IPv6環(huán)境下基于自治系統(tǒng)的DDoS防御方法研究.pdf

1、DDoS攻擊已經(jīng)成為目前Internet所面臨的最嚴重的安全威脅之_。它通過利用大量受控制的主機向受害主機發(fā)送大量攻擊包，從而導致其資源(比如網(wǎng)絡(luò)帶寬，內(nèi)存和CPU資源等)耗盡，實現(xiàn)拒絕服務(wù)。隨著Internet的迅猛發(fā)展，它的危害性也越來越大。 作為兩種典型的AS(Autonomous Systems，自治系統(tǒng))追蹤技術(shù)，AS二步算法和基于代理的追蹤技術(shù)都需要重構(gòu)攻擊路徑，然而攻擊路徑的重構(gòu)要耗費一定的時間；而且它們本身都無法

2、阻止DDoS攻擊。針對這些問題，本文提出了一種IPv6環(huán)境下實時防御DDoS的新方法——AS實時防御方法，主要內(nèi)容如下： 1.首先透徹地研究了IPv6協(xié)議的相關(guān)內(nèi)容，包括IPv6的優(yōu)勢、IPv6的報頭和地址方案；另外，還詳細地分析了DDoS攻擊的原理、分類和典型攻擊工具，并且討論了這種攻擊的發(fā)展趨勢。 2.深入地剖析了AS二步算法和基于代理的追蹤技術(shù)。這兩種追蹤技術(shù)都能夠在IPv4環(huán)境下追蹤攻擊源。但是，因為IPv6協(xié)議

3、對報頭進行了很大改動，所以它們不能直接應(yīng)用于IPv6環(huán)境。針對這種情況，本文對這兩種追蹤技術(shù)進行了改進。具體地說，在AS二步算法中，通過使用一個自定義的擴展報頭——AS二步算法報頭存放該算法的36比特標記信息；在基于代理的追蹤技術(shù)中，在計算數(shù)據(jù)包摘要信息時MD5算法的輸入包括以下四部分：基本報頭中除去業(yè)務(wù)流類別字段和跳極限字段之后剩余的字段、路由報頭所包含的節(jié)點地址列表中的最后一個地址(當數(shù)據(jù)包包括路由報頭時要用節(jié)點地址列表中的最后一個

4、地址代替基本報頭中的目的地址成為MD5算法的輸入)、分片報頭和數(shù)據(jù)部分的前160位。 3.提出了AS實時防御方法，其核心思想是首先在受害者自治系統(tǒng)內(nèi)建立決策判據(jù)樹，然后依據(jù)決策判據(jù)1和2對該樹進行實時監(jiān)控，如果發(fā)現(xiàn)攻擊，就發(fā)送過濾消息通知有關(guān)實體在受害端和源端一起對攻擊包進行過濾，從而保護受害者。實驗證明，該方法能在秒鐘數(shù)量級檢測到攻擊并且對攻擊包進行過濾，能有效地防范多個DDoS攻擊源。另外，該方法還能準確區(qū)分攻擊流和高業(yè)務(wù)流