基于SDN的UDP反射攻击响应方案

针对字符发生器协议、域名系统协议、网络时钟协议、简单网络管理协议、简单服务发现协议这5种类型的用户数据报协议(UDP)反射攻击放大器,提出基于入侵检测系统(IDS)的UDP反射攻击响应方案。在定位到反射攻击放大器的前提下,结合网络边界的软件定义网络技术,采用基于OpenFlow流表的响应规则对控制命令报文进行过滤,从而阻止UDP反射攻击。在中国教育和科研计算机网南京主节点的网络边界上的测试结果验证了该响应方案的可操作性和有效性。

基于ACL的UDP反射攻击拦截

为了对用户数据报协议(UDP)反射攻击进行安全响应,设计并实现了一种基于路由器访问控制列表(ACL)在网络边界对UDP反射攻击进行拦截的方法,并在中国教育与科研计算机网(CERNET)江苏省网边界对字符发生器协议(CHARGEN)和简单网络管理协议V2版(SNMPv2)两种协议类型的UDP反射攻击进行了拦截实验.对实验数据进行的分析表明:该方法可以阻止这2种UDP反射攻击,且对控制命令的拦截比对攻击流量的拦截更加有效.对经过较长时间拦截后放大器攻击能力的恢复过程进行的观测表明:拦截时间的长短对放大器攻击强度的恢复的影响不明显,大部分放大器均可在短时间内恢复原有的攻击能力,从侧面证实了反射攻击的控制器全部位于实验网络之外.

分布式DNS反射DDoS攻击检测及控制技术

分布式DNS反射DDoS攻击已经成为拒绝服务攻击的主要形式之一,传统的基于网络流量统计分析和网络流量控制技术已经不能满足防护需求。提出了基于生存时间值(TTL)智能研判的DNS反射攻击检测技术,能够准确发现伪造源IP地址分组;基于多系统融合的伪造源地址溯源阻断技术,从源头上阻断攻击流量流入网络。

SSDP协议反射型DDoS攻击原理和防范

DDoS攻击一直是信息系统安全的主要威胁,本文针对当前兴起的SSDP协议反射型DDoS攻击,详细阐述了其攻击原理,基于对其攻击原理的分析,针对性地提出了防范此种攻击的相关措施,以期为当前的网络安全乃至国家安全提供一些有益的建议和帮助,同时也期望能够推动国内对这一问题的广泛关注和进一步认识。

反射放大型DDOS攻击资源分析及其治理建议

反射放大DDOS攻击是黑客利用互联网上的威胁资源向被攻击对象发送大量垃圾数据,造成被攻击对象网络拥塞,无法及时响应普通用户的请求。本文针对该类型攻击难以防护的痛点,通过对2018年监测到的江西省内反射放大攻击资源进行分析,探索防护此类攻击的措施,以便为当前的ddos攻击防护提供一些有用建议。

基于分布式反射拒绝服务攻击的源追踪技术

拒绝服务攻击已经严重地影响了整个网络服务。目前很多研究人员正在致力于研究各种防范该攻击的方法。分析了拒绝服务攻击形式,探讨了目前用于防止这些攻击的手段和方法,指出了这些方法所存在的问题,提出了一种针对分布式反射拒绝服务攻击的新的源追踪技术。

基于蜜罐的反射攻击溯源

DDoS反射攻击因其隐匿性极佳,已成为互联网常见攻击手段。针对DDoS溯源依赖外部资源过多导致溯源难以实现的问题,本文提出了一种基于蜜罐流量识别的新方法,以发现反射器背后的控制者。经过实践打磨,该方法能够找到反射器背后的控制源,让攻击链达到可回溯状态,从而找到真正的攻击者。

基于SSDP的物联网DDoS反射放大攻击及防御实验

针对反射放大型DDoS所带来的网络安全问题,提出一种基于SSDP的物联网DDoS反射放大攻击实验方案。该方案以个人电脑、移动手机、电视、网络机顶盒等设备组成的智能家居物联网作为实验环境,通过用Python进行Socket编程的方法实现对物联网环境中攻击与防御设备的嗅探。通过开发基于SSDP的物联网DDoS反射放大攻击实验软件,实现对家居物联网设备及互联网中服务器的DDoS反射放大攻击,在此基础上分析SSDP协议存在的安全漏洞并提出改进方案及防御策略。该方案具有安全可控、操作便捷和实现复杂度低等优点,可广泛应用于物联网、网络工程等专业课程教学中。

DDoS放大攻击原理及防护

分布式拒绝服务攻击(DDoS)是一种攻击强度大、危害比较严重的网络攻击。DDoS放大攻击利用放大器对网络流量具有放大作用的技术,向被攻击目标发送大量的网络数据包,造成被攻击的目标网络资源和带宽被耗尽,使得正常的请求无法得到及时有效的响应。简单介绍DDoS放大攻击的原理,分析DDoS放大攻击的防护方法,从攻击源头、放大器、被攻击目标等三个方面采取防护措施,从而达到比较有效的防护效果。

网络攻击源隐藏技术研究

网络攻击者为了掩盖其攻击行为会采取多种技术措施,其中最核心的是网络攻击源隐藏技术。研究了现有的网络攻击源隐藏技术,包括网络代理、反射攻击、僵尸网络和跳板等,并从不同方面对它们进行了比较分析。最后给出了结论和研究展望。

基于Scapy的DNS反射放大攻击及防御

针对DNS协议的攻击方法很多,如DNS欺骗、DNS隐蔽信道、DNS DDOS攻击、DNS反射放大攻击以及恶意DGA域名等。本文主要讨论了DNS反射放大攻击的原理、基于Scapy程序进行DNS协议漏洞利用,给出防范方法。

DDOS攻击与追踪破解技术研究

利用僵尸网络实施的DDOS攻击对我国互联网安全构成严重威胁,海量僵尸程序会窃取用户计算机中的敏感信息,对个人信息安全也造成严重危害。研究表明,目前DDOS攻击的主要趋势是利用慢速攻击对互联网业务系统实施精准打击,利用物联网反射攻击对目标网络发起大流量冲击。在DDOS攻击检测方面,基于DNS流量的攻击检测技术可以全面刻画僵尸主机的分布状况,阻断僵尸主机与控制服务器的连接通道是目前最为有效的检测技术,基于流量近源清洗和CDN加速的防御措施是现阶段最为有效的DDOS攻击流量分流化解机制。提出了一种基于网络数据包捕获的DGA算法破解方法,应用这种方法可以快速定位DGA算法核心代码,进而提高DGA算法的破解效率。

基于认证的反射DDoS源追踪新方案研究

利用基于密钥集序列的消息认证码理论,以动态概率包标记和现代代数理论为基础,针对当前危害甚大的分布式反射拒绝服务攻击,提出了一种新的基于认证的源IP追踪方案。通过采用一种新的动态概率序列,既达到了较高的追踪收敛率,又能有效过滤掉攻击者伪造的垃圾数据包。采用基于密钥集序列的HMAC算法,对标记信息进行认证,防止攻击者修改已有的标记信息,达到较高的安全性和抗干扰性。

一种电子商务网站抵御分布式拒绝服务攻击的方案

本文首先介绍了分布式拒绝服务攻击(DDoS)的实施原理,进而分析了DDoS攻击对电子商务网站和DNS服务器的危害,最后提出了一种防御基于DNS放大DDoS攻击的方案。

DDoS放大攻击原理及防护方法

DDoS放大攻击是一种历史悠久而又威力强大的攻击技术。最早的放大拒绝服务攻击可以追溯到古老的Smurf攻击。现代的DDoS放大攻击能够对被攻击目标造成极大影响,甚至拖慢局部互联网的访问速度。本文将对各种DDoS放大攻击的原理和DDoS放大攻击的防护方法进行介绍。

基于DNS的杠杆攻击的原理研究与防护

DNS是互联网的基础,为互联网服务提供基本支撑,其安全问题对运营商有举足轻重的影响。随着信息网络安全的发展,互联网出现了一种新的分布式拒绝服务攻击方式:DNS杠杆攻击,这种攻击能利用DNS协议的漏洞产生大量虚假通信,对互联网构成重大威胁。文中给出了杠杆攻击基于的协议和造成的主要危害,研究了DNS杠杆攻击的原理,并提出防火墙、BCP38、DNS惩罚机制、RRL等4种防护策略。

基于流量分析发现未知UDP反射放大协议

近年来,DDOS攻击的频率和规模日益扩大,对网络安全造成了极大挑战。其中,UDP反射放大攻击因其攻击成本低、攻击流量巨大、难以追踪溯源等特征成为了黑客青睐的攻击手段。当前的过滤和防御策略大多来源于受攻击后的分析与复盘,面对层出不穷的新型UDP反射攻击存在一定的被动性和滞后性。文中提出了一种基于流量分析来发现存在UDP反射放大潜力的未公开协议的方法。该方法立足放大性和反射性这两个根本特征,从日常网络流量中筛选出符合反射放大特性的流量样本,然后通过重放攻击验证样本是否具备可重复性,记录符合条件的样本,用于对相关服务协议进行研究,最终成功发现新型未公开反射放大协议。用所提方法构建的检测程序,在实验环境和互联网中分别进行了准确率及处理速率测试,成功发现了多种反射放大协议,以积极主动的方式来防御可能出现的反射放大攻击。

IPv6下基于源地址验证的DRDoS攻击防御方案研究

在网络攻击日益泛滥的今天,分布式拒绝服务攻击带来的危害持续上升,其中最为典型的就是DRDoS攻击(分布式反射拒绝服务攻击),IPv6网络也面临这样的危险。为了应对DRDoS攻击带来的严峻安全形势,保障下一代互联网通信的健康安全,在IPv4接入网源地址验证的基础上进行了改进。结合IPv6网络特点实现动态过滤,引入域内攻击测试服务器对数据包源地址进行验证。实验结果表明,该方案能有效识别伪造源地址的数据包,进而实现对DDRoS攻击的有效防御。

DRDoS的威力——分布式反映拒绝服务攻击

Dos(Denial of service,拒绝服务)攻击是网上比较常见的攻击方式，其目的是使计算机或网络无法提供正常的服务；DDOS（Distributed reflection denial of service,分布式拒绝服务）攻击则更进一步；DRDos(Distributed reflection Denial of service,分布式反射拒绝服务)攻击由于其“反射”的特点更具威力……

基于口令的认证密钥协商协议的安全分析与改进

对基于口令的标准模型下可证明安全的认证密钥协商协议进行安全分析,指出该协议易受反射攻击。同时给出了一个改进方案,该方案不仅弥补了原方案的缺陷,而且改善了协议的性能。最后,基于DDH假设,在标准模型下证明了协议的安全性。结果表明,改进后的协议还具有完美前向安全特性。