資源描述:
《源地址過濾的軟硬件方法優(yōu)化》由會員上傳分享���,免費在線閱讀�����,更多相關(guān)內(nèi)容在學術(shù)論文-天天文庫��。
1�、萬方數(shù)據(jù)源地址過濾的軟硬件方法優(yōu)化3.5�����。3合成數(shù)據(jù)包分類的有效性?????????????.263.5.4合成數(shù)據(jù)包分類的有效性TCAM聯(lián)合壓縮效率?.???.???26第四章源過濾防止DDOS攻擊的應用???????????????????.274.1背景????????????????????????????????????????..284.1.1檢測DoS攻擊????????????????..284.1.2區(qū)分攻擊和合法流量??????????????..284.1.3DDoS問題的完整解決方案?????????????294.
2、2基于源地址前綴的DDOS過濾器????????????????????294.2.1基于源地址的丟棄???????????...???.304.2.2基于源地址的過濾器作為更廣闊DDoS解決方案一部分?????314.2.3ACL規(guī)則的生成????????????????314.3方法評價?????????????????????????????.314.3.1ACL方法和數(shù)據(jù)的描述使用????????????..324.3.2方法和數(shù)據(jù)的描述使用??????????????324.3.3攻擊的強度和程度的過度配置????????????
3����、334.4多因素衡量????????????????????????????.335.1分布式源過濾???????????????????????????.355.2包過濾硬件壓縮??????????????????????????.35參考文獻????????????????????????????????36致謝????????????????????????????????38萬方數(shù)據(jù)源地址過濾的軟硬件方法優(yōu)化摘要摘要阻止惡意流量的過濾:訪問根據(jù)字段控制列表(ACL)可以選擇性地阻斷交通IP報頭。已經(jīng)有過濾器(ACL)路由器的今天�,但
4、這是一種稀缺資源����,因為它們存儲在昂貴的三態(tài)內(nèi)容尋址存儲(TCAM)。源地址過濾是一項用于防止有害包進入內(nèi)部系統(tǒng)的重要預防機制?����,F(xiàn)在多少網(wǎng)絡存儲了過濾在硬件中����,比較流行的是TCAM快表,它有有限的存儲空間����,更高的能量損耗和更高的價格�����。雖然軟件能夠容納大量的過濾器,但是這需要將多種訪問邊界路由器的機制�,因此邊緣路由器承載了比其它路由器更多的任務。本文提出了一種基于軟件源地址的過濾方法��,在我們的機制中�����,每個路由器只需要檢查一個源地址里面的極就可以了����,相比原來需要在入口路由器進行全方位檢查源地址不同的是:現(xiàn)我們建立新的機制讓內(nèi)外部路由器共同承擔工作
5、��。通過在路由器之間合作����,實現(xiàn)了對惡意流的過濾,以防止其損害網(wǎng)絡���。找到了一種合作的機制來將邊緣路由器的工作平均分布到了多臺的路由器上面�,這是一種最優(yōu)化的結(jié)果�����。通過動態(tài)規(guī)劃來說明問題是可以求出最優(yōu)化解的。使用在BRITE生成的拓撲結(jié)構(gòu)和真實的拓撲結(jié)構(gòu)上面的仿真衡量了新算法的性能���。通過與128位的IP地址在入口路由器的算法比較�����,新算法在單獨一臺路由器上面最多只會檢查40位���,大大減少了單獨一個路由器的負擔。在互聯(lián)網(wǎng)上��,如防火墻會使許多網(wǎng)絡服務數(shù)據(jù)包過濾和并進行流量計費���。使用三元的內(nèi)容可定址記憶體(的TCAM)來進行高速分組分類已經(jīng)成為事實上的行業(yè)標
6��、準��。通過比較數(shù)據(jù)包的TCAM在固定時間內(nèi)的數(shù)據(jù)包可以進行三元并行編碼的分類規(guī)則��。數(shù)據(jù)包分類規(guī)則通常會指定范圍的領(lǐng)域�����,轉(zhuǎn)換規(guī)則�����,但TCAM兼容的規(guī)則可能會導致爆炸式增長的規(guī)則數(shù)�。但如果有大量的TCAM能力���,這就不是一個問題���。不幸的是TCAM的能力非常有限,更多的規(guī)則意味著更多的功耗和更多的熱量生成TCAM�。更糟的是,數(shù)據(jù)包分類與不斷增長的迅速增加����,部署在因特網(wǎng)上的服務的數(shù)目也隨之增加。要解決是TCAM范圍擴展����,因此我們初步考慮給定一個數(shù)據(jù)包分類,我們可以產(chǎn)生另一種語義上價的數(shù)據(jù)包分類需要TCAM條目數(shù)最少�。在本文中,我們提出了一個系統(tǒng)的方法�����,
7、TCAM聯(lián)合壓縮應該最有效����,高效,實用����。在有效性方面,我們TCAM聯(lián)合壓縮的原型實現(xiàn)的總的壓縮比為3.9%�����,顯著優(yōu)于原樣最好的結(jié)果為54%�。在效率方面,我們的TCAM聯(lián)合壓縮原型能在幾秒鐘內(nèi)運行完畢��,即使是大的數(shù)據(jù)包分類�����。最后��,在實用性方面���,我們的TCAM聯(lián)合壓縮方法可以輕松地部署�����,因為它不要求任何修改現(xiàn)有的數(shù)據(jù)包分類系統(tǒng)�����,不像很多以前范圍擴展的解決方案����。關(guān)鍵詞:包過濾��,分布式方法����,優(yōu)化硬件壓縮萬方數(shù)據(jù)源地址過濾的軟硬件方法優(yōu)化ABSTRACTSourceaddressfiiteringiSusedasanimportantmechanis
8、mtopreventmalicioustraffic.Currently����,mostnetworksstorefiltersinhardwaresuchasTCAM,whichha
