基于校園網的分布式拒絕服務攻擊分析與防御方法.pdf

1、隨著Internet高速發(fā)展和高等院校校園數(shù)字化的普及，大學教育、教學以及高校的管理部門越來越多地依靠網絡傳遞信息，然而網絡的開放性與共享性容易使它受到外界的攻擊與破壞，信息的安全保密性受到嚴重影響。 對于高校校園網絡這種開放式的網絡平臺，具有高帶寬、多主機、用戶密集的特點，使其很容易遭到分布式拒絕服務(DistributeDenialofService，DDoS)攻擊，所以有必要對分布式拒絕服務攻擊進行檢測研究。DDoS通過發(fā)

2、送大量的網絡包來耗盡攻擊目標的計算和通信資源。一個攻擊者可以使用攻擊工具讓成千上萬的機器一起攻擊一個目標。如何防御DDoS攻擊成為普遍關心的問題，在分析了常見的拒絕服務攻擊的特征并結合校園網絡實際的基礎上，給出了一個可行的防御模型。模型分為三個部分：檢測攻擊(Detection)、反向追蹤識別攻擊源(Traceback)和弱化攻擊(Mitigation)，簡稱DTM模型。在模型中應用了模式匹配、異常檢測和系統(tǒng)資源監(jiān)控三種技術。模式匹配用

3、于檢測已知攻擊，異常檢測則能檢測未知攻擊，而系統(tǒng)資源監(jiān)控從資源的角度發(fā)現(xiàn)攻擊，三種技術配合使用，能夠及時發(fā)現(xiàn)攻擊，然后觸發(fā)追蹤機制。在檢測到DDoS攻擊之后使用BackscatterTraceback、黑洞路由和下水道技術三者的結合來快速而準確地定位攻擊源。檢測到攻擊后，黑洞路由用于吸收所有報文，而下水道路由則收集ICMPunreachable報文，用以分析找到攻擊源。為了將攻擊的影響降到最低，在充分分析了過濾技術之后，提出了采用三元組