標題: 分散式阻斷攻擊防禦機制之研發與設計
Designing Protection Mechanisms against DDOS Attacks
作者: 謝續平
SHIEH SHIUH-PYNG
國立交通大學資訊工程學系(所)
關鍵字: 網路安全;入侵偵測以及防禦;分散式阻斷攻擊;偽造網路位址;攻擊來源追蹤技術;Network Security;Intrusion Detection and Prevention;DistributionDenial-of-Service (DDoS) Attacks;IP Spoofing;IP Traceback.
公開日期: 2006
摘要: 隨著電腦網路技術的不斷進展,人們的日常生活和電腦網路產生了密切的關聯,同時,網 路攻擊也成了一個值得注意的議題。近年來,分散式阻斷攻擊成了諸多網路攻擊事件中最引人 注目的焦點。攻擊者藉由入侵眾多安全防護較薄弱的電腦系統,進而利用這些被入侵的系統對 網路伺服器進行阻斷式攻擊。在攻擊期間,該網路伺服器的使用者將感受到明顯的網路延遲、 大量的封包遺失,或根本無法與伺服器建立網路連線,攻擊者據此可輕易達到其阻斷服務之效 果。反之,要抵抗或偵測這類型的網路攻擊事件是非常困難的,其主要原因來自於網路上大量 的防護層級較低的電腦、偽造網路位址的使用、攻擊封包與合法封包間的高相似度以及分散式 網路管理所造成的困難。 本計畫將著眼於分散式阻斷攻擊防禦機制之設計。對於該類型網路攻擊的對策,我們擬從 三個不同的角度切入:追?攻擊者的技術、受害者端的防禦以及攻擊者端的防禦。為了要嚇阻 攻擊者持續進行攻擊,在本計畫的第一階段將提出一可行之追?攻擊者的技術。第二階段將提 出一受害者端的防禦系統,用來偵測偽造來源位址之網路封包。由於分散式阻斷攻擊的攻擊流 量主要由這類型的封包組成,因此,我們可以藉由辨認並阻?偽造來源位址之網路封包來達成 過濾攻擊封包的目的,進而維護網路伺服器繼續提供服務的能力。另外,由於攻擊者可以任意 偽造來源位址,受害者無法辨認攻擊封包的來源,而攻擊者也藉此來降低被發現的風險。第三 階段將提出一個可以將攻擊封包限制於攻擊者端網路的防禦技術,以阻止攻擊封包進入網際網 路,進而減少因攻擊流量而造成網路雍塞之情形。最後,再將受害者端防禦系統、攻擊者端防 禦系統以及攻擊來源追蹤技術整合起來,有效阻絕網路攻擊。
官方說明文件#: NSC95-2221-E009-095-MY3
URI: http://hdl.handle.net/11536/89870
https://www.grb.gov.tw/search/planDetail?id=1308972&docId=241845
Appears in Collections:Research Plans