返回
针对bgp路由器的ddos攻击及防范措施

针对bgp路由器的ddos攻击及防范措施

ID:9800079

大小:266.90 KB

页数:4页

时间:2018-05-10

针对bgp路由器的ddos攻击及防范措施_第1页
针对bgp路由器的ddos攻击及防范措施_第2页
针对bgp路由器的ddos攻击及防范措施_第3页
针对bgp路由器的ddos攻击及防范措施_第4页
资源描述:

《针对bgp路由器的ddos攻击及防范措施》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、·安全技术·文献标识码:A文章编号:1000—3428(2012)19—0103—04中图分类号:TP393针对BGP路由器的DDoS攻击及防范措施张依依,祝跃飞,高翔(解放军信息工程大学信息工程学院,郑州450002)摘要:利用有限状态机对BGP协议进行分析,结果表明使用BGP协议通信的路由器其路由表更新机制存在安全漏洞,在此基础上,提出一种针对BGP路由器的分布式拒绝服务(DDoS)攻击方法,并根据BGP路由器的通信数据,设计实现一款测试软件RouterTest用于模拟对路由器的DDoS攻击,实验结果证明了该攻击方法的有效性,并针对该攻击提出相应的防范措施

2、。关键词:路由器;BGP协议;分布式拒绝服务攻击;有限状态机;路由表计算DDoSAttackAgainstRouterwithBorderGatewayProtocolandPrecautionZHANGYi-yi,ZHUYue-fei,GAOXiang(InstituteofInformationEngineering,PLAInformationEngineeringUniversity,Zhengzhou450002,China)【Abstract】ThispaperusesFiniteStateMachine(FSM)toanalyzeBorderGa

3、tewayProtocol(BGP),whoseresultsshowthattheupdatemechanismofBGProutershassafedefects.ADistributedDenialofService(DDoS)attackmethodisproposedforrouterswithBGP.AccordingtothecommunicationdataofBGProuters,atestsoftwarenamedRouterTestisdesignedandimplementedtosimulateDDoSattacksonrouters

4、.Experimentalresultsdemonstratetheeffectivenessoftheattack.Correspondingprecautionsagainsttheattacksarealsoproposed.【Keywords】router;BorderGatewayProtocol(BGP);DistributedDenialofService(DDoS)attack;FiniteStateMachine(FSM);routingtablecomputingDOI:10.3969/j.issn.1000-3428.2012.19.02

5、7是耗尽路由器网络带宽,主要通过堵塞目标网络的出口,导致带宽被过分消耗,不能提供正常的网络服务。但此种攻击方法容易被识别。第2类是耗尽路由器资源,主要是利用路由器的处理缺陷,消耗路由器CPU、内存等关键资1概述拒绝服务(DenialofService,DoS)攻击[1]是对网络服务有效性的一种破坏,使受害主机或网络不能及时接收并处理外界请求,或无法及时回应外界请求,从而不能提供给合法用户正常的服务,形成拒绝服务。进行分布式拒绝服务(DistributedDenialofService,DDoS)攻击[2]时,数据包来自多个攻击源端,利用网络中不同主机同步发起拒

6、绝服务攻击,使得受攻击对象不能响应正常用户的要求。DDoS攻击因为使用了不同的攻击源,破坏力大幅提高。BGP(BorderGatewayProtocol)是唯一一种使用TCP作为传输层协议的IP路由协议。BGP路由器之间建立TCP连接,并通过交换消息来指出和确认连接参数。建立TCP连接后,路由器将交换整个BGP路由表,当连接可靠时,在此之后BGP路由器会根据网络路径更新情况发送增量更新[3]。本文通过研究BGP协议的脆弱性和报文交互过程,提出一种针对路由器协议的DDoS攻击,并给出相应的防范措施。2现有针对路由器的DDoS攻击手段目前针对路由器的DDoS攻击主

7、要分为2类。第1类————————————基金项目:国家自然科学基金资助项目(60803155)[4]源,导致路由器无法正常地处理任务。Ping攻击是向路由器发送过量的网际消息控制协议ICMP(InternetControlMessageProtocol)回送请求数据包,严重时使受害系统无法对其他的消息作出响应。SYN风暴攻击是向系统发送大量TCPSYN数据包,使系统积压队列爆满,停止确认收到SYN请求。TCP连接耗尽攻击是通过众多的连接来耗尽路由器资源,例如NAPTHA攻击。在UDP洪水攻击中,攻击者通过欺骗手段连接到系统的UDP字符发生器服务上,系统之间来

8、自字符发生器的半随机字符泛滥,导致带宽

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。