以TCP为目标的慢速DoS攻击的检测
以TCP为目标的慢速(Low rate TCP-target)DoS攻击是一种新型的DoS攻击,它主要利用当前大多数操作系统的TCP重传超时时间(RTO)固定的漏洞.攻击者通过周期性地注入突发数据包去充满路由器瓶颈队列,导致TCP连接不断进入超时状态,整个TCP的吞吐率接近于零.与传统的洪水攻击相比,它的平均速率小,传统的检测方法不能有效地检测出这种攻击.根据以TCP为目标的慢速DoS攻击具有周期性,且突发流量相对集中、突发长度与RTT相关的特性,本文提出了一种改进的周期性CUSUM算法在边缘路由器检测攻击流.仿真结果显示该算法可以有效地检测出这种攻击,而且不需要对TCP拥塞控制算法进行修改.
重传超时时间 慢速DoS攻击 瓶颈队列 洪水攻击 路由器检测 拥塞控制
聂晓峰 荆继武 高能
中国科学院研究生院信息安全国家重点实验室
国内会议
南宁
中文
167-171
2006-07-06(万方平台首次上网日期,不代表论文的发表时间)