基于伪造IP地址检测的轻量级DDoS防御方法

由于网络速率的不断增加和网络带宽的不断变大,采用维持连接状态的方式进行DDoS攻击防御变得越来越困难。通过检查伪造IP地址防御DDoS攻击是高速链路上防御DDoS攻击的一种有效方法。由WangHai-ning等人提出的HCF在训练完全的情况下对伪造IP地址具有较强的检测能力。但由于网络流量构成的显著变化,网络流量的动态性明显增强。在当前网络环境下的HCF很难训练完全,从而使得HCF在当前网络环境下的检测能力大幅降低。基于HCF使用的基本原理在其基础之上引入了主机安全指数的概念,并修改了其实现的数据结构,使其更加适应当前的网络环境。实验结果显示,该方法在当前网络环境下可以较好地防御基于伪造IP地址的DDoS攻击。同时与HCF相比,可以显著地降低误判率。

基于数据包标记的伪造IP DDoS攻击防御

提出一种基于数据包标记的伪造IP DDoS攻击防御方案,该方案在IP数据包中嵌入一个路径相关的16位标识,通过检测标识计数器临界值判断是否发生了DDoS攻击,对伪造地址的IP数据包进行过滤,达到对DDoS攻击进行有效防御的目的。仿真实验表明,该方案对于伪造的IP数据包具有较高的识别率。

基于神经网络的伪造IP拒绝服务攻击检测与过滤

通过对互联网行为的研究,提出了一种基于神经网络的伪造IP拒绝服务攻击检测与过滤技术.该技术在对互联网IP数据包路由路径的合理假设下,充分利用了神经网络的学习和表达能力,使用未发现攻击时的数据进行学习与检测,在发现攻击时利用神经网络进行过滤.通过分析过滤方法在一定程度上达到保护本地网络不受DDoS攻击侵害的目的.经分析和验证,该方法在攻击检测与过滤中具有一定效果.

伪造IP数据远程检测方法研究

分析了相同跳数情况下往返时延的分布情况,提出建立往返时延与C类IP地址之间的映射关系,综合数据流中的跳数与往返时延参数对IP地址的真实性进行判断,完成对伪造IP地址数据的检测。真实环境下的测试结果显示,该方法可以快速准确地完成对伪造IP数据的识别。

IP源地址伪造问题研究

IP源地址伪造是Internet上多种攻击的基础.分析了IP源地址伪造的原理,深入探讨了与IP源地址伪造相关的攻击,并简述了其后果,给出了防御IP源地址伪造的方法和措施.

基于DDoS安全区的伪造IP检测技术研究

DDoS攻击是种常见的网络攻击手段。伴随着物联网的发展,DDoS攻击越来越多地来自于物联网设备,特别是一些常见的像摄像头之类的简单设备。比如去年9月爆发的Mirai病毒感染事件,这是迄今为止最大的分布式拒绝服务(DDoS)攻击事件之一,有超过10万个设备被感染。此后,陆续监测到来自物联网设备的多次大型攻击。随着物联网设备的小型化,像无线路由器、IP摄像头等,这种攻击逐渐发展成为一种新的趋势。在DDoS攻击的初始阶段,检测出源IP是否被伪造是很重要的。文中提出了一种基于DDoS安全区的快速检测伪造IP的方法,目标是为了防御DDoS攻击。为了实现这一目标,评估了正常流量的TTL,作为可访问DDoS安全区的参考。最后,使用实际DDoS攻击案例进行验证分析,证明了该方法可以快速检测出伪造IP。

DDoS攻击中的IP源地址伪造协同处置方法

IP源地址伪造是多种DDoS攻击的基础,给安全事件的溯源和响应处置造成了很大困难。URPF主要用于防止基于源地址欺骗的网络攻击行为,边界过滤法用于对来自网络内部的数据包进行检查。基于基础电信运营企业网络,文章提出了基于URPF技术和边界过滤法的IP源地址伪造协同处置方法,可在网内和边界出口双重过滤伪造IP源地址。实验结果表明,该方法有效阻止了IP源地址伪造流量。某省电信骨干网大规模应用后,CNCERT监测数据证实骨干路由器已无本地伪造流量和跨域伪造流量出现。

利用X-Forwarded-For伪造客户端IP漏洞成因及防护

本文从Nginx到获取IP地址的普通手段进行了必要的介绍,从在对外的Nginx反向代理服务器上配置和遍历X-Forwarded-For头中的IP地址两个防范手段进行了说明,旨在促进互联网安全性的进一步提升。

IP地址伪造与防御机制研究

针对IP地址伪造已经对互联网安全性造成较大负面影响,首先对伪造IP地址与网络安全之间的关系进行分析,并对三种常见的IP地址伪造网络攻击类型进行分析,最后从端到端防护、路径过滤技术以及Traceback防护三个方面论述具体的IP地址伪造防御机制。

IP欺骗原理分析

IP欺骗是一种复合型网络攻击技术。它将IP地址伪造技术、TCPSYN洪流攻击技术与TCP序列号猜测技术融为一体,并且在攻击过程中利用了具有信任关系的主机间采取的基于地址的认证方式。论文在介绍TCP/IP相关知识的基础上对IP欺骗的原理进行了全面、详尽的分析。

序列检测在DDoS检测中的应用

针对DDoS攻击时的网络数据流分布规律发生变化的特点,提出利用序列检测的CUSUM方法来实时检测相关的变化点,得到DDoS攻击时统计规律的变化函数。经过实验证明,无参数的CUSUM方法是一种计算量小、无需设定复杂的参数、可对DDoS攻击进行实时分析,在较少的计算量下提高检测性能,是一种简单有效的入侵检测方法。

P2P僵尸网络跨域体系结构的构建与评估

针对现有P2P僵尸网络抗追踪性较差的问题,提出了一种P2P僵尸网络跨域体系结构(CRA).CRA将僵尸主机间的通信严格限制在不同的域之间,并引入IP伪造技术隐藏通信的源IP.考虑到监控全球互联网的不可行性以及IP溯源的困难性,现实中防御者将很难对CRA展开追踪.模拟实验结果表明,较之当前主流的P2P僵尸网络体系结构,CRA具备更好的抗追踪性和鲁棒性.

基于网络安全的TCP欺骗的研究

网络安全是网络建设研究的一个重要方面。对TCP欺骗进行了分析,并提出了降低TCP欺骗的方法。

被动式伪造IP数据流地理信息获取技术研究

伪造IP是当前互联网中攻击数据流普遍采用的身份隐藏手段,TCP/IP协议栈下难以获取伪造IP数据流的真实地理信息.针对不同路径传输数据流在跳数、往返时延和传输噪声3种重要测量参数的特点和规律,提出通过比较测量参数完成对不同路径的识别,在此基础上,基于模式匹配的方式找到与伪造lP数据流具有相同地理位置的非伪造数据流,通过查询非伪造IP数据流的源IP地址的地理位置即可获取伪造IP数据流的真实地理位置.利用分布于全球的不同被动测量点进行了测试,结果表明,该种方法可以有效地定位伪造IP数据流.

基于边界路由动态同步的互联网地址域内真实源地址验证方法

互联网架构设计之初,假设所有网络成员都是可信的,并没有充分考虑不可信网络成员带来的安全威胁。在很长一段时间内,路由器只根据报文的目的IP地址转发消息,不对报文的源IP地址的真实性进行验证。数据分组真实性验证的缺乏会导致报文头部信息被恶意篡改。提出了基于边界路由动态同步的互联网地址域内真实源地址验证方法。该机制基于前缀拓扑信息同步的方法构建过滤表,解决了路由不对称导致过滤表和实际路由状态不一致的问题,避免了验证过程中的假阳性和假阴性,实现了低开销、低时延的地址域内IP地址前缀级粒度的真实源地址验证。

基于内网扫描和内网检测的非法外联监控方案

本文分析了基于客户端Agent和基于内网扫描两大类非法外联监控的方法,并重点分析了基于内网扫描加外网检测方法的优缺点,针对基于内网扫描加外网检测方法的缺点提出了一种改进方案。

URPF配置及自动核查研究

IP源地址伪造是多种攻击的基础,给安全事件的定位和应急响应造成了很大困难。URPF的主要功能是防止基于源地址欺骗的网络攻击行为。本文介绍了URPF处理流程、现网实施技术方案和典型配置,并实现了设备URPF启用状态自动核查,从源头抑制攻击,有效提升了互联网安全防护水平。

互联网假冒源地址攻击的分类

假冒源地址攻击具有容易实施、不易被追溯的特点,这种攻击行为在互联网上日益猖獗。该文总结了互联网假冒源地址问题、探索其攻击的各种形式、分析其带来的危害。将假冒源地址攻击用3个基本要素描述为:攻击者A,攻击目标V和被假冒主机H。根据H与A和V的相对拓扑结构,将假冒源地址攻击归纳为在网外H0、攻击目标H1、攻击目标子网H2、攻击者子网H3、攻击者与攻击目标路径上H4及其他H56类。这将有助于清晰地理解真实地址问题,指导假冒源地址防御技术的设计,为建立保证源地址真实性的互联网体系结构奠定基础。

基于URPF和精确ACL的DRDoS协同处置方法研究

DRDoS攻击通过伪造地址来隐藏攻击源,具有放大效果显著、治理追溯困难的特点,给安全事件的溯源和响应处置造成了很大困难。本文给出一种基于URPF和精确ACL的DRDoS协同处置方法,实现全流程精确处置DRDoS攻击。实验结果表明,该方法有效地阻止了DRDoS攻击。在安徽联通骨干网大规模应用后,CNCERT的监测数据证实骨干路由器已无反射攻击流量出现。