基于網(wǎng)絡(luò)處理器的DDoS防御技術(shù)研究與實現(xiàn).pdf

1、隨著Internet技術(shù)的發(fā)展與應(yīng)用，企業(yè)所面臨的網(wǎng)絡(luò)安全問題越來越復(fù)雜，安全威脅形勢日益嚴(yán)峻，分布式拒絕服務(wù)(DDoS)攻擊由于攻擊簡單、目前常見的攻擊工具較多、容易達(dá)到目的、難于防止和追查，成為常見的攻擊方式。傳統(tǒng)的DDoS攻擊防范手段已是捉襟見肘。具有網(wǎng)上交易業(yè)務(wù)或具有關(guān)鍵、絕密信息流通的企業(yè)及政府部門必須采取有效的安全機制和安全措施對服務(wù)網(wǎng)絡(luò)及其關(guān)鍵的服務(wù)器進(jìn)行保護(hù)，所以開發(fā)先進(jìn)的防拒絕服務(wù)產(chǎn)品具有非常重要的意義。 本文

2、的工作主要包含以下內(nèi)容： (1)提出了通用、自學(xué)習(xí)和可擴展的DDoS防御系統(tǒng)體系結(jié)構(gòu)，此基礎(chǔ)上研發(fā)防拒絕服務(wù)產(chǎn)品，該系統(tǒng)能對現(xiàn)在流行的拒絕服務(wù)攻擊進(jìn)行有效的檢測和響應(yīng)。DDoS防御系統(tǒng)是一個軟硬件一體的專用網(wǎng)絡(luò)安全設(shè)備，以透明的方式接入網(wǎng)絡(luò)，對流經(jīng)的DDoS攻擊流量進(jìn)行檢測和攔截。系統(tǒng)以高性能網(wǎng)絡(luò)處理器為硬件平臺，分為DDoS防御引擎、蜜罐子系統(tǒng)和監(jiān)控管理中心三部分。 (2)在CAVIUM公司的網(wǎng)絡(luò)處理器OcteonCN

3、3120上設(shè)計了DDoS防御引擎，充分利用網(wǎng)絡(luò)處理器CN3120雙核處理網(wǎng)絡(luò)數(shù)據(jù)包的高性能，通過對網(wǎng)絡(luò)流量進(jìn)行異常檢測和分析，通過防御模塊對攻擊流量進(jìn)行處理。其軟件主要包括六個檢測防御模塊：靜態(tài)特征防御，異常檢測，SYNFlood防御，白名單提取，攻擊目標(biāo)定位，流量控制。 (3)在DDoS防御引擎上設(shè)計和實現(xiàn)了通信模塊，靜態(tài)特征防御模塊和基于SYNCookie技術(shù)的SYNFlood攻擊防御模塊。通信模塊負(fù)責(zé)與監(jiān)控管理中心進(jìn)行通信

4、，接收監(jiān)控管理中心發(fā)送的初始化信息和控制信息，發(fā)送各個檢測防御模塊的統(tǒng)計信息；靜態(tài)特征防御模塊負(fù)責(zé)阻攔一些特征明顯且已知的DoS攻擊如Land，Smurf,PingOfDeath，Nuke攻擊；SYNFlood防御模塊主要是針對目前最常見的拒絕服務(wù)攻擊之一SYNFlood攻擊，DDoS防御引擎主要使用改進(jìn)的SYNCookie算法對這種拒絕服務(wù)攻擊進(jìn)行檢測和防御。該SYNCookie技術(shù)不同于傳統(tǒng)采用計算SYN和ACK字段差值并保存的方法