返回
七种ip拥塞控制算法需改进

七种ip拥塞控制算法需改进

ID:34982610

大小:49.00 KB

页数:8页

时间:2019-03-15

七种ip拥塞控制算法需改进_第1页
七种ip拥塞控制算法需改进_第2页
七种ip拥塞控制算法需改进_第3页
七种ip拥塞控制算法需改进_第4页
七种ip拥塞控制算法需改进_第5页
资源描述:

《七种ip拥塞控制算法需改进》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、七种IP拥塞控制算法需改进DDoS攻击引起的网络拥塞,是由恶意主机控制大量傀儡机所造成的,并非传统意义上的端到端拥塞,所以只能在路由器上进行控制,即基于IP拥塞控制来实现的。而目前主流的七种IP拥塞控制算法都需要在改进后,才能有效地应用于防范DDoS攻击。分布式拒绝服务DDoS(DistributedDenialofService)攻击被认为是目前Internet所面临的最大威胁之一。目前有一些常用的DDoS攻击防护机制和方法包括:通过修改配置和协议预防攻击、反向查找攻击源头、攻击检测和过滤、分布式攻击检测和过滤(主机端/路由器端)等

2、。DDoS攻击与网络拥塞网络产生拥塞的根本原因在于用户提供给网络的负载超过了网络的存储和处理能力,表现为无效数据包增加、报文时延增加与丢失、服务质量降低等。如果此时不能采取有效的检测和控制手段,就会导致拥塞逐渐加重,甚至造成系统崩溃,在一般情况下形成网络拥塞的三个直接原因是:●路由器存储空间不足。几个输入数据流需要同一个输出端口,如果入口速率之和大于出口速率,就会在这个端口上建立队列。如果没有足够的存储空间,数据包就会被丢弃,对突发数据流更是如此。增加存储空间在表面上似乎能解决这个矛盾,但根据Nagel的研究,如果路由器有无限存储量时

3、,拥塞只会变得更坏。●带宽容量相对不足。直观地说,当数据总的输入带宽大于输出带宽时,在网络低速链路处就会形成带宽瓶颈,网络就会发生拥塞,相关证明可参考香农信息理论。●处理器处理能力较弱。如果路由器的CPU在执行排队缓存、更新路由表等操作时,处理速度跟不上高速链路,会产生拥塞。同理,低速链路对高速处理器也会产生拥塞。以上是早期Internet网络发生拥塞的三个主要原因。对此,TCP拥塞控制给出了较好的解决方案。在实际应用中,如果所有的端用户均遵守或兼容TCP拥塞控制机制,网络的拥塞能得到很好的控制。但是,当DDoS攻击造成网络拥塞时,T

4、CP基于窗口的拥塞控制机制对此无法加以解决。原因是攻击带来的拥塞是由大量恶意主机发送数据所造成的,这些主机不但不会完成TCP拥塞控制机制所规定的配合工作,甚至本身就可能包含了伪造源地址、加大数据发送量、增加连接数等攻击方式。在此情况下,对DDoS攻击所造成的网络拥塞就必须在路由器上进行处理,这只能是基于IP拥塞控制来实现的。需要注意的是,DDoS攻击所造成的网络拥塞不同于上面所分析的普通情况,它们之间存在着本质差异。相比之下,DDoS攻击所造成的拥塞,其攻击数据常常在分组大小、到达时间、协议类型等诸多方面具有一定相关性,这是由分布式拒

5、绝服务自身特点所决定的。而普通情况下的网络拥塞,其数据并非由多个受控攻击者发送,因而不具有类似的相关性。对攻击所造成的拥塞进行防护,就应首先找到这个相关性,在此基础上引入传统拥塞控制机制并加以完善,才能进行高效、准确的检测和控制工作。七种主流IP拥塞控制算法及评价根据DDoS攻击的原理和机制,对各种机制的防护能力做评价时应参照以下标准:条件一,是否能按一定规则进行特征设定;条件二,是否能根据一定规则对流经的数据加以区分;条件三,针对不同类型的数据包,是否能提供不同优先级的服务。如果一个拥塞控制机制满足了以上三个条件,就基本上具备了防护

6、DDoS攻击的能力。下面将简略地分析当前一些主流IP拥塞控制算法,并对其防护DDoS攻击的可行性进行评价:●先进先出FIFO(FirstInFirstOut)传统的先进先出策略是目前Internet上使用最广泛的一种服务模型。它的最大优点是便于实施,但由于FIFO本质上是一种“去尾”(Drop-tail)的算法,所以当突发性数据到达时容易出现包丢失现象,其公平性较差,对上层的TCP快速恢复的效率也较低。对照评价标准可知,该算法没有满足任何一个条件,过于简单且缺乏智能性,完全不能用于DDoS攻击防护。●随机早期检测算法RED(Rando

7、mEarlyDetection)RED算法是按一定概率丢弃进入路由器的数据包。RED的早期设计思路是避免丢弃属于同一连接的连续数据包,从而提高连接的吞吐量。通过分摊包丢失率,RED可以在各连接之间获得较好的公平性,对突发业务的适应性较强。RED也存在一些不足,例如可能会引起网络的不稳定,而且选择合适的配置参数也不是一件容易的事。近年来,研究者提出了许多RED的改进算法,这些算法都在一定程度上,从不同方面改善了RED的性能。对照评价标准可知,该方法对DDoS攻击的防护作用不大,由于其思路是分摊包丢失率,对正常业务和攻击数据“过分公平”,

8、不能做到有所区分,从而使得大量正常业务在攻击发生时无法得到服务。●显示拥塞指示算法ECN(ExplicitCongestionNotification)前面两种拥塞控制算法都是通过包丢失来告诉端系统,网络已经发生拥塞。而

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。