【NDN安全】Mitigate DDoS Attacks in NDN by Interest Traceback 学习笔记

1、DDoS攻击分为两种:

      (1)单目标DDoS攻击:

            以单个内容生产者为目标,向特定内容生产者洪泛拥有相同前缀但不同后缀的兴趣包。在内容生产者源头,内容生产者可以使用其存储着现有内容名字的布隆过滤器来过滤兴趣包,因此该攻击不能占用内容生产者的存储资源,但该攻击会占据沿路路由器的PIT表,导致PIT表项激增、CPU利用率激增、内存资源大量消耗,直至攻击停止PIT表项超时结束。

      (2)多目标DDoS攻击:

            不以特定内容生产者为目标,而是以网络中的全部路由器为目标,向网络中洪泛名字全部伪造的兴趣包,这些兴趣包不能被任何数据包和FIB条目匹配,因此会在整个网络中被许多路由器大量复制和广播。该攻击消耗了路由器的内存和计算资源,降低了路由器的性能。

2、针对多目标DDoS攻击,本文提出的解决方案——兴趣包轨迹回溯策略:

       前提:PIT结构允许对称路由,数据包可以沿着其对应兴趣包的相同路径传播,只是方向相反。

                 RTT时间足够虚假数据包返回兴趣包请求者时,兴趣包请求者的PIT表项还未超时。

                 节点不移动,才可以一路追溯回请求者,且采取应对措施。

      (1)当PIT大小增加到警戒值或超过阈值,路由器通过生成一个虚假的数据包来响应PIT中长期未满足的兴趣包,该数据包沿路查询中间路由器的PIT表,直至返回兴趣包请求者,即可追溯到实施攻击者。

      (2)追溯到攻击者后,边缘路由器限制与攻击者连接的接口速率,例如丢掉兴趣包,以此达到多目标DDoS攻击的缓解目的。


已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 书香水墨 设计师:CSDN官方博客 返回首页