基于IPv6多地址性的DoS攻击与防御研究

摘要

自IPv4网络诞生以来，拒绝服务（Denial-of-Service, DoS）攻击一直是威胁网络安全的重要问题之一。随着IPv6技术的不断发展和IPv6网络的逐步推广，DoS攻击在IPv6网络中的安全问题也逐渐显现出来，并开始影响 IPv6网络的正常运行。
　　本文首先分析了现有 IPv6网络的安全问题和IPv6网络安全问题的研究现状，然后详细介绍了IPv6协议特性及IPv6地址构成方式。通过研究分析IPv6和隧道主机的多地址性，提出了虚拟主机的概念。
　　随后本文指出攻击者可以利用IPv6主机多地址的性质，结合隧道方式获得大量合法IPv6地址形成大量虚拟主机，进而对目标设备实施放大的DoS攻击。与IPv4网络相比，这种利用虚拟主机实施DoS攻击的方式，可以有效的放大攻击主机数目，并通过虚拟主机之间的配合，降低甚至逃避基于IP的传统检测和防御策略的效果。因此，对于攻击者而言，这种攻击方式可以有效放大攻击节点的数量或者大大减少实际攻击所需的节点数目。
　　为此，本文提出了基于地址特征的防御框架（DFAC）。DFAC框架的基本原理是：通过对含有相同地址特征的源IP进行分类聚合，构造包含多个连接的特征子集，然后再特征子集的基础上对基于虚拟主机的DoS攻击进行检测和防御，从而解决这种利用虚拟主机实施攻击引发的放大问题。在研究DFAC的攻击判定模块时，本文提出了特征子集层面基于相似度的攻击判定方法，并详细介绍了基于特征子集攻击判定算法以及判定模块的运行流程。
　　本文最后设计并实现了检测HTTP Get Flood攻击的原型系统，并根据实验要求搭建了专门的模拟实验环境。实验结果表明，本课题提出的基于地址特征分类的防御框架（DFAC），可以有效降低系统运行处理的计算量和内存占用率，提高系统应对基于虚拟主机的DoS放大攻击的能力。

目录

封面

中文摘要

英文摘要

目录

第1章 绪论

1.1课题研究的背景和意义

1.2国内外研究现状

1.3本文主要研究内容

1.4本文章节安排

第2章 IPv6多地址性与DoS攻击

2.1 IPv6协议简介

2.2 IPv6地址格式

2.3接口标识符的生成

2.4 IPv6过渡技术

2.5 IPv6多地址性

2.6本章小结

第3章 基于地址特征分类的防御框架设计

3.1引言

3.2特征分类

3.3检测与防御流程

3.4攻击判定

3.5本章小结

第4章 基于相似度的DoS/DDoS异常检测

4.1引言

4.2 HTTP Flood攻击

4.3基于相似度的DoS/DDoS异常检测

4.4判定模块运行流程

4.5本章小结

第5章 系统测试与结果分析

5.1原型系统

5.2测试环境

5.3测试方案和测试结果

5.4本章小结

结论

参考文献

攻读硕士学位期间发表的论文及其它成果

声明

致谢