返回
包过滤地ddos防御系统

包过滤地ddos防御系统

ID:27976393

大小:25.25 KB

页数:5页

时间:2018-12-07

包过滤地ddos防御系统_第1页
包过滤地ddos防御系统_第2页
包过滤地ddos防御系统_第3页
包过滤地ddos防御系统_第4页
包过滤地ddos防御系统_第5页
资源描述:

《包过滤地ddos防御系统》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、实用标准文案包过滤的DDoS防御系统安德智(甘肃政法学院计算机科学学院,甘肃兰州730070)摘 要:简要描述了分布式拒绝服务的原理和体系结构,分析了基于IP标记技术的智能包过滤方案的优点和不足,并在此基础上提出一种改进的多边包过滤方案.关键词:分布式拒绝服务;IP追踪;IP标记;包过滤中图分类号:TP309文献标识码:ADDoSdefencesystembasedonpacketfilteringANDe2zhi(SchoolofComputerScience,GansuPoliticalScienceandLawInstitute,L

2、anzhou730070,China)Abstract:ThearticlebrieflydescribestheprincipleandthesystematicstructureofDDoS.Thenitintro2ducestheintelligentpacketfilteringanditsstrengthandweakness,andputsforwardanimprovedmulti2edgefilteringmoduleplan.Keywords:DDoS;IPtracing;IPmarking;packetfilterin

3、g随着基于Web的应用迅速普及,许多关键服务都通过网络来提供,保证网络的安全和可用性因此成为必需的要求.分布式拒绝服务攻击,其以耗尽网络资源从而使服务不可用为目的,一直是网络中最难解决的安全问题之一.在DDoS攻击研究的初期,针对DDoS攻击的过滤方案一般是针对源地址或者具有某些特性的包进行的,而DDoS攻击中源地址通常是伪造的,且攻击方式多种多样,这些都严重制约了这些过滤方案的适用性,并且在过滤攻击包的同时也将众多的合理服务请求屏蔽在外.直到提出了一种基于IP标记技术的智能包过滤方案[1](下称单边过滤方案),这种情况才得以改变.单边过

4、滤方案可以根据标记信息判断出数据包来自合法数据源还是攻击源的概率更大,并进行相应的过滤.但是单边过滤方案仍然存在着众多缺陷,最主要的是判断的错误率较高.本文提出的多边过滤方案则很好地改善了其缺点.1 分布式拒绝服务攻击的体系结构分布式拒绝服务攻击基于C/S模型.如图1所示,攻击者在客户端操纵攻击过程.每个主控端是一台已经被入侵并运行了特定程序的系统主机;每个主控端主机能够控制多个代理端;每个代理端也是一台已经被入侵并正在运行着特定程序的系统主机;每个响应攻击命令的代理端会向被攻击目标主机发送拒绝服务攻击数据包.为了提高分布式拒绝服务攻击的

5、成功率,攻击者需要控制成百上千台机器.通常都是通过以下的步骤:先探测扫描大量主机以寻找可入侵的目标;入侵有安全漏洞的主机并获得控制权;在每台入侵主机中安装攻击程序;利用入侵的主机继续进行扫描和入侵.整个过程是自动化的,攻击者能够在几秒中内入侵一台主机,第26卷第3期2007年6月南昌工程学院学报JournalofNanchangInstituteofTechnologyVol.26No.3Jun.2007可以在短短几个小时中入侵上千台主机.目前为止,攻击者最常使用的攻击程序有Trinoo、TFN、TFN2K和精彩文档实用标准文案Stach

6、eldraht4种[2].图1 DDos的攻击体系2 基于标记信息过滤的现实可行性基于标记信息进行过滤的基本思想是:以已经获得的攻击图为基础,将数据包中携带的某部分路径信息与之进行比较,根据二者的重合情况确定数据包的来源.这其实要求攻击源和普通数据源在网络分布中重合较少.因为如果合法数据源和攻击源在网络中的位置十分接近,那么在过滤攻击数据的同时也会将绝大多数的合法数据滤除.实际上,尽管分布式攻击的攻击源非常分散,但是合法数据源的分布一般与之并无众多共同之处.如果把整个互联网拓扑视为图G,由攻击者、victim、攻击者和victim间的路由

7、器以及相应的边组成的攻击图GA,则是整个互联网G的一棵树或者一个子图.而由普通的数据源、victim、数据源到victim间的路由器以及响应的边则构成另外一个子图GN.尽管DDoS攻击中攻击者数目众多,GA较大,但是相对于G来说,仍然只是G很小的一个部分.另外一方面,由于普通数据源广泛的分布在整个互联网上,因此GA和GN的差别是非常明显的,即使它们有少许的相同边.正是由于GA和GN间的差别使得区分普通包和攻击包成为可能,而两者之间的共同处则是造成误过滤的根本.3 基于单边标记的过滤方案单边过滤方案通过“智能过滤”起作用:以高可信度过滤攻击

8、数据,而允许大部分的合法数据通过.这要求过滤路由器能够区分出攻击数据和正常数据.单边过滤方案利用并扩展了IP追踪技术来收集情报———某条网络边是否属于攻击路径的信息.IP追踪方案能够推断出来自

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。