论文部分内容阅读
随着计算机网络技术的迅速发展,网络攻击手段呈现多元化、复杂化、智能化的趋势,网络的安全问题日益突出,僵尸网络、拒绝式服务攻击(DDos)等安全问题时有爆发。这些安全问题中的恶意流量不仅仅浪费Internet的带宽,也给Internet用户带来了巨大的损失。为了解决这些安全问题,出现了很多的技术,例如防火墙、IDS等。通常,恶意流量过滤都是通过防火墙来实现的,防火墙位于被管网络的边界上,所有的流量必须经过防火墙才能出入,这要求防火墙有相当高硬件和软件条件。事实上恶意流量并不是大量而且稳定存在于网络中,所以不需要将所有的恶意的和非恶意的流茸都经由防火墙的过滤系统过滤一遍再放回,对那些监测到的恶意流量,可以直接在网络层将其路由到一台指定的主机上,然后通过该主机的过滤系统进行过滤。
论文研究一种类似Sinkhole技术的基于BGP协议的流量过滤系统,该系统运行在被管网络的边界网上,通过BGP协议与边界网路由器进行路由信息交换。通过这些路由信息的交换,该系统可以使得边界网路由器改变自己的路由表,从而将攻击流量引导至本系统中。在攻击流量被引导至本系统后,本系统对该流量进行进一步的过滤,将恶意流量过滤,而将正常流量按照它原来的方向转发给相应的边界网路由器。
论文首先研究了Sinkhole技术,包括Sinkhole的关键技术及其典型应用。之后,本论文对BGP协议的一些问题进行了相应的总结归纳,主要参考了相应的RFC。BGP协议可靠、稳定、灵活并且可扩展性强。因此,在ISP的边界网上大规模的采用BGP协议来进行外部网关路由信息交换。由于需要对攻击流量进行进一步的过滤,本论文还研究Linux下的Netfilter的过滤能力与过滤性能。
基于BGP协议的流量过滤系统(Hydra系统)的设计与实现是本论文的工作重心。Hydra系统的设计与实现遵循软件工程的一般过程。首先需要对Hydra系统进行需求分析,这样可以了解系统所需要的功能。需求明确后即可对Hydra系统进行详细的设计,本论文主要的重点在阐述引流算法的设计上,因为这个是Hydra系统的核心部分。设计完毕后,进入代码实现的阶段,在这个阶段,最关键的地方在于对BGP路由表的存储。
论文最后对Ilydra系统进行了相关的测试,测试表明Hydra系统的引流模块能够正常的完成引流任务。对Hydra系统的综合测试表明它能很好的完成过滤任务。