论文部分内容阅读
拒绝服务攻击(DOS)是近年来很流行的一种网络攻击方式,在拒绝服务攻击基础上还发展起来了分布式拒绝服务攻击(DDOS),其破坏力更为巨大。由于DOS/DDOS攻击实施相对简单,隐蔽性较高,目前拒绝服务攻击已成为互联网上最大威胁。随着互联网的迅猛发展和广泛应用,统一的、基于IP的核心网络将会是网络融合和下一代网络(NGN)的必然选择。作为NGN核心的会话初始协议(SIP)在网络中的运用越来越广泛,其安全问题也越来越受到关注。作为当前网络中威胁最大的拒绝服务攻击,将是SIP安全问题研究中的一个重点和热点。同时,由于DOS和DDOS基本原理的类似性,针对SIP的拒绝服务攻击与防御研究同样也可扩展到DDOS领域。本文首先对SIP的基本知识进行简要介绍,作为文章研究的基本理论基础。然后描述传统拒绝服务攻击与防御的基本技术,根据拒绝服务攻击的基本思路和原理,结合SIP的特点,提出了从应用层发起的、针对SIP的拒绝服务攻击这一概念。参考如SYN Flood和反射攻击等典型拒绝服务攻击技术,设计了四种典型的针对SIP的拒绝服务攻击方式:INVITE请求消息洪泛,DNS查询请求洪泛,注册消息洪泛以及反射攻击,并结合模拟攻击实验,对SIP在面对拒绝服务攻击时的脆弱性进行了研究和分析。随后本文对针对SIP的拒绝服务防御机制进行研究。传统的拒绝服务防御机制可以从攻击源端,中间网络,受攻击端三个方面进行防御,但由于SIP是应用层协议,难于在SIP网络中回溯追踪拒绝服务攻击的源头,因此只能从SIP的消息传输机制和服务器消息处理机制两个角度进行防御。通过加密和身份认证技术,可以提高SIP协议的安全性,从消息传输机制的角度对SIP INVITE请求消息洪泛、注册消息洪泛等攻击进行防御。另一方面,作为被攻击端的服务器,研究对消息处理机制的三种不同改进方案:增加并行消息处理队列数目,采用非阻塞处理模式以及采用消息选择处理机制,并比较和分析三种方案下服务器对拒绝服务攻击的防御能力。最后,本文对针对SIP的拒绝服务攻击与防御的发展进行了简要分析,并对以后的研究方向和内容进行展望。