关于浅谈类论文范文文献 跟DDoS攻击防御技术和实现相关论文范文

本文是一篇关于浅谈论文范文,可作为相关选题参考,和写作参考文献。

DDoS攻击防御技术和实现

【摘 要】 分布式拒绝服务攻击技术是一种以攻击手法简单和攻击成效显著为特点的技术.攻击者所采用的IP 欺骗法和合法流量仿造法更是让计算机用户对这一攻击形式的防御难度有所增加.本文主要从DDoS 的相关原理入手,对相关防御技术的设计和应用问题进行了探究.

【关键词】 DDoS 攻击防御技术 防御体系 ISP 网路 可信度

前言:随着信息技术的不断发展,网络安全问题成为了事关计算机技术发展的一大关键问题.分布式拒绝服务攻击(DDoS 攻击)成为了现阶段互联网安全的主要威胁.用户主机、服务器、防火墙、路由器和DNS 服务器是DDoS 的主要攻击目标.从DDoS 防御技术的研究现状来看,学术界还没有构建一种公认的,行之有效的防御标准体系,因而,对DDoS 攻击技术的研究,对计算机病毒防御工作的开展有着重要的现实意义.

一、DDoS 的相关原理

1.1 DDoS 的原理和过程

DDoS 的攻击过程主要分为三个阶段,一是信息搜集阶段,二是傀儡主机的占领阶段,三是攻击的实施阶段[1].其中,信息搜集是对其所攻击目标的相关信息收集过程,这些信息主要包括以下内容,第一为被攻击目标的主机数目,第二是被攻击目标的地址因素,第三是目标主机的性能和目标的带宽等因素.对于DDoS 攻击者而言,在服务器负载均衡技术在大型服务器站点得到普及以后,上述信息成为了攻击过程中不可缺少的因素,傀儡主机的占领过程是在主机中植入相应傀儡程序的过程,在傀儡主机的占领过程中,攻击者会借助系统漏洞取得一定的控制权,然后向多台主控端傀儡机发送控制信息,最后在借助主控端控制代理端发送攻击指令的方式,发挥出拒绝服务的功能.

1.2 传统的DDoS 防御策略

DDoS 的攻击根源主要涉及到以下几个因素,网络服务的公开性、网络面向对象的不确定性、服务提供者的资源有限性和资源可耗尽性和互联网协议栈的自身缺陷.防范种类单一和防范效率低,是传统DDoS 防御策略在上述因素影响下所表现的主要特点.传统DDoS 防御方案主要边界过滤法、丢弃策略法、速率控制法和针对TCP 攻击的SYNCookie 和SYNCache 技术多种方案组成,其中,边界防御法并不能对以反射式DDoS 攻击为代表的正确源地址攻击进行过滤使用.随机丢弃和比例过滤是丢弃策略的主要内容,在flooding 拒绝服务攻击的防御过程中,这一技术虽然可以有效降低网络攻击所带来的影响,但是这一防御技术在实际应用过程中也会出现影响网络性能和丢弃正常数据包等问题.SYNCookie虽然可以对SYNFlood 进行有效防范,但是它也存在与现有TCP/IP 不相容的问题.

二、DDoS 防御体系的设计

2.1 DDoS 防御体系的设计

以源端、中间网络和受害者端为核心的分布式防御体系的构建,是应对DDoS 攻击的有效措施[2].在尽量靠近源端的攻击位置对攻击流进行过滤的基础上,为合法数据流的通行提供保障,是这一体系的主要应用目标, 防御节点是DDoS检测防御的基本单位,防御的健壮性与部署成本之间的矛盾、统一通信格式和价目协议的应用和合法流与攻击流的有效区分,是防御体系设计中需要解决的问题.在节点的部署过程中,便捷路由器、易受到DDoS 攻击的子网网关和中间网络的核心路由器中期都需要部署防御节点.攻击监测、数据报道匹配和攻击包的过滤是防御节点的独立功能的体现.下图所示的内容就是DDoS 防御体系结构

从图中所示的内容来看,拓扑逻辑库也可以被看作是管理节点的一个重要内容.它是对管理域网络的网络拓扑结构进行存储的重要工具,在防御系统的实际应用过程中,这一数据库还需要对已经注册的节点信息进行有效存储.为了保障网络拓扑数据的有效性,网络拓扑图的更新,也是不可缺少的一项重要内容.

2.2 DDOS 防御体系的技术分析

从防御体系结构图中的内容来看,在将防御节点部署在各个路由器以后,监测机制的应用,可以让系统在受到攻击以后启动响应机制[3].攻击包与合法包的区分和规则的匹配、更新是响应机制的主要组成部分,源IP 地址是攻击流分析过程中不可缺少的因素,目的IP 地址是对攻击流进行确定的重要工具.在这一技术的应用过程中,防御节点更新数据库中的数据包匹配规则的更新也是不容忽视的问题.本地回溯是将攻击树的回溯过程放在本地执行的一种处理机制.它是在执行完毕以后告知相应节点进行相应操作的一种处理机制,这一机制的应用,可以让DDoS 防御工作的防御效率得到有效提升.在DDoS 攻击发生以后,受害段经常会出现严重的网络拥塞.本地回溯机制的运用,可以在绕开受害端的网络瓶颈的基础上,对攻击流进行有效过滤,这就可以让DDoS 攻击距离攻击树较远的区域得到控制.基于分布式的DDoS 防御体系以自治系统AS 为单位.如果DDoS 攻击发生在防御系统所在的AS 网络的内部,在防御节点部署较为全面的情况下,DDoS 攻击包在到达网络中的第一个转发路由器以后就会被防御节点所过滤,本地回溯机制的应用,也可以回溯到攻击源头之中,如果DDoS 攻击发生在AS 网络的外部,防御节点可以在AS 网络的入口路由器中对攻击包进行过滤处理.这就可以对DDoS 攻击给AS 网络内部造成的损害进行有效规避.

三、DDoS 攻击防御技术的应用

3.1 基于ISP 网路的DDoS 攻击防御方法

与ISP 网络有关的DDoS 攻击防御方法建立在以下三种因素的基础之上,一是防御方案的可行性;二是DDoS 攻击的反应速度,第三是正常的报文存活率[4].对正常的报文存活率的保障,是这一防御方法的一大核心目标.根据数据包的目的地址的不同性,这一防御模型会将数据划分到不同的数据流之中,并在数据流基础上对数据进行监控.路由器、CAT 服务器和策略服务器是这一防御系统架构中的主要内容.其中,路由器发挥的是对经由本路由器信息的收集功能,在发现异常数据流以后,系统会对数据进行进一步的检查.在将数据流确定为攻击数据流以后,路由器会在第一时间将警报数据包发送到CAT 服务器中,边界路由器业绩会对攻击流进行限流处理.在接收到来自路由器的警报数据包以后,CAT 系统会在第一时间生成CAT 树,并将CAT 树的叶节点和根节点信息提交至策略服务器,策略服务器在对CAT 服务器提交的路由器节点信息进行分析以后,会借助限流算法,对攻击流进行限流处理.攻击检测率高、部署难度低和便于管理的特点,是这一模式的主要优点

3.2 基于可信度的应用层DDoS 攻击防御方法

基于可信度的应用层DDoS 攻击防御方法是在DDoS 攻击向高层发展趋势的影响下,而研究出来的一种防御技术.在实际应用过程中,这一方法可以从服务请求速率和负载问题等方面入手,对正常用户的数据分布规律进行统计分析,进而在对会话可信度进行确定的基础上,利用调度策略对DDoS 攻击进行防御.一般而言,服务器正常服务功能的影响因素主要包含以下两个方面,一是服务的请求速率,二是重负载服务请求.应用层DDoS 攻击也是以上述内容为切入点,对服务器系统进行攻击.可信度计算模块和基于可信度调度模块是这一防御体系中的两大重要组成部分.下图所示的内容是基于可信度的DDoS 防御方法模型图.

对服务器的资源进行消耗,是应用层DDoS 攻击的一大目标,利用含有高比例重载服务请求的会话对服务器进行攻击,也是一种消耗服务资源的措施.利用调度侧略对恶意会话的访问速率的控制,是对DDoS 攻击进行控制的有效措施.可信度调度模块对会话速率的分配过程是一种动态过程,恶意会话的请求速率和负载度并不符合正常用户的分布规律[5].因而,在恶意会话的不合理性显现以后,可信度的降低会让其所获得的访问速率有所下降,这就对一些攻击信息进行了有效控制.

结论:DDoS 攻击是建立在传统的拒绝服务攻击基础上的攻击方式.在网络应用程序不断发展下,计算机应用层已经成为DDoS 的主要攻击目标.攻击检测率高、部署难度低和便于管理的特点,是基于ISP 的DDoS 攻击防御技术的主要优点.基于可信度的应用层DDoS 功能及防护方法可以在服务请求的速率和负载两方面入手,对攻击行为进行控制.

浅谈论文范文结:

关于本文可作为相关专业浅谈论文写作研究的大学硕士与本科毕业论文浅谈论文开题报告范文和职称论文参考文献资料。

相关浅谈毕业论文范文

相关参考论文写作资料

热门浅谈论文题目