DDoS攻擊防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)覆蓋范圍的日益擴(kuò)大，網(wǎng)絡(luò)應(yīng)用服務(wù)的增多以及互聯(lián)網(wǎng)網(wǎng)民人數(shù)的大幅增長(zhǎng)，越來(lái)越多的人通過(guò)網(wǎng)絡(luò)進(jìn)行購(gòu)物、賬單繳費(fèi)等活動(dòng)，但與此同時(shí)網(wǎng)絡(luò)攻擊、病毒感染的次數(shù)也在隨之增長(zhǎng)。為維護(hù)網(wǎng)民的合法權(quán)益及個(gè)人信息安全，保障網(wǎng)絡(luò)安全成為當(dāng)前的重要研究課題。在所有的安全威脅中分布式拒絕服務(wù)攻擊(Distributed Denial of Service,DDoS)因其易于發(fā)起、攻擊危害大等特點(diǎn)而被廣泛使用，這使得針對(duì)DDoS攻擊的檢測(cè)與防御技術(shù)研究成

2、為熱點(diǎn)。針對(duì)網(wǎng)絡(luò)層和傳輸層協(xié)議漏洞的攻擊自DDoS攻擊誕生以來(lái)就成為其重要的攻擊手段，隨著防御方法的不斷提升，人們提高了對(duì)網(wǎng)絡(luò)層和傳輸層攻擊的防御能力，但目前針對(duì)應(yīng)用層的攻擊不斷涌現(xiàn)且破壞力更大，成為DDoS攻擊研究的新目標(biāo)。
　　防火墻是維護(hù)網(wǎng)絡(luò)安全的核心設(shè)備，為保護(hù)網(wǎng)絡(luò)安全，防火墻會(huì)按照策略對(duì)出入其的報(bào)文進(jìn)行監(jiān)控，常用的防火墻技術(shù)包括數(shù)據(jù)包狀態(tài)過(guò)濾技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)、數(shù)據(jù)加密技術(shù)、隧道傳輸技術(shù)等。為使防火墻設(shè)備可以應(yīng)對(duì)DD

3、oS攻擊，有效保護(hù)網(wǎng)絡(luò)安全，本文在防火墻設(shè)備上實(shí)現(xiàn)了DDoS攻擊防御功能。
　　本文首先分析了DDoS攻擊現(xiàn)狀及發(fā)展方向，并依次介紹了網(wǎng)絡(luò)層、傳輸層及應(yīng)用層報(bào)文結(jié)構(gòu)、協(xié)議交互過(guò)程，針對(duì)不同類(lèi)型報(bào)文及協(xié)議交互過(guò)程給出相應(yīng)的防御策略，其中重點(diǎn)研究了應(yīng)用層攻擊防御策略。在以上研究基礎(chǔ)上提出了DDoS攻擊防御系統(tǒng)，對(duì)系統(tǒng)進(jìn)行了詳細(xì)的需求分析和運(yùn)行設(shè)計(jì)，并在防火墻設(shè)備上實(shí)現(xiàn)了DDoS攻擊檢測(cè)與防御系統(tǒng)。最后，通過(guò)手工測(cè)試及自動(dòng)化測(cè)試等方法對(duì)

4、系統(tǒng)進(jìn)行基本功能測(cè)試、性能測(cè)試及壓力異常測(cè)試。
　　本系統(tǒng)具有實(shí)時(shí)配置功能，可根據(jù)不同的攻擊類(lèi)型來(lái)配置策略，來(lái)執(zhí)行相應(yīng)的防御動(dòng)作，可執(zhí)行的動(dòng)作包括：加入代理驗(yàn)證源端真實(shí)性，丟棄報(bào)文和加入黑名單。源端認(rèn)證是防御過(guò)程的核心，當(dāng)開(kāi)啟源端認(rèn)證命令后，系統(tǒng)會(huì)向報(bào)文的源端發(fā)送構(gòu)造的認(rèn)證報(bào)文，若源端能夠正確回應(yīng)則認(rèn)為不存在惡意攻擊。當(dāng)源端通過(guò)認(rèn)證后，會(huì)被加入信任列表，但信任列表具有時(shí)限性，一段時(shí)間后當(dāng)有該源端報(bào)文到達(dá)設(shè)備時(shí)，則需再次進(jìn)行源端認(rèn)證