网络拥塞控制及拒绝服务攻击防范
2009-6
北京邮电大学
王秀利
139
插图:计算机网络发展至今,已成为一个庞大的非线性复杂巨系统,系统的规模和用户数量巨大且仍在不断增长,异质异构的网络不断融合发展,网络中有限的资源被越来越多的用户所共享使用,网络拥塞问题变得更加严重。另外,网络上还存在许多安全威胁,在各种攻击手段中,拒绝服务攻击是最常用的攻击手段。由于其容易实施、难于防范、难于追踪,从而成为较难解决的网络安全问题之一,并且它的攻击效果非常明显,严重危害信息的可用性,降低网络服务的质量,重要的网络服务时时有被攻破或崩溃的危险。这给各行各业带来了巨大的经济损失,导致重要的经济、政治和军事情报被窃取,甚至危及国家安全。如何透彻地认识和理解计算机网络这个人工非线性复杂巨系统,如何有效地管理和控制计算机网络,在理论上和技术上仍然面临许多困难和挑战。网络拥塞控制属于计算机科学、优化理论和控制理论等学科的交叉领域。拥塞控制算法设计的关键问题是如何生成反馈信息以及如何对反馈信息进行响应。而拒绝服务攻击防范的重点则集中于两个方面:缓解攻击所造成的网络拥塞状况;防止被攻击主机资源耗尽。作者根据多年的研究成果和经验,撰写了这本《网络拥塞控制及拒绝服务攻击防范》,希望能给广大读者提供借鉴和参考。作者关于此书内容的研究得到了中国科学院软件研究所王永吉研究员的大力帮助,在此表示诚挚的谢意。本书的出版受到了北京市教育委员会共建项目专项资助,在此表示衷心感谢。还要特别感谢中央财经大学孙宝文教授和朱建明教授在本书出版过程中给予的大力支持和帮助。
本书主要对网络拥塞控制和拒绝服务攻击防范进行了系统研究。首先,深入探讨了其原理,综述了其研究现状,详细分析了其存在的问题等;其次,将优化理论和控制理论中的许多方法和技术应用于网络拥塞控制和拒绝服务攻击防范中,提出了新的拥塞控制算法和攻击防范策略;最后,描述了网络模拟器NS2的模块组成、运行方式、脚本编写及代码结构等,详细说明了如阿对NS2进行功能扩展以实现新的算法,并指出算法评价指标的获取方法。 本书细致而全面地展示了相关领域的研究进展和最新成果,既有较深的理论研究和全面的文献综述,又有网络模拟软件的使用及扩展等。本书具有完整性、新颖性和学术性,可供计算机网络、网络安全等相关领域的教学、科研和工程技术人员参考,也可作为相关专业研究生和高年级本科生的教学参考书。
第1章 绪论 1.1 研究背景 1.1.1 基本问题 1.1.2 研究动机 1.2 主要内容 1.3 组织结构第2章 相关研究 2.1 引言 2.2 拥塞控制研究 2.2.1 流量控制与拥塞控制的关系 2.2.2 拥塞控制算法 2.2.3 拥塞控制源算法 2.2.4 拥塞控制链路算法 2.3 拒绝服务攻击和分布式拒绝服务攻击研究 2.3.1 拒绝服务攻击 2.3.2 分布式拒绝服务攻击 2.4 本章小结第3章 基于D稳定域和ITAE准则的主动队列管理算法 3.1 引言 3.2 典型主动队列管理算法简介 3.3 TCP/AQM模型 3.4 基于D稳定域的PID控制器设计方法 3.5 PID控制器性能准则 3.6 基于D稳定域和ITAE准则的主动队列管理控制器 3.6.1 DITAE—PID优化设计方法 3.6.2 DITAE—PID主动队列管理算法 3.7 性能评价 3.8 本章小结第4章 大时滞网络环境下基于改进TCP/AQM模型的主动队列管理算法 4.1 引言 4.2 简化的TCP/AQM模型及其推导 4.3 基于简化模型的主动队列管理算法性能 4.4 改进的TCP/AQM模型 4.5 基于改进模型的主动队列管理算法 4.6 性能评价 4.7 本章小结第5章 基于微粒群优化理论的主动队列管理算法 5.1 引言 5.2 微粒群优化算法 5.2.1 微粒群算法简介 5.2.2 微粒群算法特点 5.3 适应度函数 5.4 PSO-PID主动队列管理算法 5.5 性能评价 5.6 本章小结第6章 基于拥塞控制和资源调节的DDoS攻击防范策略 6.1 引言 6.2 基于拥塞控制和资源调节的DDoS攻击防范策略框架 6.3 基于IACC算法的回推 6.3.1 回推的工作流程 ……附录A NS2网络模拟器及其扩展附录B 主要缩略语参考文献
第1章 绪论1.1 研究背景随着互联网的飞速发展,互联网用户和应用都在快速地增长,人们对于网络的需求越来越大,对网络服务质量的要求也越来越高,拥塞已经成为一个十分重要的问题。在最初的TCP协议中只有流控制(Flow Control),而没有拥塞控制(Congestion Control),接收端利用TCP报头将接收能力通知发送端,这样的控制机制只考虑了接收端的接收能力,而没有考虑网络的传输能力,导致了网络拥塞崩溃(Congestion Collapse)的发生。1986年10月,由于拥塞崩溃的发生,美国LBL到UC Berkeley的数据吞吐量从32 kbit/s跌落到40 bit/s。拥塞崩溃的发生严重降低网络的性能,从此之后,在拥塞控制领域开展了大量的研究工作。网络拥塞现象的发生和网络的设计机制有着密切的联系。最初设计的网络是非面向连接的分组交换网络,所有的业务分组被不加区分地在网络中传输。网络中采用的服务模式为尽力服务模式(Best Effort),网络能给出的唯一承诺就是尽自己最大的努力传输进入网络的每一个分组,但它无法给出一个定量的性能指标,如吞吐量、端到端时延和分组丢失率等。而无连接网络的节点之间在发送数据之前不需要建立连接。这使得在网络的中间节点上不需要保存和连接有关的状态信息。但是使用无连接模型难以引入“接纳控制”(Admission control)算法,在用户需求大于网络资源时难以保证服务质量。因此网络的性能不仅仅是其本身可以确定的,还受用户施加负载的影响,很显然,这种网络体系结构缺乏一定的隔离和保护机制。网络中有限的资源是由多个用户共享使用的。由于没有“接纳控制”算法,网络无法根据资源的情况限制用户的数量。又由于缺乏中央控制,网络也无法控制用户使用资源的数量。由于网络用户和应用的数量都在迅速增长,当多个用户对网络的需求总量大于网络实际传输能力时,必然会导致网络拥塞的发生。
《网络拥塞控制及拒绝服务攻击防范》由北京市教育委员会共建项目专项资助。