SYN Flood攻击的防御性研究

SYN Flood攻击是分布式拒绝服务攻击中流行的攻击方式之一。这种攻击主要是利用协议的漏洞,发送大量伪造的源IP地址的攻击报文,使目标系统资源耗尽。为了有效地防范SYN Flood的攻击,描述了几种防御SYN Flood攻击的措施,使合法用户正常访问网络资源。     

IP欺骗网络攻击及其对策应用研究

IP欺骗攻击就是攻击者通过监听网络会话,将某台非法主机的IP地址伪装成合法用户的IP地址,利用ISN序列号的猜测进行会话劫持,是一种常见的主动型网络攻击。本文将着重介绍IP欺骗攻击的技术原理、攻击步骤,并提出一种切实有效的防御措施。     

ARP欺骗攻击类型及防御方案

分析ARP原理以及欺骗网关攻击、仿冒网关攻击、“中间人”攻击和泛洪攻击4种常见的ARP欺骗攻击类型，结合电子政务网ARP防御的应用实例，提出一种采用DHCP服务器和交换机的DHCPRelayAgent、DHCPSnooping功能进行防御ARP欺骗攻击的方案。该方案能够防止接入终端任何ARP欺骗攻击，可以有效解决ARP欺骗攻击问题。     

高校机房IP地址的动态管理

阐述了高校机房为满足众多终端上网的要求，采用动态IP管理较之于静态管理在节约IP资源方面的优越性；介绍了用DHCP技术来实现主机配制从而实现IP动态管理的方法，并通过DHCP服务应用举例，指出了DHCP技术的优越性。     

工业以太网自动IP地址服务研究

工业以太网IP地址分配的关键问题是实现替换设备的IP地址自动分配.本文阐述了BOOTP和DHCP协议的工作原理并对其优缺点进行了深入分析,提出了一种建立在DHCP、BOOTP、RMON/SNMP协议基础上并适合于工业以太网自动IP地址分配和服务的解决方案.     

基于网络地址依赖DHCP服务的分析

网络中每台主机都要拥有一个不能重复的IP地址,才能与网中其他主机进行通信。主机的IP地址可由管理员手工设定,也可由网络上的DHCP服务器自动分配给主机。分析和探讨了DHCP服务的功能.     

基于DHCP的网络IP地址管理

计算机IP地址管理和维护是网络管理中很重要的一项工作,手工设置会使得网络管理员工作繁重且容易造成IP冲突．使得网络的灵活性、扩展性变差。基于DHCP的IP地址管理则是一种高效的IP分配方式。本文主要介绍了DHCP服务的原理,以及在Windows Server2003中的具体配置和一些管理方法。     

分布式拒绝服务攻击（DDoS）及防御对策

分布式拒绝服务攻击（（Distributed Denial of Service,DDoS）是目前对互联网的安全稳定性带来较大威胁的攻击形式之一。DDoS攻击利用足够数量的傀儡机产生数目巨大的攻击数据包对一个或多个目标实施DoS攻击,耗尽受害端的资源,造成服务器和网络瘫痪,无法提供正常服务,给网络服务商造成严重的损失。本文首先阐述了分布式拒绝服务形成的原理,分析了分布式拒绝服务攻击的安全防范措施,并提出了一种有效的DDoS攻击防御对策。     

DHCP中继代理在多子网网络中的应用

利用Windows 2000 Senrer提供的DHCP中继代理服务，可以为隶属于不同子网的计算机自动分配IP地址，从而简化了网络的设置与管理。该文在介绍DHCP工作原理的基础上，结合实际经验，对DHCP服务在多子网网络中的应用进行了深入的讨论。并在结果分析中讨论了DHCP服务器是如何确定并准确地将作用域中的地址分配给DHCP工作站中指定计算机的过程。     

基于聚集算法的DDoS数据流检测和处理

提出了一种应用于路由器的嵌入式DDoS(分布式拒绝服务攻击)防御算法。针对DDoS攻击的本质特征,对IP数据流进行轻量级协议分析,把IP数据流分为TCP、UDP和ICMP(网间控制报文协议)数据流,分别建立相应的聚集模式,根据该模式来检测DDoS聚集所占资源,采取相应的抑制措施过滤攻击数据包,从而保证合法数据流的正常转发。仿真试验证明该方法能准确地检测到DDoS攻击,处理效果很好。     

DHCP协议及DHCP RELAY

DHCP协议是网络组网中重要的主机自动获取IP地址协议,本文从DHCP的分配方式和协议封装来解析DHCP协议及DHCP中继配置     

网络IP欺骗技术研究

随着计算机技术的广泛使用和因特网的普及,人们越来越方便的使用网络进行交流,然而黑客利用IP欺骗技术伪造他人的IP地址阻碍正常的TCP通信,从而达到欺骗目标计算机的目的。本文介绍了IP技术的协议原理、IP伪装、IP网络攻击的原理、IP欺骗过程、IP欺骗攻击的防护手段。旨在为有效的防御和检测IP欺骗攻击提供科学理论依据。     

一种基于分组漏斗的DDoS防御机制

提出一种新的基于分组漏斗算法以防御DDoS攻击.该算法引入基于历史IP过滤(History-based IP Filtering)算法思想,并采用活动IP(AIP)表和等待矩阵(Waiting Ma-trix)两级过滤机制保护服务器.实验结果显示,该防御方案以牺牲少量随机合法用户的正常访问为代价,过滤掉大部分攻击包,从而确保大多数合法用户的正常访问.     

基于概率TTL终值的IP欺骗DDoS防御策略

利用概率TTL(Time To Live)终值改进IP包过滤技术,结合流连接密度FCD为时间序列的非参数CUSUM算法,可以有效解决IP欺骗DDoS攻击.本文提出一种IP欺骗DDoS的防御策略,并给出了防御模型及模型中主要模块的实现算法.     

局域网多VLAN环境下三层交换机DHCP中继代理的配置

在多VLAN环境中,如何使用一台DHCP服务器勾多VLAN分配IP地址是一个难点。本文通过一个实例,给出如何在相对复杂的网络拓朴结构中,使用三层交换机的中继代理功能与Windows Server 2003配置集中式DHCP服务的方法。     

刍议TCP/IP协议安全问题

TCP/IP协议现在用得非常广泛,但它本身也有一些安全上的缺陷。我描述了各种各样针对这些缺陷的攻击,包括序列号攻击,SYN Flood攻击。提出了一些对这些攻击的防御方法。     

内容中心网络中基于熵率的攻击防御方法

兴趣包泛洪攻击通过耗尽路由器中待定兴趣表的资源从而对内容中心网络(content centric networking, CCN)产生严重的影响,目前的攻击防御方法主要是基于待定兴趣表的异常状态统计,但这些方法容易对合法用户产生误判,导致用户体验变差,因此针对内容中心网络中检测和防御兴趣包泛洪攻击的问题,提出基于信息熵和熵率的攻击防御方法。利用CCN中用户请求内容名称的随机性检测兴趣包泛洪攻击,再通过信息熵的差值识别恶意名称前缀,并向相邻节点发送包含恶意名称前缀信息的通知包,从而进行协同防御。仿真结果表明,与传统防御方法相比,在尽早检测出攻击的前提下,该方案能将突发流与攻击流进行区分,并快速抑制恶意兴趣包的转发,有效减少网络攻击造成的影响。     

基于StackSF的DDoS攻击和IP欺骗新型防御机制

针对互联网上的主机正面临着IP欺骗和大规模分布式拒绝服务(DDoS)攻击威胁,提出一种新的防御机制——StackSF.该机制不同于以往的方法,它是通过数据包标记和临界过滤器分析每个数据包的信息内容,过滤掉攻击数据包并检测出遭受欺骗的源IP地址.同时,还可以防御各种方式的IP欺骗的攻击.     

DHCP中继代理在网络仿真平台上的设计与实现

提出了一种基于网络仿真平台实现DHCP中继代理的设计方案。首先使用VMware构建网络仿真平台。接着利用Windows Server 2003的路由和远程访问服务、DHCP服务,实现不同子网之间的路由。并能为不同子网间客户机动态分配IP地址。最后,对该设计方案进行了仿真实验。实验表明该设计方案运行稳定、安全性较高、无需专用的路由设备,也无需多台DHCP服务器。且成本低廉、易于实现,是一个可以推向实用的设计方案。     

一种利用源地址信息的DDoS防御系统的设计与实现

DDOS攻击是目前最严重的一种网络攻击行为.传统的DDOS防御方法复杂低效,提出一种利用源IP地址和跳数信息进行DDOS攻击过滤的方法.并利用布隆过滤器(BF)技术设计和实现了一种DDOS防御系统.该系统部署在目标端,在目标没有受到攻击时,学习并记录正常的访问源地址信息;而当攻击发生时,系统会保证正常的访问,而过滤大多数攻击报文,特别是不同类型的伪造IP的攻击报文.实验结果显示,该系统能过滤掉大多数对目标的DDOS攻击报文,且仅有很低的误报率.