Ipv6網(wǎng)絡(luò)中DDoS攻擊源回溯研究.pdf

1、隨著互聯(lián)網(wǎng)的不斷發(fā)展，以IPv4為基礎(chǔ)的互聯(lián)網(wǎng)越來越不能滿足人們的需求，其升級和過渡到以IPv6為核心協(xié)議的下一代互聯(lián)網(wǎng)成為歷史的必然。雖然IPv6協(xié)議在制定時對IPv4網(wǎng)絡(luò)中的安全問題進(jìn)行了考慮，并使用IPSec協(xié)議作為其內(nèi)置安全架構(gòu)，但分布式拒絕服務(wù)(DDoS)攻擊等網(wǎng)絡(luò)安全威脅仍存在于IPv6網(wǎng)絡(luò)中。DDoS攻擊源回溯對從源頭阻斷攻擊流量、減小受害者損失具有重要意義。傳統(tǒng)的DDoS攻擊源回溯策略是針對IPv4網(wǎng)絡(luò)提出的，由于IPv

2、6協(xié)議變化較大，這些回溯策略無法直接應(yīng)用于IPv6網(wǎng)絡(luò)。
　　 本文對IPv6網(wǎng)絡(luò)安全以及IPv6網(wǎng)絡(luò)中的DDoS攻擊進(jìn)行了分析。在對比各種IP回溯策略優(yōu)缺點的基礎(chǔ)上，選擇確定性包標(biāo)記(DPM)算法，并結(jié)合IPv6協(xié)議的特點，針對DPM算法可導(dǎo)致路由器過載的缺陷，提出了IPv6中基于流的DPM算法。通過編程擴(kuò)展NS2，在NS2模擬環(huán)境中實現(xiàn)IPv6中基于流的DPM算法，并結(jié)合模擬結(jié)果對算法性能進(jìn)行了分析。
　　 通過模擬

3、結(jié)果和算法性能分析可知，IPv6中基于流的DPM算法可以追蹤大量的同時發(fā)起攻擊的DDoS攻擊源。由于該算法可以進(jìn)行事后追蹤，對起初未被注意到的攻擊源也可進(jìn)行追蹤。此外，該算法避免了其他DPM算法的假陽率問題，并且只要較少的數(shù)據(jù)包就可完成攻擊入口地址的重構(gòu)收斂。IPv6中基于流的DPM算法易于在現(xiàn)有路由器系統(tǒng)架構(gòu)中實施，并且不會造成網(wǎng)絡(luò)設(shè)施的過載。雖然基于流的DPM算法的初衷是回溯IPv6網(wǎng)絡(luò)中的DDoS攻擊源，但其也可被用來過濾IPv6