论文部分内容阅读
DDoS攻击是当今互联网最严重的威胁之一。近几年UDP反射攻击已成为互联网上DDoS攻击的一个主要成分,对互联网的正常运行造成了严重的危害。本文的研究工作围绕UDP反射攻击的检测、评价与响应展开。在UDP反射攻击检测方面,基于放大器和流量放大的过程是危害的主体以及UDP反射攻击中的放大器均使用真实地址的事实,论文的检测工作将围绕互联网上参与反射攻击的放大器展开。论文首先分析了UDP反射攻击协议特点,介绍了最新的存在反射攻击潜能的18种服务协议。论文随后详细分析了18种服务协议中实际导致了互联网上反射攻击发生的CharGen、DNS、NTP、SNMP、SSDP反射攻击原理。在构造导致反射攻击发生的请求报文的基础上设计和实现了一个自适应放大器定位检测系统。该系统目前可以实现CharGen、DNS、TFTP、NTP、SNMP、SSDP六种放大器的定位检测,同时支持以添加的方式对新增放大器检测的支持。在设计和实现自适应放大器定位检测系统的基础上,论文通过实验确认了被管网(CERNET南京主节点网络)中不存在TFTP反射攻击行为。该实验首先利用部署在被管网边界的报文采集系统获取流入网内的TFTP请求报文,通过统计分析获得被管网中可能的TFTP服务器和其各自使用的文件名参数,最后利用自适应放大器定位检测系统对这些可能的TFTP服务器作进一步的定位检测。检测结果表明在检测时间段内被管网内部不存在TFTP放大器。基于自适应放大器定位检测系统,论文还在一个基于流记录的网管系统NBOS的支持下,建立了面向CERNET全网的放大器库。论文随后提出了一个基于BAF统计特征分析和稳定特征分析评价放大器的方法,将放大器分为轻微、关注、严重三种级别,以支持对放大器的分级响应。在UDP反射攻击响应方面,论文设计实现了一个基于SDN的UDP反射攻击响应系统,重点讨论了如何利用SDN技术实现对NTP和DNS两类反射攻击的响应方法。在一个部署在被管网边界的SDN系统-HYDRA的支持下进行的实测表明该方法可以有效地响应UDP反射攻击。这个结果表明基于SDN技术可以有效地控制UDP反射攻击。