导　　师： 谢冬青

学科专业： H1204

授予学位： 硕士

作　　者： ;

机构地区： 湖南大学

摘　　要： 分布式拒绝服务DDoS攻击是目前互联网上最严重的安全问题之一。因为互联网上大量的不安全的机器的存在、自动化DDoS攻击工具的广泛可获得性以及攻击者通常采用假冒的源IP地址等原因，使DDoS攻击的防御和追踪相当困难。已有的某些防御系统虽然能保护用户免受某种类型的DDoS攻击，但DDoS攻击仍然没有减轻。本文在深入研究了DDoS攻击机制、攻击方法、DDoS攻击的加强技术和加强方法以及现有的防御和追踪方法后，针对现有的DDoS攻击和加强的DDoS攻击，提出了基于路由器分布式防御DDoS攻击的DIS方案。主要工作如下：1) 对现有用于DDoS追踪的标记方案进行了深入分析，依据FMS标记思想，结合密码学的数字签名方法，设计了自适应hash签名标记AHSM方案。该方案是在包经过的路由器处，路由器按一个变化的概率对包进行hash签名。采用hash签名，签名速度快、误报率低、重构开销小，实现了IP地址的防篡改和发送者的不可否认，能有效地防止路由器假冒，采用变化的概率，可以减少受害者重构攻击路径时所需的数据包数，提高了追踪速度。2) 基于攻击发生时，会出现大量新的IP地址聚集以及合法用户请求率下降这个实验发现，运用统计学的方法，设计了DDoS检测方案。该方案建立了一个数据库，保存按不同源地址划分的聚集的信息以及各聚集的请求数等，定期对新IP地址聚集率和请求率这两个攻击指标进行检测，以发现攻击。3) 针对现有DDoS防御系统单点部署的不足，将设计的检测模块、追踪模块进行分布式部署。检测模块部署在上游路由器实现对DDoS攻击的快速检测，部署在受害端实现对DDoS攻击的精确检测。追踪方面除了采用自适应hash签名标记AHSM外，在包经过的第一个路由器处增加基于用户身份认证的路由器代签名，保证了源IP的真实性，并能实现对攻击包的精确追踪。在源端、中间网络、受害端进行响应，通过逻辑上重复的AS控制器网络传递响应信息，响应速度快。最后，对本文所提出的方案进行了理论分析和模拟实验，结果表明基于路由器分布式防御DDoS攻击的DIS方案是有效和可行的。

关 键 词： 攻击 分布式防御 包标记追踪 数字签名

分 类 号： [TP393.08]

领　　域： [自动化与计算机技术] [自动化与计算机技术]