● 摘要
随着Internet的日益普及以及商务应用的逐渐丰富,网络的安全性已经直接影响着Internet发展的前景。人们纷纷开发出各种安全措施,象防火墙、入侵检测系统等来加强网络安全。然而这些系统又成为黑客们的首要进攻目标,拒绝服务(DoS)攻击或分布式拒绝服务(DDOS)攻击因其手段简单而迅速,有很强的隐蔽性,能够立即取得非常明显的效果而成为一种危害很大的攻击手段。通常,攻击者通过控制数量巨大的攻击源发送无用数据来发动分布式拒绝服务攻击,被攻击者的网络服务因为主机或网络资源被消耗完而崩溃。如今攻击者通过流行操作系统的漏洞在非常多的计算机上传播蠕虫病毒来发动攻击,从而使得分布式拒绝服务攻击的危害更加巨大。 本文分析了DDOS防御所面临的挑战,并通过对现有防御方法的学习与研究,针对DDOS攻击的特点,对多种DDOS攻击采取了相应的防御措施,在防火墙上实现了一个商用的抗拒绝服务攻击的系统。本文具体做了以下工作: (1)总结分析各种DDOS攻击的特征,并采取相应的防护手段。(2)对于洪流攻击,引入IP节点的设计概念,通过设置阈值和可疑流量来识别是否发生洪流攻击。(3)设计包过滤模块,可以针对报文的源IP地址、目的IP地址、源端口和目的端口的组合进行过滤。(4)告警信息的预处理,防止受害的主机发出重复的告警信息。(5)应用层协议深度检测处理。 最后部分给出了模块在防御DDOS攻击所得到的测试数据。系统的实验结果表明系统在防御DDOS攻击的有效性,而且响应速度较快。
相关内容
相关标签