內(nèi)容分發(fā)網(wǎng)絡(luò)抗DDoS攻擊性能研究.pdf

1、內(nèi)容分發(fā)網(wǎng)絡(luò)(Content Distribution Network或Content Delivery Network，簡(jiǎn)稱(chēng)CDN)是一種基于現(xiàn)有網(wǎng)絡(luò)的重疊網(wǎng)絡(luò)系統(tǒng)，它包括若干個(gè)分布在網(wǎng)絡(luò)不同位置的緩存服務(wù)器，所有用戶從距離較近的服務(wù)器上獲取文件副本，而不是同時(shí)訪問(wèn)同一臺(tái)服務(wù)器，從而避免了服務(wù)器的瓶頸問(wèn)題，獲取最大的數(shù)據(jù)訪問(wèn)帶寬。由于CDN可以有效地降低網(wǎng)絡(luò)流量、縮減響應(yīng)時(shí)間、提高服務(wù)質(zhì)量，在網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大和寬帶需求日趨增加的今天，

2、CDN在緩解網(wǎng)絡(luò)擁塞方面得到了廣泛運(yùn)用，特別在Web服務(wù)和流媒體應(yīng)用領(lǐng)域。隨著應(yīng)用的深入，一些與安全相關(guān)的問(wèn)題也得到了重視。一種普遍觀點(diǎn)[12][29]認(rèn)為CDN具有緩解分布式拒絕服務(wù)(Distributed Denial of Service，簡(jiǎn)稱(chēng)DDoS)攻擊的能力。然而，CDN對(duì)DDoS攻擊的緩解原理以及緩解程度，卻沒(méi)有得到理論證明和數(shù)據(jù)驗(yàn)證。
　　本文以CDN防御DDoS攻擊能力作為研究對(duì)象，在認(rèn)真研究了DDoS攻擊和CD

3、N的相關(guān)基礎(chǔ)知識(shí)后，通過(guò)多項(xiàng)實(shí)驗(yàn)分析并總結(jié)了CDN在防御DDoS攻擊時(shí)的分流能力。
　　以下為本文做的主要工作。
　　(1)設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)簡(jiǎn)易的、通用的、開(kāi)源的、基于智能DNS重定向的CDN。該系統(tǒng)可以根據(jù)用戶的地理位置將用戶請(qǐng)求轉(zhuǎn)發(fā)到距離用戶最近的邊緣服務(wù)器上。
　　(2)將網(wǎng)站開(kāi)發(fā)和內(nèi)容發(fā)布分離，便于使用，使CDN能夠?qū)Ｗ⒂趦?nèi)容發(fā)布，而不必關(guān)心網(wǎng)站開(kāi)發(fā)的具體細(xì)節(jié)。此外，系統(tǒng)添加了主動(dòng)管理模塊，可以根據(jù)網(wǎng)絡(luò)流量和各

4、服務(wù)器的連接、負(fù)載狀況，以及到用戶的距離和響應(yīng)時(shí)間等綜合信息做出相應(yīng)變化，從而最大限度地提高數(shù)據(jù)訪問(wèn)帶寬。
　　(3)根據(jù)CDN的原理及結(jié)構(gòu)特點(diǎn)，分別設(shè)計(jì)傳輸層DDoS攻擊、應(yīng)用層DDoS攻擊、針對(duì)DNS服務(wù)器的DDoS攻擊，以及針對(duì)默認(rèn)服務(wù)器的DDoS攻擊。通過(guò)分析CDN的網(wǎng)絡(luò)性能，本文為CDN緩解DDoS攻擊提供了實(shí)驗(yàn)驗(yàn)證，并提出了基于CDN的DDoS攻擊檢測(cè)方法。
　　研究結(jié)果表明，基于DNS重定向的CDN能夠緩解應(yīng)用