返回
分布式拒绝服务攻击预防机制探究

分布式拒绝服务攻击预防机制探究

ID:43858332

大小:46.50 KB

页数:9页

时间:2019-10-16

分布式拒绝服务攻击预防机制探究_第1页
分布式拒绝服务攻击预防机制探究_第2页
分布式拒绝服务攻击预防机制探究_第3页
分布式拒绝服务攻击预防机制探究_第4页
分布式拒绝服务攻击预防机制探究_第5页
资源描述:

《分布式拒绝服务攻击预防机制探究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、分布式拒绝服务攻击预防机制探究摘要:分布式拒绝服务攻击之所以在当前网络上很流行,是因为很难防御。阻止任何攻击最好的办法,是在攻击没有发生前,用有效的DDoS预防机制来阻止系统受到攻击,故研究预防DDoS攻击的有效方法就尤为重要。对DDoS的预防机制进行了全面的研究,并分析了每种防御机制的特点,用户可根据系统的实际配置,选择适合自身系统的DDoS预防机制。关键词:分布式拒绝服务;拒绝服务;预防机制;过滤中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)24-5777-03ResearchonthePreventionofDDoSAt

2、tackTANGLi-juan,SUNKe-zhen(NantongCommercialVocationalCollege,Nantong226000,China)Abstract:Distributeddenialofserviceattackisverypopularinthecurrentnetwork,becauseitwasdifficulttodefense.Thebestwaytopreventanyattack,useeffectiveDDoSpreventionmechanismtopreventthesystemfromattackbe

3、foretheattack,sothestudyontheeffectivepreventionmethodofDDoSattackisveryimportant・AcomprehensivestudyonDDoSpreventionmechanism,andanalyzeseachkindofdefensemechanismcharacteristic,userscaninaccordancewiththeactualconfiguration,selectasuitablesystemofDDoSpreven?tionmechanism.Keyword

4、s:DDoS;DOS;preventiontechnology;filteringDDoS攻击的巨大危害性,引起了全世界的高度重视,黑客采用DDoS攻击成功地攻击了几个著名的网站,包括雅虎、微软以及SCO、mazon.com、ebuy、CNN.com、BUY.com、ZDNet、Excite,com等国内外知名网站,致使网络中断数小时,造成的经济损失到数百万美元。由于其巨大的危害性,引起了人们的髙度重视,科研机构、大学以及国内外的一些大公司纷纷对DDoS攻击的防御展开了深入的研究。1DDoS攻击的预防机制预防任何攻击的最好方法是完全阻止攻击的发起,常用的D

5、DoS攻击的预防机制如表1所示,下面分析每种机制的实现原理及特点。1.1过滤机制早期对DDoS攻击的预防主要通过过滤机制来实现,过滤机制可以分为输入过滤、输出过滤、基于路由器的包过滤、基于历史IP地址的过滤和SOS过滤。1.1.1输入过滤DDoS攻击一般通过伪IP地址的数据包发动攻击,如果能够防止攻击者伪造IP地址,那么DDoS攻击就不会像现在这么猖獗。输入过滤就提供了解决伪IP地址的方法。输入过滤通过路由建立存储IP地址的方法,例如不接受具有非法的源地址的数据包进入网络。由Ferguson和Senie提出的输入过滤[1],通过限制连接来降低在路由器的入口

6、处的IP地址和域前缀不匹配的流量。如果所有的域都用上的话,这种机制能够明显的降低DoS攻击。当用C.Perkins提出的移动IP[2]来连接移动节点和外部网络时,该输入过滤有时误将合法的数据包丢掉。输入过滤存在着一些不足:首先不能防止攻击者伪造IP地址为同一网段内的其他IP地址;其次输入过滤可能会影响到一些动态的网络应用服务;最后,如果想让输入过滤机制真正起到预防DDoS攻击的效果,就必须在整个网络中全局部署,起码现在这样部署是不可能的,因为这需要和ISP进行合作,而且会影响到某些动态网络服务的运行,同时增加系统管理员的负担和路由器的负载。1.1.2输出过

7、滤输出过滤[3]是外部过滤,它保证了只有分配或指定的IP地址可以访问网络资源。除了配置问题,输出过滤和输入过滤类似。1.1.3基于路由器的包过滤由Park和Lee[4]提出的基于路由的包过滤,其实现原理是边界路由器根据路由信息来判断接收到的数据包中的源IP地址以及目的地址是否合法,若不合法则过滤掉该数据包。这种方法能够过滤出大量的伪源IP地址的数据包,从而阻止这些伪IP地址的数据包发动攻击,该方法也可以用来帮助IP追踪。基于路由过滤的最大优点是可以进行增量配置(据调查报告显示,部署只需占18%的自治系统AS拓扑就可以防止伪IP地址的数据包流向其它AS),不

8、像输入过滤那样必须全局部署才起到作用。更重要的是,在Inter?n

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。