Ipv6網絡中DDoS攻擊源回溯研究.pdf

1、隨著互聯(lián)網的不斷發(fā)展，以IPv4為基礎的互聯(lián)網越來越不能滿足人們的需求，其升級和過渡到以IPv6為核心協(xié)議的下一代互聯(lián)網成為歷史的必然。雖然IPv6協(xié)議在制定時對IPv4網絡中的安全問題進行了考慮，并使用IPSec協(xié)議作為其內置安全架構，但分布式拒絕服務(DDoS)攻擊等網絡安全威脅仍存在于IPv6網絡中。DDoS攻擊源回溯對從源頭阻斷攻擊流量、減小受害者損失具有重要意義。傳統(tǒng)的DDoS攻擊源回溯策略是針對IPv4網絡提出的，由于IPv

2、6協(xié)議變化較大，這些回溯策略無法直接應用于IPv6網絡。
　　 本文對IPv6網絡安全以及IPv6網絡中的DDoS攻擊進行了分析。在對比各種IP回溯策略優(yōu)缺點的基礎上，選擇確定性包標記(DPM)算法，并結合IPv6協(xié)議的特點，針對DPM算法可導致路由器過載的缺陷，提出了IPv6中基于流的DPM算法。通過編程擴展NS2，在NS2模擬環(huán)境中實現(xiàn)IPv6中基于流的DPM算法，并結合模擬結果對算法性能進行了分析。
　　 通過模擬

3、結果和算法性能分析可知，IPv6中基于流的DPM算法可以追蹤大量的同時發(fā)起攻擊的DDoS攻擊源。由于該算法可以進行事后追蹤，對起初未被注意到的攻擊源也可進行追蹤。此外，該算法避免了其他DPM算法的假陽率問題，并且只要較少的數(shù)據(jù)包就可完成攻擊入口地址的重構收斂。IPv6中基于流的DPM算法易于在現(xiàn)有路由器系統(tǒng)架構中實施，并且不會造成網絡設施的過載。雖然基于流的DPM算法的初衷是回溯IPv6網絡中的DDoS攻擊源，但其也可被用來過濾IPv6