拒绝服务攻击(Denial-of-Service Attack,DoS)以其攻击手法简单,攻击效果好而著称,其主要特点是根据目标服务器提供的服务类型,提供具有特定标记如SYN的高速攻击包,直接或者间接使数据包淹没目标系统,从而使得目标系统的资源被耗尽。目前已有大量的安全产品具有检测并过滤拒绝服务攻击攻击的功能,检测的原理基本上是匹配特定类型的大流量数据包。此外,目标服务器也会针对所提供服务的特定类型作相应的防御机制。本文研究了一种新型的拒绝服务攻击。此类攻击技术可以躲避传统的拒绝服务攻击的检测防御机制。此类攻击利用TCP/IP拥塞控制机制的漏洞,无需发送具有特定标记的数据包,并且无需与目标服务器建立直接或者间接的连接就可以达到拒绝服务攻击的效果,从而大幅降低目标服务器的输出流量。目标服务器由于未受到直接攻击,因此他的资源不会耗尽,自身难以察觉攻击。而且,该攻击数据流的平均速度可以控制在一个较低的水平。因此,基于大流量、包类型特征匹配的传统的拒绝服务攻击检测机制也就不起作用了。本文研究了TCP/IP协议中的拥塞控制机制,分析了拥塞控制机制之一的快速重传/恢复算法的漏洞。可以在每个周期内向网络注入数据包,使网络造成短暂的拥塞,那么经过该网络的所有合法TCP连接在周期内部都会丢少量包。根据快速重传/恢复算法,丢包的TCP连接会立即降低拥塞窗口,限制输出流量。通过每隔一个周期内使TCP服务器降低一次窗口,那么在经过一段时间后,TCP服务器的窗口会维持在一个较低的水平。处于这种状况下面的TCP连接非常容易进入超时重传的状态,这种状态更加严重限制输出流量。攻击者可以选择普通的UDP或者TCP数据包来使网络发生拥塞,并且构造一个“三相”的数据包波形来降低攻击流的平均速度。通过实验模拟,占用平均带宽较大的TCP服务器连接的输出流量可以降低85%以上。此外,本文从整个网络的视角,分析了攻击前后网络流量的波动性特征以及整体趋势等特征,利用小波分析方法的优点,研究并且实现了一种双层的基于小波分析的检测系统。该检测系统采用精确的数学方法,可以有效地检测出攻击的存在。本文还研究了随机早期检测(RED)队列管理机制的原理,研究了一种基于双流表的改进的RED防御系统。该防御系统有效地实现了对低速拒绝攻击的防御,通常情况下可以完全阻止攻击流。接下来,针对该防御系统的一些局限性,利用分布式拒绝服务攻击和随机过程的思想,提出了低速拒绝服务攻击的优化方案。通过实验模拟,发现分布式的低速拒绝服务攻击的效果非常好,完全躲避了防御系统。