IPv6与隧道多地址性的DoS攻击放大问题研究
本文选题:IPv + 隧道 ; 参考:《计算机研究与发展》2014年07期
【摘要】:DoS攻击是威胁IPv4网络安全的重要问题之一.随着IPv6的发展,相关安全问题也逐步体现并影响IPv6网络的正常运行.该文指出利用IPv6和隧道主机的多地址性,攻击者可获得大量合法IPv6地址,通过伪装成多个虚拟主机实施对目标设备的DoS攻击.这种攻击具有大量的可用地址范围,且受控于同一真实主机,通过不断使用新地址和多地址间配合,可避开以IP为单位的传统检测与防御策略,并可有效放大攻击节点数目或减少实际攻击节点数量.为此提出了基于地址特征分类的防御框架(defense framework based on addresses classification,DFAC).通过分类不同地址特征,构造特征子集,在特征子集基础上实施对虚拟主机攻击的检测和防御,解决虚拟主机引发的放大问题.原型系统实验结果表明,DFAC有效地降低了上述DoS攻击对系统负载的影响.
[Abstract]:Dos attack is one of the most important issues threatening IPv4 network security. With the development of IPv6, the related security problems gradually reflect and affect the normal operation of IPv6 network. This paper points out that with the multi-address of IPv6 and tunnel hosts, an attacker can obtain a large number of legitimate IPv6 addresses and carry out dos attacks on the target devices by masquerading as multiple virtual hosts. This attack has a large range of available addresses and is controlled by the same real host. By constantly using new addresses and multiple addresses, it can avoid the traditional IP detection and defense strategy. And can effectively enlarge the number of attack nodes or reduce the actual number of attack nodes. A defense framework based on address feature classification (defense framework based on addresses classification DFAC) is proposed. By classifying different address features and constructing feature subsets, the detection and defense of virtual host attacks are implemented on the basis of feature subsets to solve the problem of magnification caused by virtual hosts. The experimental results of the prototype system show that DFAC can effectively reduce the impact of the dos attack on the system load.
【作者单位】: 哈尔滨工业大学网络与信息安全技术研究中心;
【基金】:国家“九七三”重点基础研究发展计划基金项目(2012BAH37B01) 国家自然科学基金项目(61202457) 国家“八六三”高技术研究发展计划基金项目(2011AA010705,2012AA012506,2012AA012502)
【分类号】:TP393.08
【参考文献】
相关期刊论文 前1条
1 王进;阳小龙;隆克平;;基于大偏差统计模型的Http-Flood DDoS检测机制及性能分析[J];软件学报;2012年05期
【共引文献】
相关期刊论文 前2条
1 江先亮;金光;杨建刚;何加铭;;面向自治域的DoS攻击流抑制模型[J];通信学报;2013年09期
2 黄健;李金勇;;关于网络故障诊断和性能分析相关问题探讨[J];网友世界;2013年22期
【二级参考文献】
相关期刊论文 前2条
1 余顺争;;Web负载流的宏观模式与识别[J];模式识别与人工智能;2005年01期
2 孙知信;姜举良;焦琳;;DDOS攻击检测和防御模型[J];软件学报;2007年09期
【相似文献】
相关期刊论文 前10条
1 陈平平,张永超,李长森;SYN Flooding攻击问题的分析[J];计算机工程与设计;2005年01期
2 吉文华,于慧敏;防DoS攻击算法的分析和实现[J];计算机应用;2003年06期
3 谢立峰,叶澄清,顾伟康;IKE协议的分析及其对DoS攻击抵御[J];计算机工程与设计;2005年02期
4 石景山;;利用路由器防御DoS攻击[J];福建电脑;2010年10期
5 ;如何防止DoS攻击和DDoS攻击[J];铁路计算机应用;2002年03期
6 赵皖平;拒绝服务攻击的原理及防范技术[J];中国金融电脑;2004年05期
7 宗晓飞;万晓榆;樊自甫;;SIP系统中DoS攻击及防范机制[J];山东通信技术;2007年01期
8 宗晓飞;万晓榆;樊自甫;;SIP系统中DoS攻击及防范机制[J];微计算机信息;2008年06期
9 林雪云;;攻击包过滤防火墙的实践研究[J];赤峰学院学报(自然科学版);2010年03期
10 朱林;;如何利用三层交换机阻止DoS攻击[J];华章;2011年07期
相关会议论文 前2条
1 李汉南;吴伯桥;刘雪飞;;基于EWMA技术检测DoS攻击的新方法[A];全国第16届计算机科学与技术应用(CACIS)学术会议论文集[C];2004年
2 磨钟海;唐天敏;严毅;;分析arp欺骗和icmp重定向带来的安全问题[A];广西计算机学会——2004年学术年会论文集[C];2004年
相关重要报纸文章 前10条
1 李文;三层防范DoS攻击[N];中国计算机报;2003年
2 本报记者 胡英;解决DoS攻击[N];计算机世界;2002年
3 启然;预防DoS攻击[N];网络世界;2000年
4 ;防范内网DoS攻击[N];中国计算机报;2003年
5 ;建立网络全局安全体系防范DoS攻击[N];通信产业报;2003年
6 中国建设银行河北分行 李岳巍;利用路由器防止DoS攻击[N];网络世界;2003年
7 广东 钟毅榕;DoS攻击全接触[N];电脑报;2002年
8 本报记者 胡英;扼制DoS攻击[N];计算机世界;2002年
9 高;Check Point增强SmartDefenseDoS攻击有了更强大的防护[N];中国计算机报;2002年
10 高;中联绿盟“黑洞”与防火墙配合抵御DoS攻击[N];中国计算机报;2002年
相关博士学位论文 前3条
1 史庭俊;容忍入侵理论与应用技术研究[D];西安电子科技大学;2006年
2 易平;移动Ad Hoc网络入侵检测与主动响应机制研究[D];复旦大学;2005年
3 刘远航;PKI实现与应用中的一些问题[D];吉林大学;2004年
相关硕士学位论文 前10条
1 周方晓;基于Linux抵御DoS攻击防火墙研究与实现[D];西安电子科技大学;2005年
2 王雅静;基于Linux防DoS攻击防火墙研究[D];天津大学;2008年
3 王雅超;基于主机资源保护防御DoS攻击的算法及实现[D];北京林业大学;2007年
4 刘坤;无线局域网的安全性研究[D];复旦大学;2008年
5 万宁;基于Linux拒绝服务攻击防御策略的研究[D];大连海事大学;2008年
6 苏朋;典型攻击的攻击效果评估技术研究[D];解放军信息工程大学;2008年
7 王焕宝;IKE协议及其抵御DoS攻击研究[D];合肥工业大学;2002年
8 许晶;IPSec中密钥交换协议的研究与实现[D];哈尔滨理工大学;2007年
9 钟锐;SIP系统DoS攻击及防御方案研究[D];北京邮电大学;2009年
10 姜宏志;ICMP安全性分析研究[D];中国石油大学;2010年
,本文编号:2114704
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2114704.html
