使用网络资源缓解容量型DDoS皮埃尔-爱德华·法布尔引用此版本:皮埃尔·爱德华·法布尔使用网络资源来缓解容量型DDoS。其他[cs.OH]。国家电信研究所,2018年。英语NNT:2018TELE0020。电话:01983197HAL Id:tel-01983197https://theses.hal.science/tel-019831972019年1月16日提交HAL是一个多学科的开放获取档案馆,用于存放和传播科学研究文件,无论它们是否已这些文件可能来自法国或国外的教学和研究机构,或来自公共或私人研究中心。L’archive ouverte pluridisciplinairen? NNT:2018TELE0020TH?巴黎电信部门SP?cialit?:Informatique et R?索?coledoctorale:Informatique,T?l?通信等?巴黎电子公司公关?发送?埃帕尔皮埃尔-爱德华·法布尔为了获得南巴黎电信博士学位资源利用者?你要什么没有DDoS攻击量吗特里克斯导演?se: 赫夫?DEBAR你也是吗se:Jouni VIINIKKAco-Encadrant de th?他:GregoryBLANCsoutenue le 13 D?2018年12月陪审团报告员的组成:伊莎贝尔·克里斯门特,女律师,T?l?南希,大学?de Lorraine,France?Guillaume Urvoy-Keller,大学的讲师?尼斯索菲亚安提波利斯酒店,法国考官:? 布鲁诺·德富德,萨塞尔,T?l?法国巴黎?纪尧姆·杜瓦扬妈三次会议?大学?deTechnologie de Troyes,法国?赫 夫?德巴尔,埃布尔,T?l?法国巴黎? Jouni Viinikka,法国6cure SAS博士邀请? :?格雷戈里·布兰克妈三次会议?你好,T?l?法国巴黎n? NNT:2018TELE0020巴黎电信专业:Informatics and Networks博士学校:信息,T?l?通信等?巴黎电子公司提出皮埃尔-爱德华·法布尔获得博士学位的巴黎南部电信使用网络资源缓解容量型DDoS导演:Herve?DEBAR论文共同顾问: Jouni VIINIKKA论文共同顾问: Gregory BLANC于2018年陪审团记者:?伊莎贝尔·克里斯门特教授T?l?南希,大学?de Lorraine,France?Guillaume Urvoy-Keller,教授,大学?尼斯索菲亚安提波利斯酒店,法国考官:? 布鲁诺·德富德教授l?法国巴黎? Guillaume Doyen,讲师,大学?de Technologie de Troyes,法国?赫 夫?德巴尔教授Tl?法国巴黎? Jouni Viinikka,法国6cure SAS医生客人:?Gregory Blanc,讲师,T?l?法国巴黎n? NNT:2018TELE0020i摘要大规模拒绝服务攻击是对互联网服务的真正威胁,也严重影响了网络服务提供商,甚至威胁到互联网的稳定。迫切需要控制这种攻击造成的损害。已经进行了许多工作,但无法将缓解的需要、提供服务连续性的义务和网络限制结合起来。提出的对策主要集中在认证合法流量、过滤恶意流量、更好地利用网络设备间的互连或利用可用资源吸收攻击在这篇论文中,我们提出了一个针对容量拒绝服务攻击的损害控制机制基于一种新的攻击特征,并借助多协议标签交换(MPLS)网络功能,我们隔离恶意从合法的流量。我们应用基于约束的转发恶意流量。其目标是丢弃足够的攻击流量以维持网络稳定性,同时保留合法流量。它不仅知道攻击细节,而且还知道网络资源,特别是可用带宽。继网络运营商没有平等的可见性,他们的网络,我们还研究了一个普遍推荐的对策,即黑名单过滤的效率上的操作限制的影响。操作标准是关于攻击和网络内部流量的信息水平。然后,我们制定的情况下,运营商可以认同。我们证明,黑名单生成算法应仔细选择,以适应运营商的上下文,同时最大限度地提高过滤效率。iiiii简历服务攻击代表着对互联网服务的威胁它们不仅影响网络服务的第四人,而且威胁着互联网的稳定性。他需要控制这些袭击造成的损失。所研究的数字已被提及,但没有一个国家能够将攻击的注意力与持续服务和约束的义务结合起来建议的反措施预示着在这一点上,我们提出了一个控制魔法的机制。基于标准多协议标签交换(MPLS)的一种新的攻击签名和相关功能,我们隔离了恶意流量的合法性,并应用于恶意流量的但这是为了在保证交通正常的情况下保持整个网络的稳定而采取的打击交通的措施。该解决方案包括攻击信息,但也包括资源考虑到操作系统在操作系统上不存在可见性,我们研究了操作系统约束对建议的常规测量方法的有效性的影响,即黑色列表的过滤评估标准是关于袭击的信息,也是关于交通网络的信息。 我们的剧本公式可以用来识别。Nousdémontrons que laivv确认首先,我要感谢我的导师教授。Hervé Debar感谢他的支持和指导。我非常感谢他在百忙之中抽出宝贵的时间来关心我。我要感谢我的顾问格雷戈里·布兰克,他对我的工作提出了广泛的意见他的严谨在这项工作中具有很大的价值。我要感谢我的经理和论文导师Jouni Viinikka,感谢他在整个工作过程中给予我的时间,甚至是个人的时间,他富有洞察力的评论,鼓励和道义上的支持我真的很感激Jouni对我的信任你将永远是我的智力正直和毅力的典范。我还要感谢整个6cure团队,首先是Fabrice Clerc,感谢他从我上次实习以来对我的信任,感谢他给了我在公司成长的机会。感谢Vincent一直以来 的 帮 助 和 理 解 。 你 有 最 大 的 心 脏 。 感 谢 现 任 同 事 : Justine 、Emmanuel、Françoise、Antoine R.和安托万·P阿德里安,巴蒂斯特,吉斯兰,弗雷德里克和前一个:昆汀。很荣幸能和你们每个人一起工作,你们让工作变得有趣。我要感谢我的父母,感谢他们在我的一生中给予我无尽的支持,感谢他们理解我的决定,有时这些决定会导致我做出牺牲。我要特别感谢我的家人 : D 爸 爸 、 F 妈 妈 、 Etienne 、 Aurélie 、 Yaya 、 Alexandre 、 Fis 、Grace、René、Israel和我的侄子Noah,感谢你们的耐心、精神支持和善良。我也想到了我的祖母,她会为这一成就感到自豪。最后,我要向我可爱的妻子和最好的朋友Bénédicte表示最深切的感谢,感谢您对我的家庭作业的耐心和即使在困难时期也不断的支持。如果没有你,这项工作是不此外,我特别感谢我可爱的儿子,他在我的博士学位工作结束时向我提出了vivii内容摘要i简历三鸣谢v目录vii图表. ix表一览表xi1介绍11.1动机与挑战11.2假设和目标21.3捐款31.4论文大纲32艺术52.1拒绝服务和互联网52.1.1拒绝服务攻击62.1.2DoS攻击特征82.1.3容量拒绝服务问题92.2评估DDoS攻击122.2.1基于网络的指标132.2.2以用户为中心的指标142.3DDoS缓解的准入控制152.3.1主动准入控制162.3.2被动准入控制202.4基于迂回的机制352.4.1交通改道35viii2.4.2网络链路使用优化。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的372.4.3覆盖网络。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的392.4.4讨论。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的-是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的402.5吸收机制- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的-是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的402.5.1过度配置。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的402.5.2基于TCP的机制。- 是的- 是的- 是的- 是的- 是的- 是的-是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的422.5.3讨论。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的-是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的442.6结论。- 是的- 是的- 是的- 是的- 是的- 是的- 是的-是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的443基于负载平衡的缓解技术473.1缓解方法。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的-是的- 是的- 是的- 是的483.2现成的思科路由器负载平衡。- 是的- 是的- 是的- 是的- 是的-是的- 是的- 是的- 是的- 是的493.2.1 Cisco 7200负载平衡原则。- 是的- 是的- 是的- 是的- 是的-是的- 是的- 是的- 是的503.2.2研究方法。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的523.2.3结果。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的-是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的533.3基于MPLS的负载平衡。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的-是的543.3.1多协议标签交换。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的563.3.2负载平衡专用标签。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的563.3.3负载平衡机制。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的583.3.4实验方法。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是58ix的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的3.3.5实验- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的-是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的593.4缓解标签:一种基于MPLS的DDoS缓解机制 603.4.1概念和架构。- 是的- 是的- 是的- 是的-是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的613.4.2 Bloom Filter。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的643.4.3缓解基于标签的负载平衡。- 是的- 是的- 是的- 是的- 是的-是的- 是的683.4.4缓解措施标签的安全性。 . . . . . . . . . . - 是的703.5缓解标签的概率评估。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的703.5.1tBF假阳性和阴性概率。. . . - 是的713.5.2两步负载平衡概率。- 是的- 是的- 是的- 是的- 是的- 是的- 是的723.5.3评价。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的-是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的763.6实验- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的-是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的763.6.1实验方法。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的783.6.2变量和变量- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的783.6.3关于T SL影响的结果。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的803.6.4带宽分配结果。- 是的- 是的- 是的- 是的- 是的- 是的- 是的-是的- 是的- 是的- 是的833.6.5效率评估。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的853.7讨论- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的-是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的864加强基于黑名单的缓解措施894.1黑名单简介:限制和要求。 . - 是的904.1.1威胁形势。 . . . . . . . . . . . . . . . . . . .904.1.2典型运行环境。 . . . . . . . . . . - 是的924.1.3要求:识别攻击。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的92x4.1.4攻击流量的特征:Mit的粒度A.1.2化学改性基础技术A.2.3缓解标签:一种缓解机制,igation. - 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的954.2黑名单生成问题表征。- 是的- 是的- 是的- 是的- 是的- 是的-是的974.2.1最大化过滤的攻击流量。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的984.2.2减少附带损害。- 是的- 是的- 是的- 是的- 是的- 是的- 是的-是的- 是的- 是的- 是的- 是的994.2.3网络可见性的表征。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的994.2.4网络可见性成本。- 是的- 是的- 是的- 是的- 是的- 是的-是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的1014.3应用:IP级黑名单生成方法。 . - 是的 1024.3.1定义。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的1024.3.2假设和诱导情景。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的1034.3.3黑名单的基本原理- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的1044.4黑名单效率评估。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的1084.4.1变量和变量- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的1084.4.2恒定比特率攻击流量模型。- 是的- 是的- 是的- 是的- 是的-是的- 是的- 是的1104.5讨论。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的1154.5.1结果- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的1154.5.2动态攻击流量。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的1164.5.3检测机制。- 是的- 是的- 是的- 是的- 是的-是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的1175结论1195.1捐款。- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的1195.2未来的工作- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的- 是的120xi词汇表143xii图目录2.1DDoS缓解类别62.2拒绝服务时间轴72.3针对互联网的使网络链路11饱和的网络服务2.4ITU以用户为中心的QoS建议152.5监督机制与塑造机制[83]303.1多路径容量DDoS攻击缓解原则493.2CEF极化效应[133]503.3包含流感知传输(FAT)的标签573.4包含熵标签(EL)的583.5[108]第108话:我的世界3.6基于MPLS标签和源IP地址的基于CRC 16的负载平衡的真阳性计数(2000恶意IP)603.7无攻击的标称状态613.8攻击的检测613.9计算攻击签名和缓解配置623.10 攻击缓解633.11 给定阈值t=200的基于阈值的3.12 带有缓解标签69的MPLS报头3.13 双重过滤器流程图693.14 在20位tBF72中插入4096个流的简单tBF负载平衡3.15 缓解标签条件概率的决策树743.16 缓解措施标签773.17 负载平衡措施79xiii3.18 目标签名大小对优先级链路(R优先级)上合法流量接收的影响,根据攻击量表示为合法流量的因子(AttackF actor)823.19 缓解分配(BA缓解)对合法交通接收...............................................的影响843.20 比较合法的交通接收与和-外部缓解864.1源IP地址分散的例子[154]914.2放大攻击流量934.3通用安全结构934.4缓解配置98的示例4.5ACL生成的工作流程1044.6给定目的地的源聚合树的示例1054.7在潜在的源聚集体中选择前3个规则,给定目的地1084.8ACL加载时间是插入的未加载规则1094.9评分函数比较(AL=24)1114.10 评分函数的比较(AL=8)112A.1 ExampleA.2 [108]第131期:一个人的世界A.3 一部分费用的实际数额CRC 16132A.4 Detection deA.5 Génération de la signature deA.6 Atténuation deA.7 Examplede générationt=200135A.8 有缓解措施和无缓解措施的合法流量接收比较136A.9 Processus de générationA.10 分数函数比较(最小累加des adresses IP sources:/24)140
