基于IPv6多地址性的DoS攻击与防御研究

发布时间：2018-04-04 12:38

  本文选题：IPv6　切入点：多地址性　出处：《哈尔滨工业大学》2014年硕士论文

【摘要】：自IPv4网络诞生以来，拒绝服务（Denial-of-Service, DoS）攻击一直是威胁网络安全的重要问题之一。随着IPv6技术的不断发展和IPv6网络的逐步推广，DoS攻击在IPv6网络中的安全问题也逐渐显现出来，并开始影响IPv6网络的正常运行。 本文首先分析了现有IPv6网络的安全问题和IPv6网络安全问题的研究现状，然后详细介绍了IPv6协议特性及IPv6地址构成方式。通过研究分析IPv6和隧道主机的多地址性，提出了虚拟主机的概念。 随后本文指出攻击者可以利用IPv6主机多地址的性质，结合隧道方式获得大量合法IPv6地址形成大量虚拟主机，进而对目标设备实施放大的DoS攻击。与IPv4网络相比，这种利用虚拟主机实施DoS攻击的方式，可以有效的放大攻击主机数目，并通过虚拟主机之间的配合，降低甚至逃避基于IP的传统检测和防御策略的效果。因此，对于攻击者而言，这种攻击方式可以有效放大攻击节点的数量或者大大减少实际攻击所需的节点数目。 为此，本文提出了基于地址特征的防御框架（DFAC）。DFAC框架的基本原理是：通过对含有相同地址特征的源IP进行分类聚合，，构造包含多个连接的特征子集，然后再特征子集的基础上对基于虚拟主机的DoS攻击进行检测和防御，从而解决这种利用虚拟主机实施攻击引发的放大问题。在研究DFAC的攻击判定模块时，本文提出了特征子集层面基于相似度的攻击判定方法，并详细介绍了基于特征子集攻击判定算法以及判定模块的运行流程。 本文最后设计并实现了检测HTTP Get Flood攻击的原型系统，并根据实验要求搭建了专门的模拟实验环境。实验结果表明，本课题提出的基于地址特征分类的防御框架（DFAC），可以有效降低系统运行处理的计算量和内存占用率，提高系统应对基于虚拟主机的DoS放大攻击的能力。
[Abstract]:Since the birth of IPv4 network, Denial-of-Service (dos) attacks have been one of the most important threats to network security.With the development of IPv6 technology and the gradual popularization of IPv6 network, the security problems of dos attack in IPv6 network also appear gradually, and begin to affect the normal operation of IPv6 network.In this paper, the security problems of IPv6 network and the research status of IPv6 network security are analyzed, and then the characteristics of IPv6 protocol and the IPv6 address structure are introduced in detail.By studying and analyzing the multi-address property of IPv6 and tunnel host, the concept of virtual host is put forward.Then this paper points out that the attacker can take advantage of the multi-address nature of the IPv6 host and obtain a large number of legitimate IPv6 addresses in the tunnel mode to form a large number of virtual hosts and then carry out an amplified DoS attack on the target device.Compared with IPv4 network, this way of using virtual host to implement DoS attack can effectively enlarge the number of attacking hosts, and reduce or even evade the effect of traditional detection and defense strategy based on IP through the cooperation between virtual hosts.Therefore, for the attacker, this attack method can effectively enlarge the number of attack nodes or greatly reduce the number of nodes needed for the actual attack.For this reason, this paper puts forward the basic principle of the DFACU. DFAC framework based on address feature: by classifying and aggregating the source IP with the same address feature, we construct a feature subset containing multiple connections.Then, based on the feature subset, the DoS attack based on virtual host is detected and defended, so as to solve the problem of amplification caused by using virtual host attack.When studying the attack decision module of DFAC, this paper proposes a similarity based attack decision method at feature subset level, and introduces the attack decision algorithm based on feature subset and the running flow of the decision module in detail.Finally, a prototype system for detecting HTTP Get Flood attacks is designed and implemented, and a special simulation environment is built according to the experimental requirements.The experimental results show that the proposed defense framework based on address feature classification can effectively reduce the computation and memory occupancy of the system and improve the ability of the system to deal with the DoS amplification attack based on the virtual host.
【学位授予单位】：哈尔滨工业大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP393.08;TP393.04

【共引文献】

相关期刊论文 前10条

1 钱华林;鄂跃鹏;葛敬国;任勇毛;游军玲;;双层IP地址空间体系结构[J];软件学报;2012年01期

2 李红艳;;蠕虫特征检测技术的研究[J];山东电大学报;2006年03期

3 王相林;徐静静;;IPv6路由报头安全漏洞的保护方案[J];计算机工程与设计;2008年12期

4 高继森;何俊;;ISATAP隧道技术的研究与测试[J];平顶山学院学报;2013年02期

5 栾杰;张晓平;;IPv6关键技术在网络中部署的研究[J];中国新通信;2013年24期

6 申健;朱婧;;校园网IPv4到IPv6过渡技术分析与应用[J];实验室研究与探索;2014年11期

7 陈新;范九伦;;IPv6过渡技术的改进和实现[J];西安邮电学院学报;2011年05期

8 徐锦;李章维;周源泉;;CGA技术的改进与研究[J];浙江工业大学学报;2009年01期

9 张平;李春青;;IPv4与IPv6隧道技术的研究及实现[J];计算机技术与发展;2012年08期

10 周国军;刘爱民;;基于GNS3的IPv4与IPv6互通实验教学设计[J];中国教育技术装备;2013年09期

相关博士学位论文 前5条

1 刘辉宇;洪泛攻击早期检测及其溯源方法研究[D];华中科技大学;2011年

2 周治国;任播技术的研究[D];吉林大学;2008年

3 贺金鑫;安全组通信中数据源认证问题的研究[D];吉林大学;2008年

4 杨金翠;物联网环境下的控制安全关键技术研究[D];北京邮电大学;2013年

5 陈世文;基于谱分析与统计机器学习的DDoS攻击检测技术研究[D];解放军信息工程大学;2013年

相关硕士学位论文 前10条

1 钟锐;基于隐马尔科夫模型的入侵检测系统研究[D];江西理工大学;2010年

2 张晓辉;拒绝服务攻击检测与响应的研究[D];长春工业大学;2010年

3 田宏伟;IPv6网络入侵检测技术的研究与实现[D];沈阳工业大学;2011年

4 曾纪霞;基于流量自相似性的IPv6中DDoS检测方法的研究[D];湖南大学;2009年

5 孙有晔;IPv6网络中DDoS攻击源回溯研究[D];天津大学;2012年

6 王忠民;基于统计分析的DDoS攻击检测的研究[D];燕山大学;2012年

7 任宏晖;IPv4-IPv6过渡技术下基于CIDF的入侵检测系统的设计[D];大连理工大学;2011年

8 康秋生;大规模DDoS及蠕虫攻击的发现与检测[D];哈尔滨工程大学;2006年

9 孟琦;IPv6网络环境下入侵检测技术的研究[D];山东科技大学;2007年

10 王佳佳;DDoS攻击检测技术的研究[D];扬州大学;2008年

本文编号：1709988