基于混合连接验证算法的拒绝服务攻击防御方法研究

摘要

DDoS是近年出现的一种新的，分布式的拒绝服务攻击方式，它基于客户机-服务器的体系结构，采用加密的手段进行通信，是目前Internet所面临的一个严重的威胁。DDoS攻击使用了多种攻击手段和形式，包括洪水攻击和源地址欺骗攻击等，这些都使得对它的防范极其困难。因此，需要对网络中的系统进行保护以免受到来自内部和外部的DDoS攻击。为了有效的防范DDoS攻击，人们在攻击的特征、攻击的流量和攻击的分布等方面进行了大量的研究，来解决在攻击的前期、中期和后期的安全性问题。 本文首先对国内外拒绝服务攻击威胁以及研究现状进行分析描述；然后，对从拒绝服务攻击的方法分类、主要手段、常见的防御及防范方法，以及当前被广泛使用的两种拒绝服务攻击防范算法，进行了详细的分析描述，从而设计了基于混合连接验证的算法。最后，对该算法的可用性和性能进行了测试，从数据反映出该算法能够有效的阻止拒绝服务攻击同时也能够有效的提高网络通讯的性能。 该算法综合了SYNCookie以及同步连接验证的优点，能够高效的降低拒绝服务攻击对网络的影响，同时也提高了Cookie验证的可靠性以及通讯的性能。 最后，本文对该算法进行了应用验证与性能测试，从实践与性能测试的结果来看，该算法能够对DOS进行有效的防范，同时能够有效地提高网络的通信性能。

目录

文摘

英文文摘

论文说明：插图索引、附表索引

湖南大学学位论文原创性声明及版权使用授权书

第1章绪论

1.1拒绝服务攻击威胁现状

1.2拒绝服务攻击研究现状

1.2.1国外拒绝服务攻击研究现状

1.2.2国内拒绝服务攻击研究现状

1.3研究的目的和意义

1.4本文组织结构

第2章拒绝服务攻击原理及其防范方法

2.1引言

2.2拒绝服务攻击的分类

2.2.1 DoS

2.2.2 DDoS

2.2.3 DRDoS

2.3拒绝服务攻击的主要手段

2.3.1利用程序漏洞

2.3.2利用协议的缺陷

2.4拒绝服务攻击的常见防御方法分类

2.4.1按防御时间分类

2.4.2按部署的方式分类

2.5拒绝服务攻击的常见防范方法

2.5.1基于路由器的回退(pushback)防范方法

2.5.2基于路由器的防范方法

2.5.3 D-WARD源端防御

2.5.4基于SYN COOKIE机制的防范方法

2.6国内拒绝服务案例

2.7小结

第3章SYN Cookie技术及NetFilter技术介绍

3.1引言

3.2 SYN Cookie技术

3.3 Linux NetFilter功能原理

3.3.1 Netfilter在Linux内核网络结构和防火墙中的位置

3.3.2 Netfilter工作原理

3.3.3 Netfilter结构的实现

3.4小结

第4章混合连接验证算法设计与实现

4.1引言

4.2算法的比较

4.2.1传统SYN Cookie的分析

4.2.2同步连接代理的算法分析

4.2.3两种验证算法的比较

4.3混合连接验证算法分析

4.4混合连接验证算法的实现

4.5小结

第5章混合连接验证算法的验证和测试

5.1混合连接算法的验证

5.2实现环境

5.3测试方法

5.3.1 IXIA功能及环境原理

5.3.2攻击报文构造及发送的实现

5.3.3混合连接算法的性能数据分析

5.3.4平均响应时间的分析

5.4测试结果

5.5小结

结论

参考文献

致谢

附录A攻读硕士学位期间主要的研究成果