基于终端防DDOS攻击的研究

针对DDoS源地址欺骗问题,提出了基于终端的防DDoS攻击技术,即在终端对发送包的源地址进行检查,从而达到杜绝本机成为傀儡机的可能,进而达到从源端控制DDoS攻击的目的.该技术与以往通过检查本机接收包信息或检查网关路由器发出包信息以阻止DDoS攻击的方法相比,检测效果更好,网络通信效率更高.该技术的核心思想是破坏DDoS攻击链中的傀儡层.此外,对于用实际IP地址进行DDoS攻击的情况,也提出有益的解决方案.

TCP/IP协议的安全缺陷可能导致的网络攻击

本文介绍了由于TCP/IP协议的安全缺陷可能导致的源地址欺骗或IP欺骗、源路由选择欺骗、路由选择协议攻击、鉴别攻击、TCP序列号欺骗、TCPSYN攻击等网络攻击。

一种基于责任域的安全路由体系

为了解决前缀劫持、路由伪造和源地址欺骗问题,设计了一种路由体系——基于责任域的安全路由体系(accountability realm based secure routing architecture,简称Arbra).首先,提出了自治系统到责任域的映射方法和基于责任域的两级路由结构,责任域是具有独立管理主体的网络,也是Arbra网络拓扑的基本元素,因为它为内部用户的网络行为负责,所以称做责任域;其次,建立了基于责任域的路由体系设计框架,主要包括混合寻址方案、核心路由协议、标签映射协议、分组转发流程和公钥管理机制等研究内容;最后,比较了Arbra和其他著名路由结构(IPv4/v6,LISP,AIP)的异同,分析了Arbra的安全性、可扩展性、通信性能和部署代价.研究结果表明:(1)Arbra具有的分布式信任模型,不仅有利于抵御前缀劫持、路由伪造和源地址欺骗攻击,而且还给许多其他网络安全问题的解决奠定了基础;(2)Arbra具有优良的可扩展性,路由表的规模较小;(3)Arbra具有合理的通信性能和部署代价.该研究成果可以看做是以网络安全为视角对未来信息网络体系结构的有益探索.

实现IP over ATM网络安全

IPoverATM网络是目前的一个研究课题。为了在ATM网上实现IP传输,人们提出了一些新的协议,但这些协议本身的安全性还没有进行深入地了解和验证。该文讨论了“经典IPoverATM”网络中存在的一些安全问题及其解决方案,提出了基于交换机的配置方法和对ATMARP服务的扩展。

URPF技术在网络路由中的应用

随着我国信息化社会的发展,网络已经普及到千家万户,但是我国网络安全问题却不容乐观,网络遭受攻击的事件屡屡发生。在互联网中,路由就是交通枢纽,是最容易被网络攻击所利用的。路由在工作中转发来自客户端的数据包时并不对数据包源地址的合法性进行审核,这样就给了基于源地址的攻击机会,本文主要探讨如何利用URPF技术来减缓或抑制基于源地址欺骗的攻击行为,从而提高网络的安全性。