• 工作总结
  • 工作计划
  • 心得体会
  • 述职报告
  • 事迹材料
  • 申请书
  • 作文大全
  • 读后感
  • 调查报告
  • 励志歌曲
  • 请假条
  • 创先争优
  • 毕业实习
  • 财神节
  • 高中主题
  • 小学一年
  • 名人名言
  • 财务工作
  • 小说/有
  • 承揽合同
  • 寒假计划
  • 外贸信函
  • 励志电影
  • 个人写作
  • 其它相关
  • 生活常识
  • 安全稳定
  • 心情短语
  • 爱情短信
  • 工会工作
  • 小学五年
  • 金融类工
  • 搞笑短信
  • 医务工作
  • 党团工作
  • 党校学习
  • 学习体会
  • 下半年工
  • 买卖合同
  • qq空间
  • 食品广告
  • 办公室工
  • 保险合同
  • 儿童英语
  • 软件下载
  • 广告合同
  • 服装广告
  • 学生会工
  • 文明礼仪
  • 农村工作
  • 人大政协
  • 创意广告
    • 您现在的位置:六七范文网 > 工会工作 > 正文

    【一种对于IP的DDoS攻击的拥塞控制机制】 tcp拥塞控制机制

    来源:六七范文网 时间:2019-04-10 04:56:33 点击:

      摘要:本文通过深入了解DDoS攻击的原理和实施过程,结合DDoS攻击检测方法的最新研究情况,对DDoS攻击检测技术进行系统的分析和研究,提出了基于回推机制的防御措施,最后,为网络入侵检测机制提出了一种新的思路。
      关键词:回推机制;攻击检测;DDoS攻击原理;防御
      中图分类号:TP311.52 文献标识码:A 文章编号:1007-9599 (2012) 15-0000-02
      1 引言
      目前,在Internet所面临的最大威胁中,DDoS攻击的日益增多,该攻击手段已逐渐引起全球各国的高度重视,人们通过不断努力研究,提出了一些可行的解决办法。
      所谓的DDoS攻击就是通过傀儡机向响应的目标发送大量的请求,最终将系统资源耗尽或网络形成拥塞,从而使网络不能响应正常用户的请求的过程。传统意义上解除方法是解除对傀儡机的控制,就是在路由器上进行控制,本文主要从基于IP拥塞控制来实现攻击防护。
      2 DDoS攻击理论
      2.1 DDoS攻击原理
      DDoS攻击是一种基于DoS攻击的分布式、协作的大规模攻击方式,它直接或间接通过互联网上其他受控主机攻击目标系统或者网络资源的可用性。一般而言,DDoS攻击架构为三层:攻击者(Client)、主控端(Master)、代理端(Daemon)和被攻击者(Victim),它利用受控主机向攻击目标发起攻击,具有威力更大、更难防御、更难追随的特征。
      2.2 DDoS攻击的对各种机制的防护评价标准
      通过对IP拥塞控制策略的研究发现,只要满足了下面的三个方面的条件就可以实现对DDoS有效攻击。
      (1)防护的特征设定是不是按照一定的规则;
      (2)流经的数据是否按照一定的规则进行;
      (3)对于不同的数据包,提供的服务是否按照不同的优先级进行设定;
      只要一个拥塞控制机制满足了以上三个条件,就基本具备了防护DDoS攻击的能力。
      3 DDoS攻击示意图
      如图所示,服务器用T表示,客户机用R表示,下面是来自网络内外的各种各样的攻击,黑的粗状的线路表示受到感染的流量经过的路线,细线表示正常业务经过的路径,如果缺少合理的攻击防护措施,图中R2-R5、R3-R6、R5-R8、 R6-R8、R8- T为粗线,说明业务中都存在着可疑流量,因此正常的业务很难到达目标服务器,即使业务量正常到达,由于最后阶段R8-T的拥塞,最终也导致大多数正常流量的包被丢弃。
      4 回推机制
      回推机制的思路
      回推机制,就是在判断数据包是否异常时候,通过该机制可以尽可能的找到异常的数据包,并丢弃数据包,为了实现这种效果就是利用聚合拥塞控制(Aggregation Congestion Control)以下称为ACC,其功能是识别拥塞的聚合流量,并在路由器端执行丢弃动作。聚合特征可以是“到特定主机或服务器的包”、“TCP SYN包”、“校验和错误的IP数据包”等等。图3说明了路由器上回推机制的工作流程,这里的输入队列表示了路由器的各个输入链路。
      首先,检查数据包是否匹配拥塞特征,满足条件,则将被检测的数据包送至输出队列,若不匹配,则送到限速器,再输入到匹配拥塞特征中判断是否拥塞,如果不拥塞则被送到输出队列中,限速器根据拥塞的程度,不断的更改限速器的参数,并及时通知后台进行不断的更新,最终决定数据包否被丢弃。数据包是否被丢弃不仅仅是看数据的优先级的高低,还要取决于当时流量的拥塞程度,如果正常流量过大时,也会出现丢包现象,数据被丢到回推进程中,只要数据拥塞,回推器中就不断的得到从限速器丢弃的数据包,只要攻击进行中,回推过程中就不断的得到丢弃包,当缓存不够时,就彻底丢弃数据包,如果没有攻击时,回推过程和限速器不需要采取特别的行动,限速将自动停止。
      5 结论
      基于IP的DDos 攻击的拥塞控制机制,回推机制是一种很有效的方法,在发生拥塞过程中,根据限速器的参数的不断更新设置,将一些可疑的数据按照一定的策略,实现数据的丢包,有效的降低了风险数据的入侵,但是不可避免的是考虑到队列缓存和有效带宽的影响,误把有效数据丢弃,这也是以后研究工作中需要注意的问题。
      参考文献:
      [1]P. R. Jelena Mirkovic。 Greg Prier。 “Attacking ddos at the source。” in 10th IEEE International Conference on Network Protocols。 Paris.France.November,2002.
      [2]L.Vicisano. L.Rizzo。 J.Crowcroft. TCP-like Congestion Control for Layered Multicast Data Transfer. In IEEE INFOCOM’98.Feb,1998.
      [3]罗万明,林闯,阎保平.TCP/IP拥塞控制研究[J].计算机学报,2001,24(1):1-18.
      [4]Nagel.J.: “On Packet Switches with Infinite Storage。”IEEE Trans。 on commun. vol. COM-35。pp. 435-438.April,1987.
      [5]A.K.Parekh。R.G.Gallager. A generalized processor sharing approach to flow control in integrated services networks: the single-node. IEEE/ACM Trans. Networking.1993.1(3): 344-357.
      [基金项目]电子科技大学成都学院科研基金
      [作者简介]王光斌(1976.10-),男,硕士生,研究方向为计算机辅助设计、网络与信息安全

    推荐访问:拥塞 机制 攻击 控制

    也许您还喜欢:

    最新范文