基于网络接受标记的Internet终端通信

摘要

Intemet的开放性使其得到了广泛的应用，但同时也带来了很多问题，每一个终端都有可能成为被攻击者，由此引起的DDOS攻击广泛的存在于Intemet中，其本质是向受害主机发送大量的数据包，导致中间网络发生拥塞，造成数据包的大量丢失，或者消耗受害主机的有限资源而使其无法向合法用户提供服务。而对于DDOS攻击的防御，则在网络安全中一直倍受关注。本文通过对目前：DDOS攻击主要防御方法的分析与研究，选择了基于网络接受标记的防御方法为研究内容，其主要思想为：受害主机可以通过中间网络来决定是否接受数据包，而这正是从本质上面缓解了D D O S攻击的威胁。而在这类研究方法当中，网络接受标记的分配机制至关重要，论文正是从接受标记的分配机制出发，主要做了如下两方面的工作。 1．对于私有服务器来讲，很容易区分其合法用户与攻击者。论文提出了通过out-of-band方法获得接受标记的ObD(Off by Default)防御机制。用户可以向服务器信任的第三方发送请求包，第三方通过身份认证来决定是否发放接受标记，用户再将接受标记加入到数据包中与服务器进行通信，而网络中间路由器则通过验证这些标记的有效性，来传送数据包。通过网络实验可以得出，该方法在抵御D D O s攻击时起到了很好的效果。 2．对于公共服务器来讲，很难区分合法用户与攻击者。而针对拒绝接受标记服务(denial-of-capabilities)的攻击则会很大程度上影响接受标记的分配。本文通过对数据流的划分，即：根据IP地址将数据流划分为几个地区，提出了随机地址聚类的请求包队列服务方式，从实验结果可以看出，某一地区发生严重的D D O s攻击时，对其它地区并没有影响，而目前的互联网结构在发生D D O S攻击时，会影响到服务器全部的用户。另外，对于处在发生严重D D O s攻击地区中的合法用户，采用增加触发器的方法来增大用户数据流的吞吐量。

目录

文摘

英文文摘

原创性声明/关于学位论文使用授权的声明

1.绪论

1.1论文主要研究内容

1.2论文研究的背景与意义

1.3论文研究的思路

1.4论文的创新点

2.分布式拒绝服务攻击

2.1分布式拒绝服务攻击发生的原因

2.2分布式拒绝服务攻击的具体方法

2.3分布式拒绝服务攻击攻击的防御结构

2.4分布式拒绝服务攻击防御方法的研究现状

2.5选择研究网络接受标记的动机

3.ObD(Off-by-Default)机制

3.1基于网络接受标记的通信

3.2接受标记拒绝服务

3.3设计目标和假设

3.4接受标记分配方法

3.5 Off-by-Default机制

3.6模拟实验与分析

3.6.1 NS2模拟器简介

3.6.2模拟过程

3.6.3模拟结果

3.7合法数据流之间拥塞状况的探讨

3.8 小结

4.缓解接受标记拒绝服务

4.1针对公共服务器的网络接受标记防御方法

4.2对于接受标记拒绝服务的分析

4.3随机地址聚类队列算法

4.3.1公平队列

4.3.2随机公平队列(Stochastic fair queuing)

4.3.3随机地址聚类队列(Stochastic address aggregates queuing SA2Q)

4.4模拟实验过程

4.5模拟实验结果

4.6小结

5.结束语

参考文献

在学期间的研究成果

附录