基于DPDK的高性能DDoS攻击防御系统设计与实现

摘要

网络技术的迅速发展给社会和人们生活带来了极大的便捷，但同时也使得DDoS攻击数量和规模迅速扩大，传统的DDoS攻击防御方案越来越难以有效应对。论文通过分析发现当前DDoS攻击呈现大流量、潮汐性、差异性和广泛性的特点，并在此基础上研究了目前DDoS攻击常见的防御方式、流量清洗技术、数据包处理技术和DDoS攻击防御系统部署方式四个方面的国内外研究现状，提出一种基于DPDK的高性能DDoS攻击防御系统。主要工作和创新点包括以下四个方面:
　　(1)针对当前DDoS攻击态势提出一种基于DPDK的高性能DDoS攻击防御系统，主要包括数据包检测、流量清洗和管理中心三个模块。利用数据包检测模块对网络链路中的流量进行检测，若发现DDoS攻击则通过告警日志上报管理中心模块，管理中心模块收到告警日志后下发流量清洗指令到流量清洗模块，由流量清洗模块对链路流量进行引流，然后进行一系列流量清洗和过滤操作，最后将流量回注到原链路中。
　　(2)在数据包检测模块中，论文利用DPDK的快速包处理特性，将DPDK应用于数据包捕获过程，并且扩展了DPDK数据包捕获程序的功能，加入数据包识别、分类以及吞吐率计算过程，通过实时吞吐率检测对吞吐率超过防御阈值的情况上报告警信息到管理中心。测试结果表明采用DPDK方式相比传统方式在丢包率和时延等性能上有较大提升。
　　(3)在流量清洗模块中，论文利用特征过滤、虚假源认证、黑名单过滤和智能限速这四个主要步骤进行攻击数据包过滤。同样利用DPDK捕获引流来的数据包，然后对数据包捕获程序进行扩展，加入上述流量清洗过程。其中在特征过滤步骤中，论文提出利用解析数据包的源端口字段特征来过滤利用特定端口发起的UDP反射放大攻击;在虚假源认证步骤中，论文提出一种改进的Counting Bloom Filter算法——HCBF(High-Performance Counting Bloom Filter)算法进行虚假源地址识别，过滤利用伪造源地址发起的DDoS攻击。测试结果表明HCBF算法相比传统虚假源地址识别算法在漏报率和误报率等性能方面有较大提升。
　　(4)针对受攻击端单一的DDoS攻击防御系统难以应对当前大流量DDoS攻击的问题，论文提出在全国各省骨干网节点上部署本系统的数据包检测和流量清洗模块，并由统一的管理中心模块进行管理，从而实现在近DDoS攻击源端进行分布式的防御，以减轻受攻击端防御系统的压力并且提升防御性能。

目录

声明

致谢

摘要

1．1课题研究背景及意义

1．2国内外研究现状

1．2．1 流量清洗技术国内外研究现状

1．2．2数据包处理国内外研究现状

1．2．3 DDoS攻击防御系统部署国内外研究现状

1．2．4国内外研究现状小结

1．3论文研究内容

1．4论文结构

1．5本章小结

2基于DPDK的DDoS攻击防御技术理论基础

2．1 DDoS攻击介绍

2．1．1 DDoS攻击原理

2．1．2 DDoS攻击分类

2．2 DDoS攻击防御

2．3系统近源部署

2．4 DPDK

2．4．1 DPDK架构

2．4．2 DPDK数据包处理加速原理

2．5本章小结

3基于DPDK的DDoS攻击防御系统方案设计

3．1系统需求分析

3．1．1功能性需求

3．1．2非功能性需求

3．2系统总体设计

3．3系统详细设计

3．3．1数据包检测模块设计

3．3．2流量清洗模块设计

3．3．3管理中心模块设计

3．4本章小结

4基于DPDK的DDoS攻击防御系统实现

4．1数据包检测模块实现

4．1．1流量采集部分

4．1．2流量检测部分

4．2流量清洗模块实现

4．3管理中心模块实现

4．4系统部署实现

4．5本章小结

5基于DPDK的DDoS攻击防御系统测试

5．1测试方案

5．2测试环境

5．2．1系统环境配置

5．2．2 DPDK环境配置

5．3测试结果

5．4本章小结

6结论与展望

6．1 结论

6．2展望

参考文献

作者简历及攻读硕士／博士学位期间取得的研究成果

学位论文数据集