SDN网络中DDoS放大攻击的防御机制研究
本文选题:SDN + DDoS放大攻击 ; 参考:《北京邮电大学》2017年硕士论文
【摘要】:作为常见且危害巨大的一类网络攻击方式,分布式拒绝服务(DistributedDenial of Service,DDoS)放大攻击经常被黑客用来对网络设施进行攻击破坏。而鉴于DNS服务器开放且易被利用的特点,很多黑客常选择使用DNS放大攻击的方式向目标主机发起DDoS放大攻击。针对这类攻击,传统网络中现有的防御思路都是在企业网关入口设置专用的DDoS防御平台进行流量清洗,或是在网络元件端进行流量过滤。这些方式可视性差、灵活性差,或是需要引入第三方专用设备,导致成本变高。作为未来网络新型架构之一,软件定义网络(Software Defined Networks,SDN)也面临着相同的威胁。但SDN架构的可视性和可编程性为攻击防御机制的设计提供了新的思路。结合上述优势,本文在SDN架构下提出一种由三个防御阶段组成的DNS放大攻击防御机制,具体包括攻击初步检测阶段、攻击确认和受害主机保护阶段与傀儡机发现和隔离阶段。1)攻击初步检测阶段。对流经转发层的DNS请求数据包测速来进行攻击的初步检测。接着对其中超速包的源IP通过熵值运算来衡量其集中程度,判断攻击是否可能发生并找出疑似受害主机。2)攻击确认和受害主机保护阶段。充分利用网络可视性和OpenFlow协议灵活性的优势通过分析疑似受害主机端口的DNS请求包和回复包的数量来准确判定攻击是否发生并迅速保护受害主机,同时确保对受害主机正常DNS访问的影响很小。3)傀儡机发现和隔离阶段。通过利用端口信息进行攻击路径回溯的算法精确找出并迅速从网络中隔离傀儡机,使网络流量完全恢复正常。最后,基于Ryu控制器和Mininet仿真平台对整体防御机制进行仿真实验,并对实验结果进行详细分析和评估。仿真实验结果表明防御机制有效且稳定,为SDN网络中DDoS放大攻击的防御研究提供了新的更加灵活的思路。
[Abstract]:As a common and dangerous network attack, distributed denial of Service (DDoS) amplification attacks are often used by hackers to attack and destroy network facilities.However, due to the open and easy to use of DNS server, many hackers often choose to use DNS amplification attack to launch DDoS amplification attack on the target host.In view of this kind of attack, the existing defense thoughts in the traditional network are to set up a dedicated DDoS defense platform to clean the traffic at the entrance of the enterprise gateway, or to filter the traffic at the network component end.Poor visibility, poor flexibility, or the introduction of third-party-specific equipment can lead to higher costs.As one of the new network architecture in the future, Software Defined Networks (SDN) is facing the same threat.However, the visibility and programmability of SDN architecture provide a new idea for the design of attack defense mechanism.Combined with the above advantages, this paper proposes a three-stage DNS amplification attack defense mechanism under the SDN framework, which includes the initial attack detection phase.Attack confirmation and victim protection stage and puppet machine discovery and isolation stage. 1) initial attack detection phase.The initial detection of the attack is carried out on the DNS request packet which flows through the forwarding layer.Then the source IP of overspeed packet is evaluated by entropy operation to determine whether the attack is likely to occur and to find out the phase of attack confirmation and victim host protection.Taking full advantage of network visibility and flexibility of OpenFlow protocol, by analyzing the number of DNS request packets and reply packets of suspected victim host ports, we can accurately determine whether the attack occurred and protect the victim host quickly.Also make sure that the impact on the victim's normal DNS access is minimal. 3) the puppet machine discovery and isolation phase.By using the port information to trace the attack path accurately and quickly isolate the puppet machine from the network the network traffic is completely restored to normal.Finally, the overall defense mechanism is simulated based on Ryu controller and Mininet simulation platform, and the experimental results are analyzed and evaluated in detail.The simulation results show that the defense mechanism is effective and stable, which provides a new and more flexible way to study the defense of DDoS amplification attacks in SDN networks.
【学位授予单位】:北京邮电大学
【学位级别】:硕士
【学位授予年份】:2017
【分类号】:TP393.08
【相似文献】
相关期刊论文 前10条
1 寇芸,王育民;DDOS攻击的原理及其防范[J];网络安全技术与应用;2001年08期
2 何宗耀,崔雪冰;DDOS攻击的原理及对策[J];平顶山工学院学报;2002年04期
3 周伟,王丽娜,张焕国,傅建明;一种新的DDoS攻击方法及对策[J];计算机工程与应用;2003年01期
4 杨升;DDoS攻击及其应对措施[J];南平师专学报;2003年02期
5 樊爱京;DDoS攻击的原理及防范[J];平顶山师专学报;2003年05期
6 ;天目抗DoS/DDoS[J];信息安全与通信保密;2004年12期
7 喻超;智胜DDoS攻击解析[J];通信世界;2004年46期
8 ;Detecting DDoS Attacks against Web Server Using Time Series Analysis[J];Wuhan University Journal of Natural Sciences;2006年01期
9 唐佳佳;;DDoS攻击和防御分类机制[J];电脑知识与技术;2006年29期
10 邱晓理;;抵御DDoS攻击的三大法宝[J];华南金融电脑;2006年10期
相关会议论文 前10条
1 蒋平;;DDoS攻击分类及趋势预测[A];第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C];2002年
2 张镔;黄遵国;;DDoS防弹墙验证调度层设计与实现[A];中国电子学会第十六届信息论学术年会论文集[C];2009年
3 李淼;李斌;郭涛;;DDoS攻击及其防御综述[A];第二十次全国计算机安全学术交流会论文集[C];2005年
4 王永强;;分布式拒绝服务攻击(DDoS)分析及防范[A];第二十一次全国计算机安全学术交流会论文集[C];2006年
5 刘晋生;岳义军;;常用攻击方式DDoS的全面剖析[A];网络安全技术的开发应用学术会议论文集[C];2002年
6 苏金树;陈曙辉;;国家级骨干网DDOS及蠕虫防御技术研究[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
7 王欣;方滨兴;;DDoS攻击中的相变理论研究[A];全国网络与信息安全技术研讨会'2005论文集(上册)[C];2005年
8 孙红杰;方滨兴;张宏莉;云晓春;;基于链路特征的DDoS攻击检测方法[A];全国网络与信息安全技术研讨会'2005论文集(上册)[C];2005年
9 罗华;胡光岷;姚兴苗;;DDoS攻击的全局网络流量异常检测[A];2006中国西部青年通信学术会议论文集[C];2006年
10 张少俊;李建华;陈秀真;;动态博弈论在DDoS防御中的应用[A];全国网络与信息安全技术研讨会论文集(上册)[C];2007年
相关重要报纸文章 前10条
1 边歆;DDoS成为“商业武器”?[N];网络世界;2006年
2 本报记者 那罡;网络公害DDoS[N];中国计算机报;2008年
3 本报记者 邹大斌;打赢DDoS攻防战[N];计算机世界;2008年
4 本报实习记者 张奕;DDoS攻击 如何对你说“不”[N];计算机世界;2009年
5 本报记者 那罡;DDoS防御进入“云”清洗阶段[N];中国计算机报;2010年
6 ;DDoS攻防那些事儿[N];网络世界;2012年
7 本报记者 李旭阳;DDoS防护需新手段[N];计算机世界;2012年
8 合泰云天(北京)信息科技公司创办人 Cisco Arbor Networks流量清洗技术工程师 郭庆;云清洗三打DDoS[N];网络世界;2013年
9 本报记者 姜姝;DDoS之殇 拷问防御能力[N];中国电脑教育报;2013年
10 刘佳源;英国1/5公司遭遇DDoS攻击[N];中国电子报;2013年
相关博士学位论文 前10条
1 徐图;超球体多类支持向量机及其在DDoS攻击检测中的应用[D];西南交通大学;2008年
2 徐川;应用层DDoS攻击检测算法研究及实现[D];重庆大学;2012年
3 周再红;DDoS分布式检测和追踪研究[D];湖南大学;2011年
4 贾斌;基于机器学习和统计分析的DDoS攻击检测技术研究[D];北京邮电大学;2017年
5 魏蔚;基于流量分析与控制的DDoS攻击防御技术与体系研究[D];浙江大学;2009年
6 罗光春;入侵检测若干关键技术与DDoS攻击研究[D];电子科技大学;2003年
7 刘运;DDoS Flooding攻击检测技术研究[D];国防科学技术大学;2011年
8 王冬琦;分布式拒绝服务攻击检测和防御若干技术问题研究[D];东北大学;2011年
9 于明;DDoS攻击流及其源端网络自适应检测算法的研究[D];西安电子科技大学;2007年
10 黄昌来;基于自治系统的DDoS攻击追踪研究[D];复旦大学;2009年
相关硕士学位论文 前10条
1 邢晓东;SDN网络中DDoS放大攻击的防御机制研究[D];北京邮电大学;2017年
2 王晓瑞;SDN中DDoS攻击检测与流表过载防御技术研究[D];郑州大学;2017年
3 陈q,
本文编号:1749450
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1749450.html
