基于網(wǎng)絡(luò)接受標記的Internet終端通信.pdf

1、Intemet的開放性使其得到了廣泛的應(yīng)用，但同時也帶來了很多問題，每一個終端都有可能成為被攻擊者，由此引起的DDOS攻擊廣泛的存在于Intemet中，其本質(zhì)是向受害主機發(fā)送大量的數(shù)據(jù)包，導(dǎo)致中間網(wǎng)絡(luò)發(fā)生擁塞，造成數(shù)據(jù)包的大量丟失，或者消耗受害主機的有限資源而使其無法向合法用戶提供服務(wù)。而對于DDOS攻擊的防御，則在網(wǎng)絡(luò)安全中一直倍受關(guān)注。本文通過對目前：DDOS攻擊主要防御方法的分析與研究，選擇了基于網(wǎng)絡(luò)接受標記的防御方法為研究內(nèi)容，

2、其主要思想為：受害主機可以通過中間網(wǎng)絡(luò)來決定是否接受數(shù)據(jù)包，而這正是從本質(zhì)上面緩解了D D O S攻擊的威脅。而在這類研究方法當(dāng)中，網(wǎng)絡(luò)接受標記的分配機制至關(guān)重要，論文正是從接受標記的分配機制出發(fā)，主要做了如下兩方面的工作。 1．對于私有服務(wù)器來講，很容易區(qū)分其合法用戶與攻擊者。論文提出了通過out-of-band方法獲得接受標記的ObD(Off by Default)防御機制。用戶可以向服務(wù)器信任的第三方發(fā)送請求包，第三方通過

3、身份認證來決定是否發(fā)放接受標記，用戶再將接受標記加入到數(shù)據(jù)包中與服務(wù)器進行通信，而網(wǎng)絡(luò)中間路由器則通過驗證這些標記的有效性，來傳送數(shù)據(jù)包。通過網(wǎng)絡(luò)實驗可以得出，該方法在抵御D D O s攻擊時起到了很好的效果。 2．對于公共服務(wù)器來講，很難區(qū)分合法用戶與攻擊者。而針對拒絕接受標記服務(wù)(denial-of-capabilities)的攻擊則會很大程度上影響接受標記的分配。本文通過對數(shù)據(jù)流的劃分，即：根據(jù)IP地址將數(shù)據(jù)流劃分為幾個地