论文检索
论文发表
当前位置:主页 > 管理论文 > 移动网络论文 >

基于IXP2400的源端DDoS防御系统

发布时间:2017-09-23 18:03

  本文关键词:基于IXP2400的源端DDoS防御系统


  更多相关文章: DDoS攻击 源端防御 IXP2400 模块


【摘要】:近年来,很多英特网服务器都遭到一种被称为分布式拒绝服务(Distributed Denial of Service,DDo S)的攻击。这种攻击的目的是阻止合法用户访问所需资源,比如互联网的带宽。以前的安全威胁能用一种严密的安全策略和积极的措施比如防火墙、入侵检测系统(Intrusion Detection Systems,IDS)来应对。但DDoS攻击是一种新型的攻击,以至于现在都还没有非常有效的防护措施。因此,需要一种功能强大的检测互联网服务器安全漏洞攻击的工具。DDoS向网络安全提出了一个必须解决的问题,很多防御设备也面临这个问题的挑战。DDoS防御系统对硬件的要求是运行速度快,对软件的要求是可扩展性、攻击检测的高准确性以及对新型攻击的高适应性。防御系统的部署越靠近攻击源端就越能更早地检测到攻击,最大程度减少对被攻击者和网络资源的影响,因此源端是部署DDoS防御系统比较理想的地方。本工作中,采取了在IXP2400(Internet eXchange Point,互联网交换中心)网络处理器上增加3个软件模块的方法,设计并实现了部署在源端的DDoS防御系统。该系统能有效检测IP欺骗攻击与洪水攻击,由于系统设计是基于英特尔IXA SDK 4.1软件构架,因此具有可移植性,利于大规模部署、升级。具体工作如下:1.设计了一种基于IXP2400网络处理器的源端DDoS防御系统。该系统部署在源端网络的边界,它能在源端子网检测数据流并且在源端控制恶意数据流,使它不能影响到其他网络,它包含了3个模块:源端过滤器、DDoS分类器和DDoS限速器。2.给出了源端过滤器、DDoS分类器和DDoS限速器的详细设计。源端过滤是通过检查数据包报头内的源IP地址字段的值是否是有效来实现的;DDoS分类器主要负责收集数据流和连接信息统计,并将它们与合法的数据流和连接模型进行对比,通过建立在数据包发送和接受比例基础上的无参数CUSUM算法来检测是否为恶意数据;DDoS限速器主要通过三色标记器来实现,三色标记器使用DDoS分类器收集的统计数据来对疑似恶意数据进行限制速率,同时DDoS限速器通过两个令牌桶对已限速的数据进行再次判断,判定是否为恶意数据。3.利用模拟DDoS攻击来检验这套源端DDoS防御系统。利用SmartBits SMB-6000模拟发送DDoS攻击数据来攻击服务器,同时合法用户与服务器进行数据交换,通过合法用户连接的接收数量和合法连接的拒绝率来判定测试这套防御系统的防御能力。通过测试,分析可知这个防御系统可以防御IP欺骗、TCP(Transmission Control Protocol,传输控制协议)SNY(synchronous,TCP/IP建立连接时使用的握手信号)洪水攻击、ICMP(Internet Control Message Protocol,Internet控制报文协议)和UDP(User Datagram Protocol,用户数据报协议)洪水攻击。
【关键词】:DDoS攻击 源端防御 IXP2400 模块
【学位授予单位】:电子科技大学
【学位级别】:硕士
【学位授予年份】:2016
【分类号】:TP393.08
【目录】:
  • 摘要5-7
  • ABSTRACT7-11
  • 第一章 绪论11-15
  • 1.1 DDoS攻击和防御研究工作的背景与意义11
  • 1.2 DDoS攻击和防御在国内外的研究现状11-13
  • 1.3 本文的主要贡献13
  • 1.4 本文的结构安排13-14
  • 1.5 本章小结14-15
  • 第二章 DDoS攻击原理及防御策略15-23
  • 2.1 DDoS攻击原理15-17
  • 2.1.1 IP欺骗攻击16
  • 2.1.2 SYN洪水攻击16
  • 2.1.3 ICMP洪水攻击16
  • 2.1.4 UDP洪水攻击16-17
  • 2.2 DDoS攻击的防御策略17-22
  • 2.2.1 目标端防御17-18
  • 2.2.2 网络通路防御18-20
  • 2.2.3 源端防御20-22
  • 2.3 本章小结22-23
  • 第三章 源端DDoS防御系统的硬件、软件环境23-28
  • 3.1 源端DDoS防御系统的需求分析23
  • 3.2 IXP2400网络处理器23-25
  • 3.3 英特尔IXA SDK 4.1 软件构架25-27
  • 3.4 本章小结27-28
  • 第四章 源端防御系统的设计实现28-48
  • 4.1 DDoS防御系统构架28-29
  • 4.2 在IXP2400上实现源端防御系统29-33
  • 4.3 源过滤33-36
  • 4.3.1 源过滤的核心组件33
  • 4.3.2 核心组件和配置实用程序间的相互作用33-35
  • 4.3.3 源过滤微块35-36
  • 4.4 DDoS分类器36-46
  • 4.4.1 基于软件的分类36-44
  • 4.4.2 基于TCAM的硬件分类44-46
  • 4.5 DDoS限速器46-47
  • 4.6 本章小结47-48
  • 第五章 测试和分析48-57
  • 5.1 测试环境48-50
  • 5.2 结果分析50-55
  • 5.3 基于TCAM分类器的预期表现55-56
  • 5.4 本章小结56-57
  • 第六章 结论57-58
  • 致谢58-59
  • 参考文献59-62

【参考文献】

中国博士学位论文全文数据库 前1条

1 陈世文;基于谱分析与统计机器学习的DDoS攻击检测技术研究[D];解放军信息工程大学;2013年

中国硕士学位论文全文数据库 前2条

1 李锦玲;应用层分布式拒绝服务攻击的异常检测算法研究[D];解放军信息工程大学;2013年

2 赵轩;基于状态检测的硬件防火墙实现技术研究[D];国防科学技术大学;2004年



本文编号:906669

资料下载
论文发表

本文链接:https://www.wllwen.com/guanlilunwen/ydhl/906669.html

上一篇:AFDX终端测试技术的研究与实现  
下一篇:灰度布朗运动信息链Web防火墙设计分析
论文发表
最近更新
教材专著
热点文章

Copyright(c)文论论文网All Rights Reserved | 网站地图 |

版权申明:资料由用户f2262***提供,本站仅收录摘要或目录,作者需要删除请E-mail邮箱bigeng88@qq.com