共查询到10条相似文献,搜索用时 406 毫秒
1.
提出了一个新的包标记方案,分别部署于源端和目的端供应商,主要用来描绘DDoS攻击流特征。这些特征对于受害者过滤攻击非常有效。在过滤方面,提出了一个比率控制方案,通过限制攻击流并保持合法数据流不受影响来有效保护受害者。在经济方面,提供更好的安全措施可以作为ISP对客户的增值服务,因此也就更有积极性来部署。 相似文献
2.
提出了一个新的包标记方案,分别部署于源端和目的端供应商,主要用来描绘DDoS攻击流特征。这些特征对于受害者过滤攻击非常有效。在过滤方面,提出了一个比率控制方案,通过限制攻击流并保持合法数据流不受影响来有效保护受害者。在经济方面,提供更好的安全措施可以作为ISP对客户的增值服务,因此也就更有积极性来部署。 相似文献
3.
DDoS下的TCP洪流攻击及对策 总被引:6,自引:0,他引:6
分布式拒绝服务攻击(DDoS)是近年来出现的一种极具攻击力的Internet攻击手段,而TCP洪流攻击是其最主要的攻击方式之一。本文提出了一种针对TCP洪流攻击的本地攻击检测-过滤LADF机制,其部署于受害者及其上游ISP网络。该机制综合使用了一种基于信息熵的异常检测技术、SYN-cookie技术和“红名单”技术来检测攻击报文,最终结合新型防火墙技术,构建起一个完善的本地DDoS防御系统。 相似文献
4.
本文提出了一种基于盔甲的保护服务器不受DoS攻击的方案。该方案允许使用廉价的、高效的且容易使用的包过滤机制来过滤DoS流,不需要对消息进行加密处理,允许使用有效的路由以避免覆盖。 相似文献
5.
现有的DDoS防御方法大多是针对传统IPv4网络提出的,而且它们的防御实时性还有待进一步提高。针对这种情况,提出了一种IPv6环境下实时防御DDoS的新方法,其核心思想是首先在受害者自治系统内建立决策判据树,然后依据决策判据1和2对该树进行实时监控,如果发现攻击,就发送过滤消息通知有关实体在受害端和源端一起对攻击包进行过滤,从而保护受害者。实验证明,该方法能够在秒钟数量级检测到攻击并且对攻击包进行过滤,能有效地防范多个DDoS攻击源。另外,该方法还能准确地区分攻击流和高业务流,可以在不恢复攻击路径的情况下直接追踪到攻击源所在的自治系统(甚至是子网)。 相似文献
6.
针对DDoS攻击在ISP网络中的行为特点,提出了一种基于ISP网络的DDoS攻击协作防御方法.该方法从流量信息中构造出攻击会聚树,并根据攻击会聚树找出攻击数据流在ISP网络中的源,在源头对攻击数据流进行控制,从而达到在ISP网络内防御DDoS攻击的目的.该方法克服了在整个网络中防御DDoS攻击耗资巨大的缺点.实验结果表明,该方法能够快速有效了实现对DDoS攻击的防御. 相似文献
7.
8.
基于当前入侵检测技术在检测到攻击的情况下没有良好的反应策略过滤攻击流量这一问题,提出了基于攻击流量特征聚类的特征提取算法AFCAA(anomaly traffic character aggregation algorithm).针对一般DOS(denial ofservice)/DDOS(distributed denial ofservice)攻击流数据包头中具有某些相似的特性,AFCAA通过运用重心原理进行统计聚类,在一定的欧氏距离范围内对基于目的IP的攻击流样本相应字段进行聚类划分,动态地提取出攻击流的重心作为攻击的特征.然后,及时地把其特征传输给Net Filter,可以进行高效的过滤,并保护正常流量的传输.实验结果表明,对当前流行的多种拒绝服务攻击,应用AFCAA系统的软件路由器都能够较准确地获取异常流量的特征,从而有效地进行过滤,减少攻击包传播的危害,保护有限的网络资源. 相似文献
9.
一种改进的路由包标记追踪方案 总被引:2,自引:1,他引:1
提出了一种基于中国余数定理的包标记方案,对分布式拒绝服务攻击的来源进行追踪。该方案使用中国余数的唯一性来标记IP分块的特征,相对其他包标记算法运算简单,并且有效避免了Hash碰撞的发生,可以在不用假设受害者拥有网络拓扑信息的基础上,只需要较少的标记数据包在较短的时间内重构出攻击路径。该包标记方案在相对量较大的攻击中,能够有效减少重构路径的误报,且计算速度也较其他的包标记方案更快。仿真结果验证了该方案在路由追踪中的正确性和有效性。 相似文献
10.
提出一种改进的ICMP回溯方法。此方法是基于合作过滤机制的,采用合作过滤机制能够使产生的ICMP回溯包更有效并在尽可能靠近DDoS攻击源的地方过滤攻击包和保护合法包,改进后的ICMP方法对引发ITrace包的IP包从靠近攻击源的地方同步跟踪到受害者,提高了重构攻击路径的速度和准确性。 相似文献