基于路由器流量分析的DDoS反向追踪

提出了一种能够基于路由器流量分析的DDoS反向追踪方法.在DDoS攻击发生时,通过输入调试回溯到所有发往受害者流量的入口路由器,然后分析每个入口路由器流量中是否存在攻击流量,从而确定所有攻击流量入口路由器.文中给出了基于流量自相似的攻击流量检测算法,设计了基于蜜罐群的路由器攻击流量检测与追踪平台,并对该追踪方法进行了性能分析.结果表明,提出的反向追踪方法可以精确追踪到全部DDoS攻击流量的入口路由器.     

Cisco路由器安全技术研究

路由器技术的研究和应用在整个互联网络技术的研究和应用中占有核心地位 .文中通过介绍Cisco路由器安全技术的基本实现方法 ,讨论 Cisco路由器阻止各种常见的 DOS网络攻击     

网络入侵检测系统的拒绝服务攻击的检测与防御

针对网络入侵检测系统的拒绝服务攻击(DOS)具有难于检测与防御的特点，提出了一种新颖的检测与防御算法。该算法通过分析告警的频率与分散度来检测DOS攻击，并采用分阶段切换的方式将状态检测由正常模式转为紧急模式，丢弃不属于正常TCP会话的数据包，以实现对DOS的防御。性能分析和实验结果表明，该算法能够及时发现、防御DOS攻击，有效地阻止DOS攻击所造成的系统破坏。     

DOS攻击原理与防御策略研究

随着互联网应用的推广普及,威胁网络可靠运行的安全问题变得极为重要,本文通过介绍DOS攻击的概念、原理和分类,提出了针对整个系统的DOS攻击防范策略建议。     

黑客技术--分布式拒绝服务攻击工具分析

了解黑客知识已经是计算机用户的迫切需要，DOS攻击就是黑客常用的攻击方法。本主要介绍DOS的机理和常见的实施方法。     

DRDOS攻击及其防范

DOS攻击是一种常见、有效而简单的网络攻击技术,而且DOS攻击的手法也在不断发展,现已出现了威胁更大的DDOS和DRDOS。主要介绍了DDOS和DRDOS攻击的概念和原理,并提出了针对整个系统的防范对策。     

基于无效路由注入的网络攻击方法

近年来,网络路由的安全性问题越来越严峻。针对控制层路由的攻击方法逐渐被提出,如"数字大炮"、"前缀劫持"等。提出了一种新的网络控制层路由攻击方法——无效路由注入攻击;并通过实验对该种类型的攻击方法进行了测试。无效路由注入攻击的核心思想是在网络末端附加受控的软件路由器,通过与正常路由器建立路由协议邻居关系,宣告大量无效或者虚假的路由信息,造成网络中路由器由于大量路由更新而资源耗尽。实验结果表明,此种类型的攻击对网络中路由器或主机之间的通信造成了严重影响,会对经济产生难以估计的损失。     

利用主动回溯技术防御DOS攻击

在传统的对抗DOS攻击的回溯技术(Trace-back)基础上,利用主动网络的主动代码分配机制,提出了一种新的对抗DOS攻击的方法--主动回溯(ACTB).该方法通过逐跳回溯,逼近攻击源,在靠近攻击源处形成防护.实验结果表明,与现有的回溯技术相比,ACTB具有更高的安全性和灵活性.     

基于拥塞控制和资源调节的DDoS攻击防范策略

针对现有分布式拒绝服务攻击防范方法只能防范某种特定攻击的问题.提出一种通用的基于拥塞控制和资源调节的防范策略,该策略由路由器和被攻击目标端配合实施.路由器采用改进的基于聚集拥塞控制算法的回推,主要防范带宽耗尽型攻击;被攻击目标端采用资源调节,主要防范资源耗尽型攻击.通过分布式检测和过滤,该策略能有效防范包括带宽耗尽型和资源耗尽型在内的攻击.     

基于SDN的地震信息网络中DOS攻击研究

软件定义网络(SDN)近年来获得了巨大的发展势头。然而,在进行任何大规模部署之前,首先要了解这种新的网络架构所带来的安全问题。本文首先对基于SDN的地震信息网络架构进行分析,对其中潜在的安全性问题进行研究;随后,针对地震信息网络中,SDN控制器面临DOS攻击进行重点分析,介绍了两种SDN网络中常见的DOS攻击,并对基于SDN的地震信息网的抗DOS攻击防御方法进行探索;最后对基于SDN的地震信息网络安全方面未来的研究趋势进行展望。     

CMAD-XCP:一种防御XCP协议公平性攻击的协同机制

针对XCP(eXplicit Congestion Protocol)协议分析公平性攻击的方法和特性,提出一种协同式路由器监控机制CMAD-XCP(XCP with Cooperative Malicious Attacker Detection)。CMAD-XCP由核心路由器感知恶意攻击,由边缘路由器实施对恶意流的区分和惩罚。仿真结果表明,CMAD-XCP可以及时、有效地惩罚恶意流,保护XCP协议的公平带宽分配,同时有效避免不公平竞争导致的网络拥塞。     

防火墙入侵阻止功能的设计与实现

针对防火墙内嵌入侵阻止功能模块的研究,提出了2种不同的设计方案,方案1利用基于libipq库的netfilter的排队(QUEUE)动作以及snort_inline技术实现对攻击数据包的丢弃,方案2则是综合利用syncookies技术、netfilter的新模糊包速率匹配、PSD检测、U32检测技术并结合对防火墙内核改造来实现对主流拒绝服务攻击(DOS)攻击包的阻止;在综合比较的基础上,依据方案2完成了实验模块的设计与实现;攻击测试结果表明,该模块具备了较好地防御主流DOS攻击的能力。     

利用边界路由器实现校园网边界安全

本通过对边界路由器的功能和校园网面临的常见网络安全攻击进行分析。以此借助对边界路由器的配置和加强边界路由器自身的安全性来实现校园网络的边界安全。     

借助路由器防范网上的恶意攻击

除了ADSL拨号上网外，小区上网也是很普遍的方式。如果你采用的是小区上网，是否觉得路由器仅仅就是个路由器呢?其实不然，利用好你的路由器，还能够防范黑客的攻击。     

针对RED的LDoS攻击模型

针对随机早期检测(RED)算法的低速率拒绝服务攻击(LDoS)会导致路由器的缓冲队列长度出现严重震荡、使网络服务质量急剧下降的问题,分析了针对RED的LDoS攻击模型,并推理了高速率攻击脉冲使路由器缓冲队列迅速增加的过程,提出了攻击脉冲长度l和脉冲速率R的理论计算方法.对于一个示例场景,当采用大于瓶颈链路带宽的攻击脉冲时,400 ms左右的脉冲能够对网络性能造成很大影响.在NS2中的模拟实验证明了实验结果与理论预期的一致性,针对RED的LDoS攻击流能够使网络服务质量大幅度下降,并且攻击流具有较好的隐蔽性.     

Apache WEB Server安全配置和维护

主要针对三个安全缺陷进行讨论,包括：使用HTTP协议进行的拒绝服务攻击DOS(aenial of service)、3缓冲区溢出攻击以及被攻击者获得root权限。详细介绍如何正确配置和维护Apache WEB Server的安全性问题等。     

基于访问列表控制的Cisco路由器安全策略初探

随着网络技术的快速发展，黑客的入侵手段越来越高明，网络常常受到攻击。路由器作为Intranet和Internet的网间互连设备，住于不可信任网络和可信任网络之间，是保证网络安全的第一关，安全性已成为路由器设计中最关键的技术问题。本文对基于访问列表控制的路由器安全策略进行了探讨，并以最常用的Cisco路由器为例进行了分析。     

基于路由器的网络安全研究

路由器是一种重要的网络互联设备,在网络中有着极其重要的作用,本文深入研究了CISCO的网间网操作系统(Internetwork Operating System,IOS)的各种命令集合,从庞大的命令集合中找出一套在网络安全方面有重要作用的集合,灵活运用各种IOS命令,通过对常见的网络攻击手段[IP地址欺骗(Ip spoofing);源路由(Sourceroute)攻击;Smurf攻击;SYN攻击;]的分析,阐明采用路由器(CISCO)阻止各种网络攻击的方法.     

利用Netfilter/iptables抗御SYN Flood攻击方法研究

SYN Flood攻击是目前最流行的DOS／DDOS攻击手段。首先介绍Linux环境下SYN Flood攻击的检测方法和防范手段,重点分析基于Netfilter／iptables的动态包过滤机制抗御SYNFlood攻击的原理,然后提出一种iptables与入侵检测系统（IDS）的集成解决方案,采用文件作为数据传递的载体并通过shell脚本编程实现。试验结果表明,该方法可以有效抵御SYN Flood攻击。     

路由器防范拒绝服务攻击技术研究

拒绝服务攻击给网络安全带来了巨大的威胁,防范DDoS攻击一直是安全领域的一个重要课题。介绍了路由器防范拒绝服务攻击的技术,包括IP路径重构技术、在源端防范DDoS策略、防范IP地址欺骗的机制和基于拥塞控制的方法,指出了进一步的研究方向。