欢迎来到天天文库
浏览记录
ID:32139677
大小:3.87 MB
页数:44页
时间:2019-01-31
《dns服务器的ddos攻击的检测与防范分析》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、1绪论1.2研究意义目前,域名服务系统故障频出主要原因有:首先,分布式拒绝服务攻击技术(即DDoS攻击技术)的不断发展,从数据暴力泛滥攻击方式逐渐转变为更为精准的矢量攻击方式,防范起来更加困难;其次,我国很多省市在域名服务系统部署方面没有完善的机制和安全技术保障,而且由于技术人员能力不足,在部署过程中易出差错;最后,随着IPv6、DNSSEC等新兴网络技术的升级,域名服务的复杂性和风险系数也在不断提高。在上述原因中,DDoS攻击行为最猖獗,对域名服务系统造成的危害也最严重。近几年,针对域名服务系统的重大安全事件,罪魁祸首都是拒绝服务攻击,攻击者往往通过向域名服务器发
2、送海量的数据流,使服务器发生宕机甚至崩溃,无法为用户提供正常的域名解析服务,从而造成网络的大面积瘫痪。利用信息安全的木桶原理【4】,国内外大部分的授权域名服务器已经成为网络安全的木桶短板,容易遭受DDoS攻击,造成服务宕机,从而造成重大损失。而相对于DDoS攻击技术的迅速发展和攻击方式的多样化,针对域名服务系统的攻击检测和防御手段显的比较滞后。国内外已经陆续推出一些DDoS安全防护产品,如中新金盾,思科DDoS防火墙等等,但是它们对域名服务系统的DDoS攻击不能进行有效的检测和防御。绿盟科技在域名系统的防护方面走在了前列,2009年绿盟科技投资DNSpod,保护DN
3、S域名服务商;2010年8月,提供公网用户的DNS监测服务;2010年10月,绿盟科技又推出安全防护产品;但是其技术并未完全成熟,只对DNS查询拒绝服务攻击有一定的效果,对DNS反弹式攻击和放大攻击存在不足。由此可见,对域名服务系统的DDoS攻击的检测和防御工作进行研究,弥补现有防护系统的不足,并提出一个能够更有效、更全面的安全解决方案具有十分重要的理论和现实意义。1.3研究现状及分析DNS协议在最初的设计过程中就存在安全漏洞,而这些安全漏洞给DNS服务器和网络造成了巨大的威胁,很多网络攻击行为就是针对这些漏洞发起的。正因如此,安全扩展协议(DNSSEC)就应运而生
4、,它是由mTF域名系统安全工作组设计的,对原始的DNS协议进行兼容,并增加了公钥加密和完善的认证机31绪论制。但是它的具体部署和实施存在一定的问题,首先是缺乏实践指导,必要的专用设备产品尚未成熟:其次DNSSEC在运行过程中要消耗服务器大量的系统资源进行加解密和认证的计算,给DNS服务器正常运行造成的压力;最后DNS响应数据包也增大,超过传统的512字节,增大DDoS攻击的成功率,使得黑客更容易利用DNS系统形成放大攻击或反射攻击,给网络造成致命打击。DNSAnycast技术的引进【5】增大了服务器的处理能力,并且对DDoS攻击也起到了一定的防御作用。但是该方案的实
5、施需要整体部署且代价较高,目前主要应用在根域名服务器等Inertnet的核心基础设施上,并没有在一般的授权域名服务器上广泛应用。近几年对域名服务系统的DDoS攻击的检测和防御方法的研究,已经成为国内外的热点研究课题。2008年张小妹等人认为应该在源端对伪造源地址的DNS数据包进行过滤,从源头上阻止DDoS攻击。他们提出在边界路由的出口进行源路由检测【6】,从源端阻止攻击数据流,并在终端路由对超过1512字节的DNS应答包进行过滤。可以看到该方案需要对整个网络进行整体部署,在实际应用中难以实现,同时它对放大比例较小的攻击数据包束手无策。而且随着DDoS攻击技术的发展,
6、发起攻击的傀儡机可能来自很多不同的国家和地区,甚至跨域多个网络,不可能通过源端来检测来阻止攻击行为。与源端检测防御方法相比,基于终端的防御方案更受研究专家的青睐,也更适合实际的应用,它主要通过在需要保护的域名服务器端部署防御。2009年宗兆伟等人提出了利用统计分析和流量控制的方法【_7】来检测和防御域名服务器的DDoS攻击,它就是通过分析服务器终端的正常流量信息,并设定阈值来检测攻击行为。2010年T.Subbulakshmi等人提出了基于机器学习和支持向量机算法的检测技术【8】,把服务器收到的正常数据流和DDoS攻击流当成一个分类问题进行运算,利用机器学习和支持向
7、量机算法建立模型来进行判断,并对检测结果进行预警。2011年张毅等人提出了基于网络流量行为的DDoS检测技术【9】,它是通过在域名服务器端对用户发送和接收的流量信息进行周期性地检测,判断其是否满足TCP和UDP协议行为的时间同步性,来识别攻击者和正常用户。本文提出的也是基于域名服务器终端的检测和防御的方案。1.4论文的组织和安排41绪论1.4.1主要研究内容本文主要研究了域名服务系统的安全问题,特别是针对域名服务系统的DDoS攻击行为,通过分析其攻击的原理和现有检测和防御系统的不足,提出的在域名服务系统终端建立一个针对DNS的DDoS攻击的入侵检测系统。该系统是
此文档下载收益归作者所有