基于IPv6的DDoS防御研究.pdf

1、分布式拒絕服務(wù)(DDoS)攻擊是近年來(lái)常見的一種規(guī)模大，破壞性強(qiáng)，防御困難的攻擊手段。傳統(tǒng)的DDoS主要利用了TCP/IP協(xié)議自身的漏洞進(jìn)行攻擊?，F(xiàn)今，IPv6代替IPv4成為新一代的網(wǎng)絡(luò)層協(xié)議是必然的趨勢(shì)。IPv6在地址空間、尋址方式、QoS以及可擴(kuò)展性等方面較IPv4都有明顯的優(yōu)勢(shì)，特別是將IPSec作為必備協(xié)議從而大大提高了IPv6自身的安全性。IPv6的這些改進(jìn)使得許多利用IP協(xié)議漏洞進(jìn)行攻擊的DDoS失去作用。 但是，

2、攻擊者的攻擊手段層出不窮，脈沖調(diào)制拒絕服務(wù)攻擊(也稱ShrewDDoS攻擊)就是一種在IPv6下傳統(tǒng)防御策略無(wú)法防范的低頻DDoS攻擊。本文在研究了傳統(tǒng)DDoS防御方法和ShrewDDoS攻擊特征的基礎(chǔ)上，利用協(xié)同異常檢測(cè)方法來(lái)檢測(cè)合法流中是否包含Shrew攻擊流，并提出了Shrew過(guò)濾算法對(duì)檢測(cè)到的Shrew攻擊流進(jìn)行過(guò)濾以達(dá)到防御ShrewDDoS的目的，最后在NS-2仿真器中對(duì)檢測(cè)及過(guò)濾方法進(jìn)行了仿真實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果表明本文提出的基