跳到主要內容

臺灣博碩士論文加值系統

(18.97.9.172) 您好!臺灣時間:2024/12/07 05:13
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

我願授權國圖
: 
twitterline
研究生:陳英誠
研究生(外文):Ying-Chen Chen
論文名稱:整合多平台應用於防禦DDoS攻擊
論文名稱(外文):Applications of Integrated Multi-platforms for Prevention Systems Against DDoS Attacks
指導教授:陳永隆陳永隆引用關係
學位類別:碩士
校院名稱:臺中技術學院
系所名稱:資訊工程系碩士班
學門:工程學門
學類:電資工程學類
論文種類:學術論文
論文出版年:2011
畢業學年度:99
語文別:中文
論文頁數:52
中文關鍵詞:DDoS多平台模糊邏輯控制
外文關鍵詞:DDoSmulti-platformsfuzzy logical control
相關次數:
  • 被引用被引用:0
  • 點閱點閱:270
  • 評分評分:
  • 下載下載:0
  • 收藏至我的研究室書目清單書目收藏:0
  網際網路的阻斷式攻擊行為,從1998年開始至今已經有十多年之久,雖然有不少學者提供防禦或是找出攻擊來源的方法,但至今尚未有一個可以徹底防禦的做法。2000年2月,全球性大型的網站均遭受網際網路的阻斷式攻擊,包括入口類型網站的Yahoo、拍賣網站的eBay、網路購物網站的Amazon,甚至連CNN新聞網站都受到波及。
  阻斷式攻擊(denial of service)延伸發展至分散式阻斷式攻擊(distributed denial of service),同一時間從不同地方的電腦,發送大量網路封包到同一台網路主機,造成該網路主機無法承受處理巨量的封包,達成分散式阻斷式攻擊的目的。所造成的影響就是該網路主機服務中斷,使用者無法正常使用該網路主機的各項服務。這些攻擊並沒有要獲取網站的任何資料,也沒有入侵修改任何資料,只是讓網站的服務癱瘓。為了改善分散式阻斷式攻擊,目前有不少的改善方案,例如:短時間內找出攻擊來源,將攻擊來源的封包阻擋於網路主機之外。但是,找出攻擊來源必須從目前連線資料中過濾找出,花費時間過濾,導致主機服務中斷時,無法於第一時間內排除障礙。所以,我們整合多平台的方式,將遭受攻擊的網路主機,能於第一時間發現遭攻擊,並於最短時間內排除攻擊來源,恢復網路主機的各項服務功能。
  本文將深入探討阻斷式攻擊的模式,並從網路使用者端、網路主機端及網路服務提供者等三方面,防止使用者電腦變成攻擊者,防禦網路主機變成被攻擊者,而網路服務提供者成為網路使用監督者,共同來抵擋阻斷式攻擊的發生。


Since 1998, internet denial of service (DoS) attack activity has a history over ten years. Though many researchers provided some strategies of defense or finding the attack source, none of them can prevent DoS completely until now. In February 2000, global large sites were all hit by DoS attacks. These sites include portal-type site Yahoo!, eBay auction site and Amazon online shopping site. Even CNN news site was affected.
DoS extends to distributed denial of service (DDoS) attack. In a DDoS attack, a large number of attacking packets which come from different addresses are sent to the targeted system. Objective of DDoS has been achieved when the system cannot afford and handle these packets. The attacks may cause interruption of sever service and make the services and resource unavailable to its intended users. The aim of these attacks is neither to acquire data of the website nor to change them, but to make its services collapsed. In order to weaken DDoS attacks, many methods have been proposed. For example, some methods find the source of attack in the shortest possible time and prevent the attacking packets from flooding bandwidth of the web server. However, it needs to take some time to find and filter the source of attack from current connections, which makes it impossible to remove obstacles rapidly when service interruption occurs. Therefore, we use the approach of multi-platform integration to discover the sources as soon as possible and eliminate it in the shortest time, to restore the services of web server.
In this thesis, we discuss the models of DDoS attacks from internet users, web server and internet service provider. Our proposed methods can prevent a user becoming an attacker, and web server to be attacked. Besides, our proposed methods also results that internet service provider become a supervisor and resist the DDoS attacks.

摘要 I
ABSTRACT II
謝誌 IV
第一章 緒論 1
第一節 研究背景 1
第二節 研究動機 1
第三節 研究問題及目的 2
第四節 研究步驟與架構 2
第五節 研究方法 3
第二章 文獻探討 5
第一節 認識分散式阻斷攻擊 5
第二節 判斷是否遭受攻擊 6
第三節 尋找攻擊來源 6
第四節 發布遭受攻擊警訊與防禦 7
第五節 理論基礎 7
二、模糊推論 9
第三章 單一服務主機的動態防火牆規則 10
第一節 研究方法 11
一、使用者依權限分群: 11
二、改變網路架構,增設控制電腦 12
三、數據正規化 12
四、動態改變防火牆規則 13
第二節 實驗與驗證 15
一、網路環境的建構 15
Step 1 建構軟體 15
Step 2 建構網路 15
Step 3 測試控制電腦資料抓取與防火牆控制功能 15
二、模擬DDos攻擊 16
三、迅速找出攻擊來源 17
四、允許不同使用群組通過 17
五、攻擊者隱匿在guest-group內 17
六、驗證 18
第四章 單一服務主機的模糊理論查表法 19
第一節 研究方法 20
一、架設一台單一服務主機 20
二、安裝網路紀錄器 20
三、分析連線資料 20
四、運用模糊理論找出規則 20
第二節 實驗與驗證 20
一、流量變化 20
二、套用模糊理論的查表法 23
三、判斷是否遭受攻擊 27
四、驗證 27
第五章 多重服務主機的雙防火牆流量控制 29
第一節 研究方法 29
一、模擬一個網路環境圖: 30
二、從網路拓墣圖中找出瓶頸點 31
三、異常時啟動過濾流量 32
四、攻擊模擬 32
第二節 實驗與驗證 33
一、DDoS攻擊模擬前準備 33
二、DDoS攻擊模擬開始 34
三、DDoS攻擊中進行雙邊防禦阻擋 34
四、DDoS攻擊中進行單邊防禦阻擋 35
五、DDoS攻擊防禦效能比較 35
第六章 網路服務供應端的階段式封包分析 36
第一節 研究方法 37
第一階段:運用FLC運算 37
STEP 1 進行DDoS攻擊模擬測試 38
STEP 2 將流量與封包數值轉換為FLC運算的數值 38
STEP 3 使用FLC分析是否遭受DDoS攻擊 39
第二階段 Hierarchical運算 41
第二節 實驗與驗證 44
第一階段:運用FLC運算 44
第二階段 實驗結果 47
第七章 電腦用戶端的可攜式網路安全性規則 48
第一節 研究方法 48
一、組態設定功能部分 48
二、備份功能部分 48
三、還原功能部分 48
四、儲存的檔名規則 49
第二節 實驗與驗證 49
一、組態設定功能部分 49
二、備份功能部分 50
三、還原功能部分 50
第八章 結論與建議 51
第一節 網路服務供應端 51
第二節 網路主機端 51
第三節 單一服務主機端 51
第四節 電腦用戶端 51
參考文獻 52

[1]S. C. Lin, & S. S. Tseng, Constructing detection knowledge for DDoS intrusion tolerance. Expert Systems with Applications, Vol. 27, 2004, pp. 379–390.
[2]Cabrera, J. B. D. et al. Proactive detection of distributed denial of service attacks using MIB traffic variables-A feasibility study. In Proceedings of the seventh IFIP/IEEE international symposium on integrated network management, Seattle, May, (2001) pp. 1-14.
[3]Jaehak Yu, Hansung Lee, Myung-Sup Kim *, Daihee Park. Traffic flooding attack detection with SNMP MIB using SVM. Computer Communications 31 (2008) pp. 4212-4219
[4]Keunsoo Lee *, Juhyun Kim, Ki Hoon Kwon, Younggoo Han, Sehun Kim, DDoS attack detection method using cluster analysis Expert Systems with Applications 34 (2008) pp. 1659-1665
[5]Jung, J. & Krishnamurthy, B. Flash crowds and denial of service attacks: Characterization and implications for CDNs and web sites. In Proceedings of ACM conference on computer and communications security, May (2002) pp. 30-41.
[6]Lee, F. Y., & Shieh, S. Defending against spoofed DDoS attacks with path fingerprint. Computers and Security, 24(7), (2005) pp. 571-586.
[7]Basheer Al-Duwairi *, G. Manimaran. Distributed packet pairing for reflector based DDoS attack mitigation. Computer Communications 29 (2006) pp. 2269-2280
[8]Vasilios A. Siris, Ilias Stavrakis. Provider-based deterministic packet marking against distributed DoS attacks. Journal of Network and Computer Applications 30 (2007) pp. 858-876
[9]Kejie Lu, Dapeng Wu, Jieyan Fan, Sinisa Todorovic, Antonio Nucci. Robust and efficient detection of DDoS attacks for large-scale internet. Computer Networks 51 (2007) pp. 5036-5056
[10]Shigang Chena, Yong Tanga, Wenliang Dub. Stateful DDoS attacks and targeted filtering. Journal of Network and Computer Applications 30 (2007) pp. 823-840
[11]Hyunsang Choi, Heejo Lee*, Hyogon Kim. Fast detection and visualization of network attacks on parallel coordinates. computers& security 28 (2009) pp. 276-288
[12]Safaa O. Al-Mamory *, Hongli Zhang. Intrusion detection alarms reduction using root cause analysis and clustering. Computer Communications 32 (2009) pp. 419-430
[13]Niandong Liao *, Shengfeng Tian, Tinghua Wang. Network forensics based on fuzzy logic and expert system. Computer Communications 32 (2009) pp. 1881-1892
[14]Yen John, Langari Reza, "Fuzzy Logic:Intelligence, Control, and Information," Prentice Hall, 1998
[15]李允中、王小璠、蘇木春,“模糊理論及其應用”,全華科技圖書有限公司,2003
[16]php, Available form http://zh.wikipedia.org/wiki/PHP
[17]drupal, Available form http://drupal.org/

QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top