劉鐵武,向昌盛，時凌云

(湖南工程學(xué)院 計算機(jī)與通信學(xué)院，湘潭 411104)

?

基于IPv6的DDoS攻擊分析

劉鐵武,向昌盛，時凌云

(湖南工程學(xué)院 計算機(jī)與通信學(xué)院，湘潭 411104)

互聯(lián)網(wǎng)面臨的最嚴(yán)重的安全威脅之一是DDoS攻擊.隨著IPv6網(wǎng)絡(luò)的發(fā)展，研究其面臨的DDoS攻擊是不能回避的現(xiàn)實問題.在分析DDoS攻擊成因的基礎(chǔ)上，將其分為資源攻擊和漏洞攻擊.討論了DDoS攻擊的原理、DDoS攻擊的特征以及IPv6與DDoS的關(guān)聯(lián).分析了IPv6潛在的新的攻擊點(diǎn),一方面，能為DDoS攻擊的檢測和控制提供基礎(chǔ);另一方面能為合理利用DDoS攻擊提供幫助.

DDoS攻擊；IPv6；攻擊點(diǎn)；資源攻擊；漏洞攻擊

DDoS(distributed denial of service)攻擊[1]是指攻擊者通過傀儡主機(jī)，消耗攻擊目標(biāo)的計算資源或?qū)Ρ还粽呦到y(tǒng)進(jìn)行破壞，阻止目標(biāo)為用戶提供合法的服務(wù).Web服務(wù)器和DNS服務(wù)器成為了最常見的攻擊目標(biāo).計算資源是指CPU、內(nèi)存、網(wǎng)絡(luò)帶寬等.

根據(jù)CERT統(tǒng)計[2]，DDoS攻擊正以每年50%的速度增長.統(tǒng)計資料表明，DDoS攻擊是最主要的、最常見的網(wǎng)絡(luò)攻擊手段.Microsoft、SCO、Amazon、eBay、Yahoo等知名網(wǎng)站都曾受到其攻擊，致使服務(wù)中斷數(shù)小時，損失超過數(shù)百萬美元.DDoS攻擊不但可以針對網(wǎng)絡(luò)主機(jī)，而且可對路由器等網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行攻擊，可以使攻擊目標(biāo)鄰近區(qū)域通信流量過載，從而使網(wǎng)絡(luò)性能下降.

IPv6協(xié)議的基本框架已經(jīng)逐步成熟.由于地址短缺等原因，日本和韓國等亞洲國家在IPv6的商務(wù)和業(yè)務(wù)開展方面處于領(lǐng)先地位，作為IP的發(fā)源地，美國在地址和商業(yè)網(wǎng)絡(luò)占據(jù)先天優(yōu)勢，不愿花費(fèi)大量成本構(gòu)建IPv6的應(yīng)用網(wǎng)絡(luò)，主要以實驗和研究為主.但在技術(shù)方面處于世界領(lǐng)先地位.IETF的6bone已擴(kuò)展到全球54個國家和地區(qū)，這標(biāo)志著IPv6必將在全球范圍內(nèi)得到部署和應(yīng)用[3-4].

DDoS攻擊的研究是網(wǎng)絡(luò)技術(shù)的熱點(diǎn)之一[5]，當(dāng)前的主要研究成果是基于IPv4，側(cè)重于DDoS攻擊的檢測與控制，它們局限于特定的應(yīng)用環(huán)境.而IPv6網(wǎng)發(fā)展時間較短，相應(yīng)的研究成果不多.

通過分析，我們知道，基于IPv4的某些DDoS攻擊對于IPv6仍然有效，并且IPv6為DDoS攻擊提供了新的途徑.

DDoS攻擊猶如”過街老鼠”.其實，我們還應(yīng)看到其積極的一面，讓它為我們服務(wù).比如應(yīng)用于軍事上，對敵方網(wǎng)絡(luò)進(jìn)行攻擊.1991年的海灣戰(zhàn)爭就是一個范例[4].

由此可見，本文的研究工作對于DDoS的控制和合理利用，具有理論價值和現(xiàn)實意義.

本文第1節(jié)介紹了DDoS產(chǎn)生和發(fā)展的背景；第2節(jié)基于協(xié)議結(jié)構(gòu)討論了IPv6與DDoS的關(guān)聯(lián)，并由此對攻擊分類，分析了攻擊的特征和原理；第3節(jié)分析了IPv6潛在的攻擊點(diǎn)；第4節(jié)是研究工作的結(jié)論.

1　DDoS攻擊的產(chǎn)生和發(fā)展

多種因素推動了DDoS攻擊的產(chǎn)生和發(fā)展.

①漏洞.大量的操作系統(tǒng)和協(xié)議漏洞使得攻擊者組織和控制大量的僵尸主機(jī)，構(gòu)建大規(guī)模的僵尸網(wǎng)絡(luò)成為可能.互聯(lián)網(wǎng)設(shè)計之初，主要關(guān)注包的快速轉(zhuǎn)發(fā)，沒有重視其安全性.

②網(wǎng)絡(luò)規(guī)模的發(fā)展.網(wǎng)絡(luò)規(guī)模的迅速擴(kuò)大，為大規(guī)模的僵尸網(wǎng)絡(luò)提供了可能.如MS08-067病毒形成的僵尸網(wǎng)絡(luò)主機(jī)高達(dá)1800萬[3].

③硬件的發(fā)展.隨著電子技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，主機(jī)的處理能力不斷增強(qiáng)，網(wǎng)絡(luò)帶寬不斷提高，僵尸主機(jī)能以更高的效率進(jìn)行攻擊.

④體系結(jié)構(gòu).將處理功能交結(jié)網(wǎng)絡(luò)邊緣部分，是當(dāng)今網(wǎng)絡(luò)技術(shù)的趨勢.正是這種啞鈴結(jié)構(gòu)，決定了骨干網(wǎng)絡(luò)不具備檢測和控制能力.

⑤利益驅(qū)動.商家之間競爭、國家利益沖突等.

此外，由于大量攻擊工具的出現(xiàn)，降低了攻擊的技術(shù)難度；還有的人為了炫耀技術(shù)等.

2　DDoS攻擊與IPv6

2.1協(xié)議結(jié)構(gòu)分析

2.1.1IPv4的局限性

隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)應(yīng)用的高速發(fā)展，IP v4的缺陷正日益顯現(xiàn).與DDoS攻擊相關(guān)的有：

①32位地址結(jié)構(gòu)中，因為所劃分的子網(wǎng)較小，攻擊主機(jī)能夠利用IP地址進(jìn)行線性掃描，很容易地發(fā)現(xiàn)網(wǎng)絡(luò)中的活動主機(jī).

②IP分組中，雖然定義了服務(wù)類型字段，由于歷史的原因，并沒得到廣泛的支持.這種“盡力而為”(best effort)的網(wǎng)絡(luò)，無法提供QoS保證，也無法區(qū)分服務(wù)的差異.

③IPSec僅作為其可選組件，IPv4本身并不對分組的來源進(jìn)行檢查，也沒有加密措施，源地址欺騙和網(wǎng)絡(luò)竊聽成為了可能.

2.1.2IP v6的改進(jìn)

比較而言，面對DDoS攻擊，IP v6有了很多有益的改進(jìn).

①IPSec作為IP v6的必備組件，提供了數(shù)據(jù)完整性檢查、數(shù)據(jù)加密、訪問控制、數(shù)據(jù)源的身份認(rèn)證、抗重播攻擊等安全特性.這種主動防御機(jī)制能有效防御諸如源地址欺騙、竊取主機(jī)敏感信息和機(jī)密信息的攻擊，具有更高的安全性.

②巨大的地址空間中，其地址結(jié)構(gòu)引入了本地網(wǎng)絡(luò)和本地子網(wǎng)的概念，限制使用NAT，允許網(wǎng)絡(luò)節(jié)點(diǎn)使用全球唯一的IP地址進(jìn)行通信. 這種可會聚的(aggregateable)、層次化的地址結(jié)構(gòu)能有效抵御網(wǎng)絡(luò)掃描，使病毒傳播變得困難.

③基于IPv6的DNS系統(tǒng)，以PKI為基礎(chǔ)，能有效抵御身份偽裝和信息竊取.如果能采用DNS Security Extensions 協(xié)議，能進(jìn)一步增強(qiáng)新的針對DNS的攻擊的防護(hù)能力.

④ICMPv6不響應(yīng)組播和廣播地址，如能在網(wǎng)絡(luò)邊緣設(shè)計過濾規(guī)則，就能阻止攻擊者的數(shù)據(jù)包向廣播網(wǎng)段擴(kuò)散.

⑤IP v6不允許分組長度小于1280字節(jié)(最后一個分組例外)，對于這樣的包直接丟棄而不轉(zhuǎn)發(fā)，這能防止一部分碎片攻擊.

2.2分類

從研究的角度出發(fā)，有多種關(guān)于DDoS攻擊的分類方法.依據(jù)網(wǎng)絡(luò)體系結(jié)構(gòu)，文獻(xiàn)[1]劃分為網(wǎng)絡(luò)層攻擊和應(yīng)用層攻擊；根據(jù)包的地址和攻擊速率，文獻(xiàn)[5]局限于網(wǎng)絡(luò)層DDoS攻擊進(jìn)行了詳細(xì)分類；本文依據(jù)DDoS的攻擊點(diǎn)，將其分為資源攻擊和漏洞攻擊.

2.2.1資源攻擊

它以消耗網(wǎng)絡(luò)帶寬，主機(jī)的CPU、內(nèi)存等資源為目的.

針對帶寬的flood攻擊是最常見的，資料顯示，它占DDoS攻擊的90%以上[2].資源攻擊有TCP/SYN flood, UDP flood, ICMP/ping flood,ICMP/Smurf flood和它們的任意組合.其特征是大量看似合法的TCP、UDP、ICMP的數(shù)據(jù)包被傳送到目的地.SYN flood利用了TCP連接建立的3次握手過程,向目標(biāo)發(fā)送大量握手請求的SYN包,使服務(wù)器無法處理正常的握手請求; UDP 是面向無連接的, UDP flood 可以隨意地發(fā)送大量UDP包到某個端口,如果是不正常的應(yīng)用,服務(wù)器要回送ICMP請求,由此消耗服務(wù)器處理資源,并且很容易阻塞上行鏈路的帶寬; ping是通過發(fā)送ICMP報文探尋網(wǎng)絡(luò)主機(jī)是否存在的命令，某些操作系統(tǒng)，不能處理超過65535字節(jié)的Ping包，導(dǎo)致Ping to Death.隨著操作系統(tǒng)、網(wǎng)絡(luò)帶寬和計算機(jī)硬件的升級，單個Ping包攻擊效果不佳，而結(jié)合TCP/IP協(xié)議的ping flood具有很大的攻擊力；Smurf采用反射技術(shù)，向多個目標(biāo)發(fā)送ICMP請求，源地址改為攻擊目標(biāo)的地址，于是大量的ICMP回送到攻擊目標(biāo).

DNS攻擊利用了DNS請求基于UDP，不需要認(rèn)證的特點(diǎn)，向服務(wù)器發(fā)送大量的、隨意的域名解析請求，占用處理機(jī)資源.SQL也是常見的攻擊目標(biāo)，如果沒有正確的索引，對大型表的排序等，最壞情形下將引發(fā)O(n2)的操作，以此消耗CPU資源，增大響應(yīng)時間.

2.2.2漏洞攻擊

指利用網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)、應(yīng)用程序的漏洞和bug而實施的攻擊.如碎片攻擊通過對重組的分片的偏移量進(jìn)行精心構(gòu)造，使其相互重疊，系統(tǒng)因不知如何處理這樣的分片而死機(jī)；緩沖區(qū)溢出攻擊則利用了程序和編譯器不對緩沖區(qū)進(jìn)行嚴(yán)格的邊界檢查的弱點(diǎn)，寫入超過緩沖區(qū)容量的數(shù)據(jù)，導(dǎo)致程序運(yùn)行失敗，系統(tǒng)死機(jī)、重啟等.

值得一提的是，許多攻擊既利用了漏洞，又消耗了資源，如TCP/SYN flood利用了3次握手的過程，考慮其以消耗資源為目標(biāo)，本文將其歸結(jié)為資源攻擊.

2.3攻擊的特征和原理

2.3.1攻擊的特征

資源攻擊是當(dāng)前網(wǎng)絡(luò)面臨的最主要的DDoS攻擊，因為互聯(lián)網(wǎng)主要承載TCP業(yè)務(wù)，其中又以TCP/SYN flood最為常見.分析DDoS攻擊，我們可以知道其特征如下[3-5].

①攻擊流量的目的地址相對集中，并且不支持擁塞控制.正常流量的發(fā)送進(jìn)程應(yīng)該會考慮擁塞控制的,當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)通信質(zhì)量很差時, 發(fā)送進(jìn)程應(yīng)該減少發(fā)送速率.擁塞控制可以由傳輸層實現(xiàn),如TCP本身的擁塞控制機(jī)制; 而UDP協(xié)議因其本身不具有擁塞控制機(jī)制，則只能由應(yīng)用層來實現(xiàn).但是，DDoS攻擊流量不會考慮網(wǎng)絡(luò)擁塞,當(dāng)網(wǎng)絡(luò)擁塞仍然大量發(fā)送數(shù)據(jù)包.

② 集中于同一目標(biāo)主機(jī)的多個端口，或者是同一目標(biāo)主機(jī)的同一端口.一種是利用隨機(jī)端口同時向目標(biāo)機(jī)數(shù)千端口發(fā)送數(shù)據(jù)包;另一種是用固定端口同時向目標(biāo)機(jī)單一端口發(fā)送大量數(shù)據(jù)包.

③ TCP Flood/ICMP Flood攻擊時,大量的數(shù)據(jù)包標(biāo)志位相同.數(shù)據(jù)包可以是TCP的SYN包、RST包和ICMP的 mask包、time包、echo包等.

2.3.2攻擊原理

每個DDoS攻擊服務(wù)器是一臺已被入侵并運(yùn)行了特定程序的網(wǎng)絡(luò)主機(jī)[2-4]，能夠控制多個攻擊代理(attack agent)，各個攻擊代理接受服務(wù)器的指令向目標(biāo)發(fā)送攻擊包.其算法步驟為：

①探測掃描大量主機(jī)，尋找可入侵的目標(biāo).

②入侵有安全漏洞的主機(jī)，植入攻擊攻擊程序，以取得控制權(quán).

③利用傀儡主機(jī)繼續(xù)掃描、入侵，建立大規(guī)模的傀儡主機(jī)群.

④對目標(biāo)發(fā)動攻擊.

圖1　攻擊的基本模型

3　IPv6的新的攻擊點(diǎn)

綜上分析，由于IPv6的新特性，某些面向IPv4的DDoS攻擊將失效，但是并不能克服所有的DDoS攻擊.一方面，正如IPv6集成業(yè)務(wù)企業(yè)Nephos6的JohnSpence所說，“大多數(shù)認(rèn)為IPv6比IPv4更加安全的想法，都源于RFC強(qiáng)制要求IPv6堆棧中包含IPsec支持；但無疑是一種太過簡單的看法.”并且，在最近發(fā)布的RFC6434中，已經(jīng)取消了這一強(qiáng)制要求.也就是說，我們根本無法確定IPsec是否將作用于某些IPv6的軟件和硬件上.另一方面，Ipsec僅僅是IP層協(xié)議組件，無力解決其它層次的安全問題，例如，來自應(yīng)用層的攻擊.除此之外，網(wǎng)絡(luò)、協(xié)議和OS存在著各種各樣的漏洞，一些面向IPv4的DDoS攻擊對于IPv6仍然有效，并且IPv6可能為DDoS提供新的攻擊點(diǎn).

3.1IPv6與 IPv4共存

IPv6正在快速發(fā)展，但是，由于部署成本等原因，IPv4還將在今后較長一段時間存在，在它完全退出之前，互聯(lián)網(wǎng)是IPv6與 IPv4共存的局面.由此，將會產(chǎn)生一些安全問題.

①從IPv4向IPv6轉(zhuǎn)換.它們并不是“逐位”(bit on the wire)兼容，IPv6本身的雙協(xié)議堆棧努力提供自動轉(zhuǎn)換機(jī)制[4].當(dāng)轉(zhuǎn)換流通過網(wǎng)絡(luò)時，必然要進(jìn)行事務(wù)處理(transaction):拆分每一個IPv4分組，修改分組的內(nèi)容，按IPv6的要求重新封裝.其中的每次操作，都給執(zhí)行不力者提供了機(jī)會，可能產(chǎn)生或者觸發(fā)安全漏洞.

②6RD和6to4的使用.6RD和6to4都不需要專門的隧道，就能實現(xiàn)IPv6網(wǎng)絡(luò)與 IPv4網(wǎng)絡(luò)之間的數(shù)據(jù)交換[2，3].這為用戶帶來方便的同時，也可能給ISP帶來威脅.一些面向IPv4的攻擊直接威脅IPv6網(wǎng)絡(luò)， ISP反而可能成為攻擊的源頭.

③IPv4與IPv6的互動.為了促進(jìn)IPv6的部署，大多數(shù)應(yīng)用程序在執(zhí)行DNS查表等操作時，傾向于優(yōu)先采用IPv6選項，這就可能使流量翻倍.加重路由器和網(wǎng)絡(luò)的負(fù)擔(dān).

④隧道操作.在不同網(wǎng)絡(luò)間進(jìn)行隧道操作，即使是IPSec也可能產(chǎn)生問題.一般地，隧道操作等同于建立網(wǎng)絡(luò)-網(wǎng)絡(luò)、網(wǎng)絡(luò)-主機(jī)、主機(jī)-主機(jī)之間的VPN.原來的分組被封裝在一個新的分組中.與超出發(fā)送方控制的網(wǎng)絡(luò)建立VPN時，可能暴露數(shù)據(jù)，被攻擊者利用.另外，IPSec的安全保護(hù)需要用到附加協(xié)議(如IKE)，進(jìn)行密鑰協(xié)商和管理.增加了復(fù)雜性和網(wǎng)絡(luò)設(shè)備的負(fù)擔(dān).

3.2IPv6自身

3.2.1協(xié)議框架

網(wǎng)絡(luò)協(xié)議的主要任務(wù)是數(shù)據(jù)通信，而不是抵御DDoS攻擊.任何協(xié)議都是有漏洞的,IPv6也不例外.

①大網(wǎng)段.理論上,IPv6的一個網(wǎng)段可容納264個主機(jī).掃描一個IPv4的子網(wǎng)只需幾秒,而掃描一個IPv6子網(wǎng)需要數(shù)年.這提高了攻擊者掃描漏洞的難度,但同時也給IP管理帶來了困難.為了管理,只能縮小掃描區(qū)間.可能的做法是,拒絕分配一部分地址.但是這樣,很多用戶會被大型網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議(NAT-PT)設(shè)備隱藏在固定的地址集后面,給攻擊者提供了機(jī)會.特別是一些知名的IP地址和命名空間,將面臨巨大威脅.

②加密機(jī)制.基于PKI(Public Key Infrastructure )的加密和認(rèn)證機(jī)制的安全性依賴于密鑰的長度.密鑰越長，其計算量越大，這為攻擊者提供了新的攻擊點(diǎn).當(dāng)前，網(wǎng)絡(luò)的帶寬增長速度遠(yuǎn)高于CPU主頻的增長速度.如果攻擊者向目標(biāo)發(fā)送大量隨意填充的數(shù)據(jù)包，被攻擊者就會因為耗費(fèi)大量CPU時間而無法響應(yīng)正常的服務(wù).

3.2.2協(xié)議機(jī)制

IPv6的協(xié)議機(jī)制，為攻擊者提供了機(jī)會.

①組發(fā)地址.如FF01::1是所有DHCP服務(wù)器的地址，也就是說，以該地址為目標(biāo)地址的分組，所有DHCP服務(wù)器都可能收到.利用這點(diǎn)，容易對DHCP服務(wù)器進(jìn)行攻擊，使其無法提供服務(wù).

②鄰居發(fā)現(xiàn)(neighbor discovery).在IPv6中，鄰居發(fā)現(xiàn)使用了5種不同類型的ICMP6.有多種用途.如在鏈接中可包含確定鄰居的鏈路層地址，清空已失效的緩存值，還可發(fā)現(xiàn)那些自已想要轉(zhuǎn)發(fā)分組的鄰居.但同時，它也給攻擊者提供了機(jī)會.鄰居發(fā)現(xiàn)攻擊將取代IPv4中的同類攻擊，例如ARP Spoofing攻擊.

③分片攻擊點(diǎn).攻擊者利用IPv6報文分片正常過程中的一些漏洞，繞過防火墻實施攻擊.包過濾設(shè)備僅通過判斷第一個分片的目的端口號來決定是否允許通過.于是，攻擊者將第一個分片偽裝成合法的，包含惡意數(shù)據(jù)的后續(xù)分片就可以穿透防火墻，到達(dá)網(wǎng)絡(luò)主機(jī)內(nèi)部實施攻擊.

3.2.3包頭漏洞

IPv6分組特有的頭部，給攻擊者提供了機(jī)會.

①大型擴(kuò)展頭.在IPv6中，取消了IPv4的選項功能，卻附加了一組目標(biāo)選項、逐跳(hop-by-hop)選項、身份認(rèn)證等的擴(kuò)展頭，它與40字節(jié)的主頭和有效負(fù)載一起構(gòu)成Pv6的分組.大量大型的擴(kuò)展頭的流量會淹沒防火墻和安全網(wǎng)關(guān)，也會降低路由器轉(zhuǎn)發(fā)能力.這給DDoS攻擊提供了途徑[5].

②Type 0路由頭. Type 0路由頭功能,可以使某些數(shù)據(jù)解釋為源路由內(nèi)容丟失,利用這一點(diǎn),可以制造出路由循環(huán)的DDoS攻擊.如圖1，一個發(fā)給節(jié)點(diǎn)A的數(shù)據(jù)包，被標(biāo)記為經(jīng)過再返回A.在IPv4中,最多包含9個路由節(jié)點(diǎn),但在IPv6中可以達(dá)到88個.這明顯增加了攻擊的可能性.一份Cisco的報告顯示[3],這一漏洞可能導(dǎo)致內(nèi)存崩潰,并有可能導(dǎo)致遠(yuǎn)程代碼的執(zhí)行.如果遠(yuǎn)程代碼執(zhí)行失敗,就可能對路由器造成DDoS攻擊.

圖2　分組的路由循環(huán)

3.2.4OS漏洞

在IPv4中，大量的OS漏洞和bug已經(jīng)被攻擊者利用.面對IPv6，有些操作系統(tǒng)暴露出一些新的漏洞.Linux和Mac限制所監(jiān)聽的路由器數(shù)目為15，而windows XP、2003、vista等最流行的OS卻沒有這一限制[4].著名的漏洞工具flood-router6正是利用了這點(diǎn)，成為了攻擊者首選的工具包.在短時間內(nèi)向子網(wǎng)發(fā)送大量數(shù)據(jù)包，只需幾秒，一臺健全的windows設(shè)備就變成了磚頭.

Naptha漏洞[5]則是利用OS內(nèi)核會在一定時間內(nèi)為TCP連接保存一條記錄，利用大量的連接來消耗主機(jī)的計算資源.

除了上述攻擊點(diǎn)外，另一個令人擔(dān)憂的事實是：許多基于IPv4的研究成果可能失效.以文獻(xiàn)[4]為例，它提出的 APA-ANTI-DDoS模型從異常流量、擁塞特性和協(xié)議分析3個方面著手，很好地解決了DDoS的檢測和防御.但是，其基本思想是通過Hash函數(shù)將232個IP地址映射到一個較小的空間來檢測DDoS攻擊，對于IPv6巨大的地址空間，它將無能為力.

4　結(jié)　論

不斷發(fā)展的網(wǎng)絡(luò)技術(shù)和計算機(jī)硬件技術(shù)、不斷增加的漏洞，為DDoS攻擊提供了客觀條件.當(dāng)前，僵尸網(wǎng)絡(luò)的規(guī)模已達(dá)到千萬級，攻擊流量達(dá)幾十G.本文的研究結(jié)果表明， DDoS攻擊是以漏洞為切入點(diǎn)，以消耗目標(biāo)的計算資源為目的.與IPv4相比，IPv6雖然避免一部分DDoS攻擊，但有些攻擊手段仍然有效.并且，IPv6本身潛伏著一系列新的攻擊點(diǎn).

各種攻擊方法靈活組合形成新的變種、應(yīng)用層攻擊等是DDoS攻擊發(fā)展新的趨勢.

以本文為基礎(chǔ)，我們將在后續(xù)的工作中研究DDoS攻擊的檢測和控制.

[1] Zhang YZ, Xiao J, Yun XC, Wang FY. DDoS Attacks Detection and Control Mechanisms[J]. Journal of Software, 2012，23(8)：2058-2072.

[2] Chen Y, Ku W, Sakai K, Decruze C. A novel DDoS Attack Defending Framework with Minimized Bilateral Damages[J]. In: Proc. of the 7th IEEE Conf. on Consumer Communications and Networking Conf. (CCNC). Piscataway, 2010：1-5.

[3] Mirkovic J, Reiher P. A Taxonomy of DDoS Attack and DDoS Defense Mechanisms[J]. ACM SIGCOMM Computer Communication Review, 2004,34(2):39-54.

[4] Sun ZX, Jiang JL, Jiao L. DDOS Attack Detecting and Defending Model. Journal of Software, 2007,18(9): 2245-2258.

[5] Kumar K, Joshi RC, Singh K. A Distributed Approach Using Entropy to Detect DDoS Attacks in ISP Domain[C]. In: Proc. of the Int’l Conf. on Signal Proceeding, Communications and Networking (ICSCN). Chennai, 2007：331-337.

DDoS Attacks Analysis Based on IPv6

LIU Tie-wu， XIANG Chang-sheng, SHI Ling-yun

(College of Computer and Communication, Hunan Institute of Engineering, Xiangtan 411104, China)

DDoS Attacks are one of the most serious security threats for the Internet. Along with the development of IPv6 network, studying DDoS attacks IPv6 faces has become an avoidable realistic problem. Based on the analysis of the cause of DDoS attacks, the paper divides DDoS Attacks into resource attacks and Vulnerability attacks. The paper discusses the principles of DDoS attacks, the characteristics of DDoS attacks and the association between IPv6 and DDoS. Analyzing potential new attack points, for one thing, provides the basis for DDoS attacks detection and control; for another, offers help for rational utilization of DDoS attacks.

DDoS Attacks; IPv6; Attack Points; Resource Attacks; Vulnerability Attacks

2016-02-28

湖南省自然科學(xué)基金項目(2016JJ2040)；湖南省大學(xué)生研究性學(xué)習(xí)和創(chuàng)新性實驗計劃項目(湘教通[2014]248).

劉鐵武(1966—)，男，副教授，研究方向：數(shù)據(jù)結(jié)構(gòu)與算法.

TP393.4

A

1671-119X(2016)03-0037-05