基于網(wǎng)絡(luò)處理器的DDoS防御技術(shù)研究與實(shí)現(xiàn).pdf

1、隨著Internet技術(shù)的發(fā)展與應(yīng)用，企業(yè)所面臨的網(wǎng)絡(luò)安全問(wèn)題越來(lái)越復(fù)雜，安全威脅形勢(shì)日益嚴(yán)峻，分布式拒絕服務(wù)(DDoS)攻擊由于攻擊簡(jiǎn)單、目前常見(jiàn)的攻擊工具較多、容易達(dá)到目的、難于防止和追查，成為常見(jiàn)的攻擊方式。傳統(tǒng)的DDoS攻擊防范手段已是捉襟見(jiàn)肘。具有網(wǎng)上交易業(yè)務(wù)或具有關(guān)鍵、絕密信息流通的企業(yè)及政府部門必須采取有效的安全機(jī)制和安全措施對(duì)服務(wù)網(wǎng)絡(luò)及其關(guān)鍵的服務(wù)器進(jìn)行保護(hù)，所以開(kāi)發(fā)先進(jìn)的防拒絕服務(wù)產(chǎn)品具有非常重要的意義。 本文

2、的工作主要包含以下內(nèi)容： (1)提出了通用、自學(xué)習(xí)和可擴(kuò)展的DDoS防御系統(tǒng)體系結(jié)構(gòu)，此基礎(chǔ)上研發(fā)防拒絕服務(wù)產(chǎn)品，該系統(tǒng)能對(duì)現(xiàn)在流行的拒絕服務(wù)攻擊進(jìn)行有效的檢測(cè)和響應(yīng)。DDoS防御系統(tǒng)是一個(gè)軟硬件一體的專用網(wǎng)絡(luò)安全設(shè)備，以透明的方式接入網(wǎng)絡(luò)，對(duì)流經(jīng)的DDoS攻擊流量進(jìn)行檢測(cè)和攔截。系統(tǒng)以高性能網(wǎng)絡(luò)處理器為硬件平臺(tái)，分為DDoS防御引擎、蜜罐子系統(tǒng)和監(jiān)控管理中心三部分。 (2)在CAVIUM公司的網(wǎng)絡(luò)處理器OcteonCN

3、3120上設(shè)計(jì)了DDoS防御引擎，充分利用網(wǎng)絡(luò)處理器CN3120雙核處理網(wǎng)絡(luò)數(shù)據(jù)包的高性能，通過(guò)對(duì)網(wǎng)絡(luò)流量進(jìn)行異常檢測(cè)和分析，通過(guò)防御模塊對(duì)攻擊流量進(jìn)行處理。其軟件主要包括六個(gè)檢測(cè)防御模塊：靜態(tài)特征防御，異常檢測(cè)，SYNFlood防御，白名單提取，攻擊目標(biāo)定位，流量控制。 (3)在DDoS防御引擎上設(shè)計(jì)和實(shí)現(xiàn)了通信模塊，靜態(tài)特征防御模塊和基于SYNCookie技術(shù)的SYNFlood攻擊防御模塊。通信模塊負(fù)責(zé)與監(jiān)控管理中心進(jìn)行通信

4、，接收監(jiān)控管理中心發(fā)送的初始化信息和控制信息，發(fā)送各個(gè)檢測(cè)防御模塊的統(tǒng)計(jì)信息；靜態(tài)特征防御模塊負(fù)責(zé)阻攔一些特征明顯且已知的DoS攻擊如Land，Smurf,PingOfDeath，Nuke攻擊；SYNFlood防御模塊主要是針對(duì)目前最常見(jiàn)的拒絕服務(wù)攻擊之一SYNFlood攻擊，DDoS防御引擎主要使用改進(jìn)的SYNCookie算法對(duì)這種拒絕服務(wù)攻擊進(jìn)行檢測(cè)和防御。該SYNCookie技術(shù)不同于傳統(tǒng)采用計(jì)算SYN和ACK字段差值并保存的方法