地說(shuō)，在AS二步算法中，通過(guò)使用一個(gè)自定義的擴(kuò)展報(bào)頭——AS二步算法報(bào)頭存放該算法的36比特標(biāo)記信息；在基于代理的追蹤技術(shù)中，在計(jì)算數(shù)據(jù)包摘要信息時(shí)MD5算法的輸入包括以下四部分：基本報(bào)頭中除去業(yè)務(wù)流類別字段和跳極限字段之后剩余的字段、路由報(bào)頭所包含的節(jié)點(diǎn)地址列表中的最后一個(gè)地址(當(dāng)數(shù)據(jù)包包括路由報(bào)頭時(shí)要用節(jié)點(diǎn)地址列表中的最后一個(gè)

4、地址代替基本報(bào)頭中的目的地址成為MD5算法的輸入)、分片報(bào)頭和數(shù)據(jù)部分的前160位。 3.提出了AS實(shí)時(shí)防御方法，其核心思想是首先在受害者自治系統(tǒng)內(nèi)建立決策判據(jù)樹，然后依據(jù)決策判據(jù)1和2對(duì)該樹進(jìn)行實(shí)時(shí)監(jiān)控，如果發(fā)現(xiàn)攻擊，就發(fā)送過(guò)濾消息通知有關(guān)實(shí)體在受害端和源端一起對(duì)攻擊包進(jìn)行過(guò)濾，從而保護(hù)受害者。實(shí)驗(yàn)證明，該方法能在秒鐘數(shù)量級(jí)檢測(cè)到攻擊并且對(duì)攻擊包進(jìn)行過(guò)濾，能有效地防范多個(gè)DDoS攻擊源。另外，該方法還能準(zhǔn)確區(qū)分攻擊流和高業(yè)務(wù)流