基于網(wǎng)絡(luò)接受標(biāo)記的Internet終端通信.pdf

1、Intemet的開(kāi)放性使其得到了廣泛的應(yīng)用，但同時(shí)也帶來(lái)了很多問(wèn)題，每一個(gè)終端都有可能成為被攻擊者，由此引起的DDOS攻擊廣泛的存在于Intemet中，其本質(zhì)是向受害主機(jī)發(fā)送大量的數(shù)據(jù)包，導(dǎo)致中間網(wǎng)絡(luò)發(fā)生擁塞，造成數(shù)據(jù)包的大量丟失，或者消耗受害主機(jī)的有限資源而使其無(wú)法向合法用戶(hù)提供服務(wù)。而對(duì)于DDOS攻擊的防御，則在網(wǎng)絡(luò)安全中一直倍受關(guān)注。本文通過(guò)對(duì)目前：DDOS攻擊主要防御方法的分析與研究，選擇了基于網(wǎng)絡(luò)接受標(biāo)記的防御方法為研究?jī)?nèi)容，

2、其主要思想為：受害主機(jī)可以通過(guò)中間網(wǎng)絡(luò)來(lái)決定是否接受數(shù)據(jù)包，而這正是從本質(zhì)上面緩解了D D O S攻擊的威脅。而在這類(lèi)研究方法當(dāng)中，網(wǎng)絡(luò)接受標(biāo)記的分配機(jī)制至關(guān)重要，論文正是從接受標(biāo)記的分配機(jī)制出發(fā)，主要做了如下兩方面的工作。 1．對(duì)于私有服務(wù)器來(lái)講，很容易區(qū)分其合法用戶(hù)與攻擊者。論文提出了通過(guò)out-of-band方法獲得接受標(biāo)記的ObD(Off by Default)防御機(jī)制。用戶(hù)可以向服務(wù)器信任的第三方發(fā)送請(qǐng)求包，第三方通過(guò)

3、身份認(rèn)證來(lái)決定是否發(fā)放接受標(biāo)記，用戶(hù)再將接受標(biāo)記加入到數(shù)據(jù)包中與服務(wù)器進(jìn)行通信，而網(wǎng)絡(luò)中間路由器則通過(guò)驗(yàn)證這些標(biāo)記的有效性，來(lái)傳送數(shù)據(jù)包。通過(guò)網(wǎng)絡(luò)實(shí)驗(yàn)可以得出，該方法在抵御D D O s攻擊時(shí)起到了很好的效果。 2．對(duì)于公共服務(wù)器來(lái)講，很難區(qū)分合法用戶(hù)與攻擊者。而針對(duì)拒絕接受標(biāo)記服務(wù)(denial-of-capabilities)的攻擊則會(huì)很大程度上影響接受標(biāo)記的分配。本文通過(guò)對(duì)數(shù)據(jù)流的劃分，即：根據(jù)IP地址將數(shù)據(jù)流劃分為幾個(gè)地