返回
基于包标记技术ddos防御机制研究

基于包标记技术ddos防御机制研究

ID:34032384

大小:2.80 MB

页数:67页

时间:2019-03-03

基于包标记技术ddos防御机制研究_第1页
基于包标记技术ddos防御机制研究_第2页
基于包标记技术ddos防御机制研究_第3页
基于包标记技术ddos防御机制研究_第4页
基于包标记技术ddos防御机制研究_第5页
资源描述:

《基于包标记技术ddos防御机制研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、哈尔滨理工大学硕士学位论文基于包标记技术DDoS防御机制研究姓名:杨婧申请学位级别:硕士专业:计算机应用技术指导教师:张凤斌20090301哈尔滨理工大学工学硕士学位论文基于包标记技术DDoS防御机制研究摘要分布式拒绝服务攻击是网络中潜在的威胁和破坏性最大的一种黑客攻击方式。近几年来,分布式拒绝服务攻击防御技术研究成为了网络安全领域的热点问题。在当前条件下,如何保障关键应用技术的不间断服务,尤其是如何抵御分布式拒绝服务攻击,具有相当重要的意义。在分布式拒绝服务攻击中,攻击者通常采用lP欺骗技术来隐藏其身份,针对这种类型的攻击,本文提出了一种新的包标记计划来保护TCP服务。每个到达边界路由器的数

2、据包都携带一个标记,标记由两部分组成:源IP地址和由中间路由器填写在IP首部的16比特标识域的路径标识符。在客户完成TCP三次握手之后,边界路由器动态地将路径标识符和客户对应的口地址添加到数据库。携带有效标记的数据包可以获得准许到达目的地。标记证明了该数据包是一个已存在的TCP连接的一部分。更重要的是,一个有效的标记证明了数据包首部的信息是正确的。这就使过滤设备能以更高程度的确定性识别流量。实验证明这种新的包标记计划能有效地防御IP欺骗分布式拒绝服务攻击,并且可以防御反射式分布式拒绝服务攻击。围绕基于路径标识的攻击包区分和过滤技术,本文提出了改进路径标识方案。参与标记的路由器不是像已有的路径标

3、识方案中那样静态地插入1或2位的本地标识,而是先根据待转发数据包中的TrL值推算其已经过的跳数,相应地生成不同长度的本地节点标记,然后插入到数据包中。从而最大程度上实现了对标记域空间的有效利用,而且路径标识的区分程度更高。基于真实因特网的大规模拓扑数据的仿真实验表明,本方案可以有效地区分和过滤攻击包,当攻击路径和合法路径彼此交错程度较大时和已有的其它路径标识方案相比性能有明显提高。关键词分布式拒绝服务攻击;IP欺骗;包标记;路径标识哈尔滨理工人学T学硕十学位论文ResearchonDDoSDefenseMechanismBasedonPacketMarkingAbstractDDos(Dist

4、ributedDenialofService)attackisoneofthemostthreateninganddevastatingmethodsofattacks.DDoSdefensetechnologyhasbecomeaspotlightinnetworksecurityareainrecentyears.It’SofutmostimportancetosecurethesustainedserviceofkeyapplicationtechnOlogy'especiallydefendingagainstDDoSattacks.InaDDoSattack,theattackero

5、ftenuseIPSpoofingtohidehis/heridentity.TodefendsuchDDoSattacks,thisdissertationpresentsanewpacketmarkingschemetoprotectTCPservices.Everypacketarrivingataperimeterroutercarriesatoken.ThetokeniscomposedofthesourceIPaddressandapathidentifierstampedbyintermediateroutersinthe16-bitidentificationfieldofth

6、eIPheader.AftertheclientcompletestheTCPthree—wayhandshake,theperimeterrouterdynamicallyaddsthepathidentifierandthecorrespondingIPaddressoftheclienttothedatabase.ApacketcarryingavalidtokenhaspermissiontOreachthedestination.AtokenprovidesastrongproofthatthepacketisapartofallexistingTCPconnection.Morei

7、mportantly,avalidtokenprovesthattheinformationinthepacketheaderiscorrect.Thismakesthefilteringdevicesidentifyindividualflowswithahigherdegreeofcertainty.SimulationsshowthatthenewpacketmarkingschemeCal

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。