网络资源缓解批量DDoS攻击方法

使用网络资源缓解批量DDoS皮埃尔-爱德华·法布尔引用此版本：皮埃尔-爱德华·法布尔。使用网络资源缓解容量DDoS。其他[cs.OH]。国家电信研究所，2018年。英语。NNT：2018TELE0020。电话：01983197HAL ID：电话：01983197https://theses.hal.science/tel-01983197提交日期：2019年HAL是一个多学科的开放存取档案馆，用于存放和传播科学研究论文，无论它们是否被公开。论文可以来自法国或国外的教学和研究机构，也可以来自公共或私人研究中心。L’archive ouverte pluridisciplinaireN？ NNT：2018TELE0020TH？南巴黎电信博士学位SP？Cialit？：计算机和R？海豹？博士学校：计算机科学，T？L？通信和？巴黎电子公关？感觉？e通过皮埃尔-爱德华·法布尔获得南巴黎电信博士学位使用资源r？水给AT？DDoS攻击的数量如何？特里克第一任局长？se： 赫夫？德巴尔共同监督员？Jouni VINIKKA是第一个？格雷戈里·怀特支持13D？2018年12月评审团成员：？伊莎贝尔·克里斯门特教授T？L？南希，大学？来自法国？Guillaume Urvoy-Keller，大学教授？尼斯索菲亚安提波利斯，法国考官：？布 鲁 诺·德富德，教授，T？L？法国南巴黎？纪尧姆·迪恩，妈妈？三个会议？兰斯，大学？法国特鲁瓦科技公司？赫 夫？德巴尔教授TL？法国南巴黎？ Jouni Viinikka，医生，6cure SAS，法国邀请？ ：？格雷戈 里·布兰克，妈妈？三个会议？兰斯，T？L？法国南巴黎N？ NNT：2018年TELE0020南巴黎电信博士论文专业：信息学与网络博士学校：计算机科学，T？L？通信和？巴黎电子提交人皮埃尔-爱德华·法布尔获得博士学位由南巴黎电信使用网络资源缓解批量DDoS论文主任：赫夫？DEBAR论文联合导师： Jouni Vinikka论文联合导师： Gregory BLANC发表于2018年陪审团成员记者：？Isabelle Chrisment教授T？L？南希，大学？来自法国？Guillaume Urvoy-Keller，大学教授？尼斯索菲亚安提波利斯，法国考官：？布 鲁 诺·德富德，T. L？法国南巴黎？ 威廉·迪恩，讲师，大学？法国特鲁瓦科技公司？赫 夫？德巴尔教授TL？法国南巴黎？ Jouni Viinikka，医生，6cure SAS，法国客人：？格雷戈里·布兰科，讲师，T？L？法国南巴黎N？ NNT：2018年TELE0020i摘要大规模拒绝服务攻击对互联网服务构成了真正的威胁，但也严重影响了网络服务提供商，甚至威胁到互联网的稳定性。迫切需要控制此类攻击造成的损害。许多工程已经运出，但无法将缓解需求、提供服务连续性的义务和网络工作限制结合起来。建议的对策侧重于身份验证合法流量、过滤恶意流量、更好地利用网络设备之间的互连或借助可用资源吸收攻击在本文中，我们提出了一种针对批量拒绝服务的损害控制机制基于一种新的攻击签名，并在多协议标签交换（MPLS）网络功能的帮助下，我们将恶意流量与合法流量隔离开来。我们将基于约束的转发应用于恶意流量。目标是丢弃足够的攻击流量，以保持网络稳定性，同时保持合法流量。它不仅能感知攻击细节，还能感知网络资源，尤其是可用带宽。在网络运营商对其网络没有平等的可见性之后，我们还研究了操作约束对普遍推荐的对策（称为黑名单过滤）效率的影响。操作标准是有关攻击和网络内流量的信息级别。然后，我们制定了操作员可以识别的场景。我们证明了黑名单生成算法应该仔细选择，以适应操作员的上下文，同时最大限度地提高过滤效率。iiiii摘要大规模拒绝服务攻击是对互联网服务的威胁它们还影响网络服务提供商，甚至威胁到互联网的稳定性。因此，迫切需要控制这些攻击造成的损害。已经进行了大量的研究，但没有一项能够将减轻攻击的需要与服务连续性要求和网络限制结合起来所提出的对策包括在本文中，我们提出了一种损害控制机制。基于新的攻击特征目标是拒绝足够的攻击流量，以保持网络稳定，同时保留合法流量。该解决方案不仅考虑了有关攻击的信息，还考虑考虑到网络运营商在评估标准是有关攻击和网络流量的信息级别。 我们制定了每个运营商都能识别的场景。我们证明了黑名单生成算法的选择必须谨慎，以最大限度地ivv确认书首先，我要感谢我的导师。感谢Hervé Debar的支持和指导。我深深地感激他一直奉献给我的宝贵时间，尽管他的日程安排极其繁忙。我要感谢我的顾问Gregory Blanc对我工作的广泛评论他的冷漠在这份工作中是一个巨大的价值。我向我的经理和论文导师Jouni Viinikka表示感谢，感谢他在整个工作过程中的时间，甚至是个人的，他的见解，鼓励和道义上的支持。我真的很感激Jouni对我的信任，让我在新的主题上工作。对我来说，你将永远是一个正直和毅力的榜样我也非常感谢整个6cure团队，从Fabrice Clerc开始，感谢他们自我上次实习以来对我的信任，感谢他们给了我在公司成长的机会。感谢文森特不 断 的 帮 助 和 理 解 。 你 有 最 大 的 心 。 感 谢 现 任 同 事 ： Justine 、Emmanuel、Françoise、Antoine R.和安托万·P.阿德里安，巴蒂斯特，吉斯兰，弗雷德里克和前一个：昆廷。能和你们中的任何一个一起工作都是一种很大的荣幸，你们让工作变得有趣。我感谢我的父母在我的一生中给予我无尽的支持，感谢他们理解我的决定，有时这些决定需要牺牲。我特别感谢我的家人：爸爸D，妈妈F，艾蒂安，奥蕾莉，亚亚，亚历山大，菲斯，格雷斯，勒内，以色列和我的侄子诺亚，感谢你们的耐心，道义上的支持和善良。我还想到了我的祖母，她会为这一成就感到自豪。最后，我衷心感谢我可爱的妻子和最好的朋友Bénédicte，感谢你们对我家庭工作的耐心和即使在困难时期的持续支持。没有你，完成这项工作是不可能的。我也要特别感谢我亲爱的儿子，他在我博士工作的最后挑战了我。vivii内容。摘要I摘要三确认v内容七图九列表表XI列表1引言11.1动机和挑战11.2假设和目标21.3贡献31.4论文大纲32最新技术水平52.1拒绝服务和互联网52.1.1拒绝服务攻击简介62.1.2DoS攻击特征82.1.3容量DoS问题9的特征2.2评估DDoS攻击122.2.1基于网络的指标132.2.2以用户为中心的指标142.3DDoS缓解的准入控制152.3.1主动进气控制162.3.2被动进气控制202.4基于转移的机制352.4.1交通转移35viii2.4.2网络链路使用优化。... ... ... ... ... ... ... ... ... ... ...372.4.3覆盖网络。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...392.4.4讨论。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...402.5吸收机制。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 402.5.1过度配置。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...402.5.2基于TCP的机制。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...422.5.3讨论。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...442.6结论。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ...443基于负载平衡的缓解技术473.1缓解方法。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...483.2现成的Cisco路由器负载平衡... ... ... ... ... ... ... ... ... ...49Cisco 7200负载平衡原则。... ... ... ... ... ... ... ... ...502.2研究方法。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...523.2.3结果。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...533.3基于MPLS的负载平衡... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...543.3.1多协议标签交换。... ... ... ... ... ... ... ... ... ... ... ...563.3.2专用于负载平衡的标签。... ... ... ... ... ... ... ... ...563.3.3负载平衡机制。... ... ... ... ... ... ... ... ... ... ... ... ... ...583.3实验方法。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...583.3.5实验。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...59缓解标签：基于MPLS的DDoS缓解机制 603.4.1概念和体系结构。... ... ... ... ... ... ... ... ... ... ... ... ... ...613.4.2基于阈值的Bloom过滤器。... ... ... ... ... ... ... ... ... ... ... ... ...643.4.3缓解基于标签的负载平衡。... ... ... ... ... ... ...683.4.4缓解标签的安全性。 . . . . . . . . . . ...703.5缓解标签的概率评估。... ... ... ... ... ... ... ... ...703.5.1tBF假阳性和负概率。. . . ...713.5.2两步负载平衡概率。... ... ... ... ... ... ...723.5.3评估。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...763.6实验。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ...766.1实验方法。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...78ix3.6.2变量和指标。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...783.6.3关于T SL影响的结果。... ... ... ... ... ... ... ... ... ... ... ... ...803.6.4带宽分配结果。... ... ... ... ... ... ... ... ... ... ...833.6.5有效性评估。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...853.7讨论。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ...864增强基于黑名单的缓解894.1黑名单简介：限制和要求 . ...904.1.1威胁形势。 . . . . . . . . . . . . . . . . . . .904.1.2典型操作环境。 . . . . . . . . . . ...924.1.3要求：攻击识别。... ... ... ... ... ... ... ...92x4.1.4攻击流量的特征化：Mit的粒度A.1.2基于重新路由的技术A.2.3缓解标签：缓解机制点燃。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ......954.2黑名单生成问题表征。... ... ... ... ... ... ...974.2.1最大化过滤的攻击流量。... ... ... ... ... ... ... ... ... ...984.2.2尽量减少附带损害。... ... ... ... ... ... ... ... ... ... ... ...994.2.3网络可见性的特征化。... ... ... ... ... ... ... ...994.2.4网络可见性成本。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 1014.3应用：IP级别的黑名单生成方法。 . ... 1024.3.1定义。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1024.3.2假设和诱发情景。... ... ... ... ... ... ... ... ... 1034.3.3黑名单的基本原理。... ... ... ... ... ... ... ... ... ... ... ... ... ...1044.4黑名单效率评估。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 1084.1指标和变量。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 1084.4.2恒定比特率攻击流量模型。... ... ... ... ... ... ... ... 1104.5讨论。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ...1154.5.1结果。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1154.5.2动态攻击流量。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 1164.5.3检测机制。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1175结论1195.1捐款。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ......1195.2未来工作。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ......1205.2.1缓解标签增强。... ... ... ... ... ... ... ... ... ... ... ... 1205.2决策支持。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 1215.3闭幕词。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...122A 法文摘要123A.1最新... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ......123A.1.1准入控制... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...桶。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...126128xi词汇表143xii图列表2.1DDoS缓解类别62.2拒绝服务时间表72.3针对互联网的批量DDoS攻击示例饱和网络链路11的网络服务2.4ITU以用户为中心的QoS建议152.5警务与塑造机制[83]303.1多路径容量DDoS攻击缓解原则493.2CEF极化效应[133]503.3包含流感知传输（FAT）的标签573.4包含熵标签（EL）58的MPLS数据报3.5具有阈值映射的基于表的散列[108]593.6基于MPLS标签和源IP地址的基于CRC16的负载平衡的真正计数IP）603.7没有攻击的名义状态613.8攻击检测613.9攻击特征码和缓解配置的计算623.10 攻击缓解633.11 阈值t=20067的基于阈值的Bloom过滤器生成示例3.12 具有缓解标签69的MPLS报头3.13 双倍过滤器流程图693.14 考虑将4096个流插入20位tBF72的简单tBF负载平衡的3.15 缓解标签条件概率的决策树3.16 缓解标签773.17 负载平衡措施79xiii3.18 目标签名大小对优先级链路上合法流量接收的影响（R优先级）取决于表示为合法流量因子的攻击量（AttackF actor）823.19 缓解分配（BA缓解）对合法流量接收的...........................................影响843.20 将合法流量接收与缓解措施864.1源IP地址的分散示例[154]914.2放大攻击流量934.3通用安全体系结构934.4缓解配置98的示例4.5ACL第104代的工作流4.6给定目标的源聚合树示例1054.7从潜在来源聚合中选择前3条规则目的地1084.8ACL加载时间是插入未加载规则的路由器上的规则1094.9评分函数的比较（AL=24）1114.10 评分函数比较（AL=8）112A.1 针对Internet服务的容量分布式拒绝服务攻击示例A.2 基于哈希表的下一跳分配[108]131A.3 电荷共享诱导的真阳性数基于CRC16132函数A.4 攻击检测A.5 生成攻击签名A.6 攻击缓解A.7 使用阈值生成Bloom过滤器的示例t=200135A.8 合法流量接收与缓解的比较没有缓解136A.9 生成黑名单的过程A.10 分数函数比较（最小源IP地址：/24）140