基于Comware平台的防DDoS攻击系统的研究与实现

摘要

如今互联网飞速发展，越来越多的事务需要互联网来配合完成。随着用户需求的不断提高，用户逐渐侧注重于网络的安全性、稳定性和传输有效性。简单的在网络上传送报文信息已经不能满足用户的需求，用户希望网络有着更好的安全保证能力和服务能力。如今层出不穷的网络攻击将网络的性能极度恶化，尤其是分布式拒绝攻击(DDoS)，大量的网络异常流量使得被攻击者服务质量明显下降，甚至出现拒绝服务的情况，最终造成大量的损失。传统的网络安全技术研究重点主要放在入侵检测、防火墙或者防病毒软件上，但是这样传统的技术并不能减少网络中存在的异常流量。
　　本文旨在消除网络中存在的异常流量，根本上降低用户受到DDoS攻击的可能，基于某司Comware平台开发了可以部署在路由设备上的防DDoS攻击系统。本文主要研究内容是在Comware平台上实现BGP技术和Flow-Spec技术的结合，同时对DDoS的攻击原理、异常流量监测算法和流量控制算法做了研究。监测到异常流量后，路由设备可以根据由 Flow-Spec技术定义的流量处理策略对异常流量进行控制，同时利用BGP技术在多台建立了对等体关系的路由设备上部署流量处理策略，达到最大限度防御DDoS攻击的效果。本文研究内容如下：
　　1、对DDoS攻击进行了研究，包括攻击的原理和步骤。针对SYN Flooding攻击、UDP Flooding攻击以及smurf攻击的攻击原理和过程做了详细的分析。
　　2、对相关算法进行了介绍和研究。包括用于监测异常的CUSUM算法、由CUSUM算法改进的针对路由设备的M-CUSUM算法以及用于流量控制的令牌桶算法。
　　3、详细研究了系统实现所需要的关键技术。实现 Flow-Spec技术和BGP技术的结合是本系统的一大特点。BGP技术可以将多台路由设备组成对等体关系，利用对等体之间报文的交互实现流量处理策略在一台路由设备上部署同时在多台设备上应用的功能。Flow-Spec技术规定了流量处理策略的具体组成，包括匹配规则和流量处理动作，同时规定了流量处理策略编码实现过程中的具体细节。
　　4、最终将相关算法和技术用于实际，开发和实现了防DDoS攻击系统。在系统的整体开发中，流量监测模块用于异常流量的监测，命令行终端模块用于接收用户配置数据，Flow-Spec数据处理模块用于数据的具体处理以及下发芯片，BGP模块用于建立对等体关系实现流量处理策略在对等体中传输的功能。
　　本系统在应对DDoS攻击方面有着高效、机动的特点，同时防护策略部署的过程简单，最终达到的效果理想，因此有着很好的应用前景。

目录

声明

第一章 绪论

1.1 选题背景

1.2 研究现状

1.3 研究内容及其意义

1.4 论文的主要结构

1.5 本章小结

第二章 系统的总体分析

2.1 系统需求分析

2.2 系统方案设计

2.3 本章小结

第三章 DDoS攻击原理与相关算法分析

3.1 DDoS攻击原理

3.2 DDoS攻击基本特征

3.3 异常流量监测算法分析

3.4 令牌桶算法分析

3.5 本章小结

第四章 关键技术研究

4.1 BGP技术

4.2 Flow-Spec技术

4.3 本章小结

第五章 系统的详细设计与分析

5.1 开发平台简介

5.2 流量监测模块

5.3 命令行终端

5.4 BGP模块

5.5 Flow-Spec数据处理模块

5.6 本章小结

第六章 系统功能测试

6.1 测试方案设计

6.2 系统处理攻击报文

6.3 本章小结

第七章 总结与展望

致谢

参考文献

附录