学位论文 > 优秀研究生学位论文题录展示

基于网络处理器的DDoS防御技术研究与实现

作 者: 贾凯恺
导 师: 秦志光
学 校: 电子科技大学
专 业: 信息安全
关键词: 分布式拒绝服务攻击 网络处理器 防御引擎 双机热备
分类号: TP393.08
类 型: 硕士论文
年 份: 2008年
下 载: 101次
引 用: 1次
阅 读: 论文下载
 

内容摘要


随着Internet技术的发展与应用,企业所面临的网络安全问题越来越复杂,安全威胁形势日益严峻,分布式拒绝服务(DDoS)攻击由于攻击简单、目前常见的攻击工具较多、容易达到目的、难于防止和追查,成为常见的攻击方式。传统的DDoS攻击防范手段已是捉襟见肘。具有网上交易业务或具有关键、绝密信息流通的企业及政府部门必须采取有效的安全机制和安全措施对服务网络及其关键的服务器进行保护,所以开发先进的防拒绝服务产品具有非常重要的意义。本文的工作主要包含以下内容:(1)提出了通用、自学习和可扩展的DDoS防御系统体系结构,此基础上研发防拒绝服务产品,该系统能对现在流行的拒绝服务攻击进行有效的检测和响应。DDoS防御系统是一个软硬件一体的专用网络安全设备,以透明的方式接入网络,对流经的DDoS攻击流量进行检测和拦截。系统以高性能网络处理器为硬件平台,分为DDoS防御引擎、蜜罐子系统和监控管理中心三部分。(2)在CAVIUM公司的网络处理器Octeon CN3120上设计了DDoS防御引擎,充分利用网络处理器CN3120双核处理网络数据包的高性能,通过对网络流量进行异常检测和分析,通过防御模块对攻击流量进行处理。其软件主要包括六个检测防御模块:静态特征防御,异常检测,SYN Flood防御,白名单提取,攻击目标定位,流量控制。(3)在DDoS防御引擎上设计和实现了通信模块,静态特征防御模块和基于SYN Cookie技术的SYN Flood攻击防御模块。通信模块负责与监控管理中心进行通信,接收监控管理中心发送的初始化信息和控制信息,发送各个检测防御模块的统计信息;静态特征防御模块负责阻拦一些特征明显且已知的DoS攻击如Land,Smurf,Ping Of Death,Nuke攻击;SYN Flood防御模块主要是针对目前最常见的拒绝服务攻击之一SYN Flood攻击,DDoS防御引擎主要使用改进的SYN Cookie算法对这种拒绝服务攻击进行检测和防御。该SYN Cookie技术不同于传统采用计算SYN和ACK字段差值并保存的方法,它使用RST字段和轮询队列淘汰方法。在自身安全性方面,DDoS防御引擎采用双机热备份技术避免单点失效,并使用失效开放策略一旦系统失效或异常,系统将对所有的流量开放,不做任何处理,避免成为网络进出瓶颈。

全文目录


中文摘要  4-6
Abstract  6-10
第一章 引言  10-14
  1.1 课题的背景及意义  10-11
  1.2 国内外研究现状  11-12
  1.3 作者主要工作  12-13
  1.4 论文章节安排  13-14
第二章 分布式拒绝服务攻击防御简介  14-28
  2.1 分布式拒绝服务攻击介绍  14-18
    2.1.1 分布式拒绝服务攻击的原理及分类  14-16
    2.1.2 典型DDOS 攻击研究  16-18
  2.2 DDoS 防御技术概述  18-22
    2.2.1 现有DDoS 防御技术研究  19-21
    2.2.2 现有防御技术存在的问题  21-22
  2.3 网络处理器介绍  22-23
    2.3.1 网络处理器概述  22-23
    2.3.2 主流网络处理器产品  23
  2.4 CAVIUM OCTEON 网络处理器介绍  23-27
    2.4.1 Octeon 硬件结构  24-26
      2.4.1.1 FPA 硬件单元  24-25
      2.4.1.2 PIP/IPD 硬件单元  25-26
    2.4.2 Octeon 软件模型  26-27
  2.5 小结  27-28
第三章 DDoS 防御系统体系结构设计  28-41
  3.1 概述  28
  3.2 DDoS 防御系统结构介绍  28-37
    3.2.1 监控管理中心  30-32
    3.2.2 蜜罐子系统  32-33
    3.2.3 DDoS 防御引擎  33-37
  3.3 DDoS 防御系统处理流程  37-38
  3.4 系统数据库设计  38-40
  3.5 小结  40-41
第四章 基于网络处理器的 DDoS 防御引擎设计与实现  41-66
  4.1 基于 Octeon 网络处理器的 DDoS 防御引擎需求  41-45
    4.1.1 DDoS 防御引擎整体需求  41-42
    4.1.2 静态特征防御需求  42-43
    4.1.3 SYN Flood 防御需求  43-45
  4.2 基于 Octeon 网络处理器的 DDoS 防御引擎设计与实现  45-65
    4.2.1 DDoS 防御引擎主调模块设计与实现  45
    4.2.2 防御引擎与监控管理中心通信设计  45-52
      4.2.2.1 DDoS 防御引擎至监控管理中心的通信  45-49
      4.2.2.2 监控管理中心至 DDoS 防御引擎的通信  49-52
    4.2.3 静态特征模块设计与实现  52-55
    4.2.4 SYN Flood 防御模块设计与实现  55-58
      4.2.4.1 SYN Flood 防御算法分析  55-57
      4.2.4.2 SYN Flood 防御模块设计与实现  57-58
    4.2.5 双机热备设计与实现  58-65
  4.3 小结  65-66
第五章 DDoS 防御引擎测试  66-73
  5.1 测试环境搭建  66-68
  5.2 静态特征模块测试  68-70
  5.3 SYN Flood 防御模块测试  70-72
  5.4 小结  72-73
第六章 结论  73-75
参考文献  75-78
致谢  78-79
攻读硕士研究生期间的研究成果  79-80

相似论文

  1. 基于自相似分析的流媒体DDoS攻击检测方法研究,TP393.08
  2. 基于VxWorks的嵌入式控制器的双机热备系统应用,TP273
  3. Hadoop分布式文件系统(HDFS)可靠性的研究与优化,TP316.4
  4. 容错计算机系统双机容错软件设计与实现,TP302.8
  5. 基于网络处理器的Web用户体验测量研究,TP393.09
  6. 文件备份系统软件的规划与实现,TP309.3
  7. 云安全技术在数据中心僵尸网络防护中的应用,TP393.08
  8. 多模式网络流量生成技术研究,TP393.06
  9. 基于IP地址相关性的DDoS攻击检测研究与实现,TP393.08
  10. 业务感知的互联网流量管理关键技术研究,TP393.06
  11. 网络入侵检测系统的关键技术研究与实践,TP393.08
  12. 业务感知的互联网流量管理关键技术研究,TP393.06
  13. 多网网关的高速串行接口与流量控制技术研究,TP393.05
  14. 基于图灵测试的SYN Flood攻击防御研究,TP393.08
  15. 治安警务信息系统的研究与完善,TP311.52
  16. 基于双机热备的高可用性呼叫中心的设计与实现,TN99
  17. 嫦娥卫星数据接收站监控与任务管理软件设计与实现,TN927.2
  18. 高端路由器POS接口卡与主控卡间通信协议的设计与实现,TP393.05
  19. 网络处理器及其处理单元相关技术的研究,TP393.05
  20. 基于边界网关的分布式拒绝服务攻击防御技术,TP393.08
  21. 基于Cavium平台的网络流分类系统的设计与实现,TP393.06

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com