IDC中DDoS与ARP攻击的预防与防御

摘要

随着计算机网络的迅速发展，网络攻击形式也变得越来越复杂、难于防御，尤其是DDoS攻击的出现，更是对网络安全造成巨大的威胁。如何构建一个高效的、完善的安全系统已成为安全管理领域的研究热点。 在研究和分析现有的安全机制的基础上，有针对性地指出当前研究的安全技术在防范与反应现在广泛流行的DDoS攻击时所体现的不足。一方面，由于该攻击利用正常的网络数据包实现对网络的攻击，因而通用的基于特征的误用检测技术无法实现对DDoS攻击的检测；另一方面，大部分DDoS攻击都会采用伪造源IP地址的技术，从而躲避基于异常模式监控工具的识别，且增加了网络设备或者通用的边界安全设备的安全配置难度。最后还提出了一种全新的基于QoS策略的DDoS防火墙防御模式。 同样的，ARP攻击也是大型局域网面临的最大威胁之一。利用此攻击进行网络监听是黑客们经常用的招数。论文介绍了ARP攻击的原理以及常见的攻击方式，防御方式，给出新型的了基于Cisco交换机的动态ARP检测构建方式。 由于研究的主要目的主要是针对IDC大型网络的需求，对此类攻击进行预防与防御。因此，分别通过2次实验，对2种攻击最常见攻击的行为进行分析，对防御工具性能进行测试与评价，提出了一系列IDC大型网络的防御系统构建措施，对实际应用有非常大的指导性作用。

目录

中国科学技术大学学位论文相关声明

摘要

绪论

第1部分DDoS攻击

第一章DDoS攻击概述

1、拒绝服务攻击

2、有关TCP协议的东西

3、服务器的缓冲区队列(Backlog Queue)

4 现今国内外DDoS研究重点以及防范方法

第二章拒绝服务攻击实验

第三章实验分析以及结论

1、现有防火墙功能

2、QoS概述

3、结合QoS的连接限制技术思路

第四章IDC网络应用建议

1 预防：

2 发现DDoS攻击

3 防御DDoS攻击

第二部分ARP攻击

第五章ARP攻击概述

1、ARP协议概述

2、ARP Spoofing攻击分析

3、ARP病毒分析

4、定位ARP攻击源头和防御方法

第六章ARP攻击实验

第七章实验结论

1.ARP风暴

2.ARP定位追踪

3.利用批处理文件开机自动运行，绑定本机与网关的IP/MAC，防御来自外部的ARP攻击

第八章IDC网络中的ARP预防与防御建议

1、传统预防与防御

2、动态ARP检测

第八章DDoS与ARP结合

结束语

参考文献

致谢

攻读学位期间发表的学术论文目录