- 1、本文档共26页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
DDoS攻击研究综述 提纲 DDoS研究的意义 国内外研究的现状 DOS问题的起因 DoS攻击原理 DoS防御方法 DDoS研究的意义:(1) UC Berkeley 教授 Shankar Sastry 于 2003.7在众议院的国土安全委员会的听证会上指出DDoS及Worm攻击是当前主要的防卫任务。 国内外研究的现状 1) DHS , NFS在2004年资助几个大学和公司启动了 DETER(Defense Technology Experimental Research )。这个项目的一个研究重点就是防御DDoS攻击。 2)信息产业部在2005年公开向产业界招标防御DDoS攻击系统的设计方案 The University of California Berkeley, University of California Davis, University of Southern California-Information Systems Institute , Network Associates Laboratories, SRI, the Pennsylvania State University, Purdue University, Princeton University, University of Utah, and industrial partners Juniper Networks, CISCO, Intel, IBM, Microsoft, and HP DOS问题的起因 DoS攻击原理 DoS防御方法 Ingress 过滤 traceback pushback 自动化模型(控制器-代理模型) 基于代理网络的解决方案 Ingress 过滤 主要目的: 过滤假冒源地址的IP数据包 为traceback提供帮助 局限性: 影响路由器的性能 配置问题 Traceback 目的:证实IP数据包真正来源 从源头上阻断攻击 攻击取证 方法: 1)基于流量工程的方法 2)基于数据包标记的方法 3)基于数据包日志的方法 基于流量工程的方法 工作机制: 首先使用UDP chargen服务产生短的突发流量,然后把突发流量注入到待测试的链路以观察链路是否是攻击路径的一部分。 优点: 1)花费相对较低 2)容易配置 缺点: 1)不适用于多个攻击者参与攻击的情况 2)整个追溯过程应该在攻击进行的时候执行,有时 间上的约束 基于数据包标记的方法 工作原理: 基于数据包标记的IP追溯方案使用了一个简单的概念。当IP数据包经过Internet路由器,路由器为数据包增加追溯信息。一旦受害者检测到攻击,受害者从攻击数据包中提取追溯信息,使用这些信息重建攻击数据包所经过的路径。因此,基于数据包标记的IP追溯方案通常由两个算法组成。一个是运行在Internet路由器上的包标记算法。另一个是受害者发起的追溯算法,这个算法使用在接收到的攻击数据包里发现的标记信息追溯攻击者。 问题 为了重建攻击路径或攻击树,需要大量的攻击数据包 在重建攻击树的过程中,可能给受害者带来巨大的花费负担; 如果多个攻击者参与攻击,那么会产生高的误报率。 路由器CPU花费 基于数据包日志的方法 工作原理: 与在IP数据包写入路由器的信息不同,数据包日志方案是在路由器的内存中写入数据包的信息(摘要、签名或者数据包自身)。一旦受害者检测到攻击,受害者就会查询上游(upstream)路由器以检查它们的内存中是否包含攻击数据包的信息。如果在某个路由器中发现了攻击数据包的信息,那么该路由器被认为是攻击路径的一部分。 问题 路由器存储花费 从网络路由器获取数据包信息使用的方法是效率低的 pushback 自动化模型(控制器-代理模型) 优点: 当攻击没发生时,代理和普通路由器一样运行。 受害者能容易地确定来自不同攻击系统的攻击签名。 一旦受害者通过了鉴别,那么识别、阻止和跟踪攻击流量的过程完全是自动化的。因此,响应非常迅速。 可以动态地配置过滤器。 一旦确定了攻击签名,就可以在接近攻击源的位置阻止攻击流量。 每个代理仅需要检查和阻止流经它的攻击签名。这样,攻击签名更有针对性,因此延迟更小。 由于代理和控制器没必要确定攻击签名,因此与集中拥塞控制 ( ACC )相比它们的实施花费更少。 不足: 被丢弃的包中也许包括一些非攻击流量。 控制器可能也是DDoS攻击的受害者。 控制器与代理、受害者之间的通信安全也值得关注。
文档评论(0)