欢迎来到天天文库
浏览记录
ID:9800079
大小:266.90 KB
页数:4页
时间:2018-05-10
《针对bgp路由器的ddos攻击及防范措施》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、·安全技术·文献标识码:A文章编号:1000—3428(2012)19—0103—04中图分类号:TP393针对BGP路由器的DDoS攻击及防范措施张依依,祝跃飞,高翔(解放军信息工程大学信息工程学院,郑州450002)摘要:利用有限状态机对BGP协议进行分析,结果表明使用BGP协议通信的路由器其路由表更新机制存在安全漏洞,在此基础上,提出一种针对BGP路由器的分布式拒绝服务(DDoS)攻击方法,并根据BGP路由器的通信数据,设计实现一款测试软件RouterTest用于模拟对路由器的DDoS攻击,实验结果证明了该攻击方法的有效性,并针对该攻击提出相应的防范措施
2、。关键词:路由器;BGP协议;分布式拒绝服务攻击;有限状态机;路由表计算DDoSAttackAgainstRouterwithBorderGatewayProtocolandPrecautionZHANGYi-yi,ZHUYue-fei,GAOXiang(InstituteofInformationEngineering,PLAInformationEngineeringUniversity,Zhengzhou450002,China)【Abstract】ThispaperusesFiniteStateMachine(FSM)toanalyzeBorderGa
3、tewayProtocol(BGP),whoseresultsshowthattheupdatemechanismofBGProutershassafedefects.ADistributedDenialofService(DDoS)attackmethodisproposedforrouterswithBGP.AccordingtothecommunicationdataofBGProuters,atestsoftwarenamedRouterTestisdesignedandimplementedtosimulateDDoSattacksonrouters
4、.Experimentalresultsdemonstratetheeffectivenessoftheattack.Correspondingprecautionsagainsttheattacksarealsoproposed.【Keywords】router;BorderGatewayProtocol(BGP);DistributedDenialofService(DDoS)attack;FiniteStateMachine(FSM);routingtablecomputingDOI:10.3969/j.issn.1000-3428.2012.19.02
5、7是耗尽路由器网络带宽,主要通过堵塞目标网络的出口,导致带宽被过分消耗,不能提供正常的网络服务。但此种攻击方法容易被识别。第2类是耗尽路由器资源,主要是利用路由器的处理缺陷,消耗路由器CPU、内存等关键资1概述拒绝服务(DenialofService,DoS)攻击[1]是对网络服务有效性的一种破坏,使受害主机或网络不能及时接收并处理外界请求,或无法及时回应外界请求,从而不能提供给合法用户正常的服务,形成拒绝服务。进行分布式拒绝服务(DistributedDenialofService,DDoS)攻击[2]时,数据包来自多个攻击源端,利用网络中不同主机同步发起拒
6、绝服务攻击,使得受攻击对象不能响应正常用户的要求。DDoS攻击因为使用了不同的攻击源,破坏力大幅提高。BGP(BorderGatewayProtocol)是唯一一种使用TCP作为传输层协议的IP路由协议。BGP路由器之间建立TCP连接,并通过交换消息来指出和确认连接参数。建立TCP连接后,路由器将交换整个BGP路由表,当连接可靠时,在此之后BGP路由器会根据网络路径更新情况发送增量更新[3]。本文通过研究BGP协议的脆弱性和报文交互过程,提出一种针对路由器协议的DDoS攻击,并给出相应的防范措施。2现有针对路由器的DDoS攻击手段目前针对路由器的DDoS攻击主
7、要分为2类。第1类————————————基金项目:国家自然科学基金资助项目(60803155)[4]源,导致路由器无法正常地处理任务。Ping攻击是向路由器发送过量的网际消息控制协议ICMP(InternetControlMessageProtocol)回送请求数据包,严重时使受害系统无法对其他的消息作出响应。SYN风暴攻击是向系统发送大量TCPSYN数据包,使系统积压队列爆满,停止确认收到SYN请求。TCP连接耗尽攻击是通过众多的连接来耗尽路由器资源,例如NAPTHA攻击。在UDP洪水攻击中,攻击者通过欺骗手段连接到系统的UDP字符发生器服务上,系统之间来
8、自字符发生器的半随机字符泛滥,导致带宽
此文档下载收益归作者所有