Managing Congestion in Mobile Devices by Combating TCP Based Attacks

作     者：NJUKI S.N.（桑胜） 

作者单位：中南大学 

学位级别：硕士

导师姓名：王建新

授予年度：2011年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：拥塞控制 TCP三次握手 移动设备 防火墙 泛洪攻击 丢包策略 

摘      要：基于传输控制协议（Transmission Control Protocol, TCP）的攻击是拒绝服务攻击的一种,且所有TCP/IP实施在一定程度上都是脆弱的。每个半开放的TCP连接使得服务器向数据结构中添加一条记录以存储所有挂起连接的描述信息。这个数据结构的大小是受限的,攻击行为能够通过故意制造大量的部分开放性连接而造成信息溢出。受侵服务器系统上半开放连接数据结构将最终被填充,如果不将数据结构表清空,系统将会无法接收到新到达的连接。一般来说,一个挂起连接都会设置一个超时时限,所以半开放连接最终将终止,受侵系统将恢复。然而,攻击系统可以简单地持续发送欺骗性的IP数据包,并且使用超过受侵系统可终止挂起连接的速度去建立新的连接。在某些情况下,系统内存将会被耗尽,系统将崩溃或不起作用。 本论文提出的机制主要是为了节约移动设备的有限资源,并且核查攻击来源以检测出无效的或欺骗性的确认（ACK）和复位（RST）。 目前,已存在一些解决低带宽移动设备拥塞控制和丢包策略的方案,其中一种方案使用防火墙进行验证。本论文提出了一种改进方法,在解决基于TCP攻击的同时减小了TCP建立连接的延时。该方法的基本思想是,在允许客户端连接到网络之前通过防火墙检测其有效性。具体过程是：首先,客户端通过防火墙发送一个同步请求（SYN request）给TCP服务器;其次,防火墙发送一个带有错误序列号的同步／确认（SYN/ACK）给客户端;再次,客户端发送一个复位（RST）给防火墙,防火墙在发送SYN给服务器之前检测该复位的序列号是否匹配;然后,服务器通过防火墙返回一个同步／确认（SYN/ACK）给客户端;最后,防火墙在收到客户端发来的ACK后复查SYN、RST和ACK的序列号。如果这些序列号匹配,将允许客户端与网络连接,否则,防火墙使用建议的丢弃无效分组机制（Drop Invalid packets Mechanism, DIM）通过发送RST来要求服务器释放所有与客户端相关的资源。除此之外,防火墙使用一个计时器等待RST和ACK。如果超过了设定的时间没有收到这些信息,则该客户端被证明是无效的,因此丢弃该连接。相关实验的研究结果表明,此验证引起的延时仅仅在微秒级,提高了先前解决方案的性能,且对于欺骗分组的及时丢弃减小了移动设备网络中的拥塞程度。