Ｙ７６６５８３中山大学硕士学位论文利用Ｃｏｏｋｉｅ实现用户区分单位名称：信息科学与技术学院电子与通信工程系专业名称：无线电物理学位申请人：蔡伟杰指导老师：余顺争教授答辩委员会委员望士堡奈扣讹蓝鍪壶出！垫周查！墓利用Ｃ００ｋｉｅ实现用户区分专业：无线电物理硕士生：蔡伟杰指导老师：余顺争教授摘要近年来，由于ＤＤｏｓｕｌ等恶意攻击的泛滥，网络安全问题受到越来越多的关注。ＤＤｏｓ攻击通过大量消耗服务器及网络的资源，使正常用户无法得到服务，严重影响了网站的正常工作。大型网站尤其是大型活动网站很难对ＤＤｏＳ攻击进行有效的防御。通常，在活动期间，大型活动网站的业务量会保持在很高的水平，其流量甚至不亚于遭受一次ＤＤｏＳ攻击。在大流量的掩盖下，ＤＤｏＳ攻击变得难以检测。如何在大流量的背景下保证网站安全，抵御ＤＤｏＳ攻击，是当前亟需解决的问题。本文讨论了一种针对大型网站的网络安全解决方案——在高效区分网站用户的基础上，通过分析具体用户的行为，判断用户行为的正常程度，根据正常程度对带宽进行重新分配，以达到抑制异常攻击流的目的。在此方案的基础上提出了一种可行的用户区分方案——利用ｃ００ｋｉｅ实现用户区分。即，在服务器的配合下，把用户标识隐藏在ｃｏｏｋｉｅ中，利用用户访问网站时其浏览器发出的请求报文都会带上Ｃｏｏｋｉｅ的特点，使得用户报文带上唯一的标识，由此达到有效区分网站用户的目的。最后，本文在Ｌｉｎｕｘ环境下实现了一个用户区分系统，并给出了其详细设计方案，以及该方案的功能和性能的测试结果。结果表明，该方法确实能有效地区分用户，同时具有较快的处理速度，适合在大流量的背景下使用。关键词：用户区分ＤＤｏＳ攻击网络安全ＣｏｏｋｉｅＡＢＳＴＲＡ（：ｒＵｓｅｒ—Ｃ１ａｓｓｉｆｉｃａｔｉｏｎｗｉｔｈＣｏｏｂｅｓｉｎａｎＩｎｔｍｓｉｏｎＰｒｅＶｅｎｔｉｏｎＳｙｓｔｅｍＭ萄ｏｒ：ＷｉｒｅｌｅｓｓＰｈｙｓｉｃｓＮａＩＩｌｅ：ｗ喇ｉｅＣａｉＳｕｐｅｒｖｉｓｏｒ：ＰｒｏｆｅｓｓｏｒＳｈｕｎｚｈｅ睿?ＹｕＡＢＳＴＲＡＣＴＩｎｒｅｃｅｎｔｖｅａｒｓＤｉｓｔｒｉｂｕｔｅｄＤｅｎｉａｌ—ｏｆ．Ｓｅ九ｒｉｃｅ（ＤＤｏＳ）¨１ａｔｔａｃｋｐｒｅｓｅｎｔｓＩｎｏｓｔｓｅｒｉｏｕｓｍｒｅａｔｓｔｏｔｌｌｅＩｎｔｅｍｅｔ．ＩｔｃａｎｋｅｅｐｔｌｌｅｌｅｇｉｔｉｍａｔｅｕｓｅｒｓｆｍｍｓｅｒｖｉｃｅｂｙｅｘｈａｕｓｔｉｎｇｔＩｌｅｒｅｓｏｕｒｃｅｓｏｆｔｈｅｔａｒｇｅｔｓｅｒｖｅｒａｎｄｎｅｔｗｏｒｋ．Ｌａｒｇｅ—ｓｃａｌｅｗｅｂｓｉｔｃｓｆｏｒｓｐｅｃｉａｌｅｖｅｎｔｓｃａｎａｔｔｒａｃｔｖａｓｔ、ｖｅｂｕｓｅｒｓｔｏｖｉｓｉｔｉｎａｓｈｏｒｔｔｉｍｅ．ＴｈｅｈｅａｖｙａｎｄｂｕｒｓｔｙｗＯｒｋｌｏａｄｎａｔｕｒｅｍａ：ｋｅｓｔｈｅｓｅｗｅｂｓｉｔｅｓｆｒａｇｉｌｅｗｈｅｎｕｎｄｅｒｇｏｉｎｇａＤＤｏＳａｔｔａｃｋ．Ｏｎｅｓｃｈｅｎｌｅｏｆｐｒｏｔｅｃｔｉｎｇｓｕｃｈａｌａｒｇｅ—ｓｃａｌｅｗｅｂｓｉｔｅｆｒｏｍＤＤｏＳａｔｔａｃｋｉｓｔｏａｓｓｉｇｎｔｈｅｕｓｅｒｓｉｎｔｏｄｉｆｆｅｒｅｎｔｃｌａｓｓｅｓａｎｄｇｉｖｅｓｅｒｖｉｃｅｓｂａｓｅｄｏｎｔｔｌｅｉｒｃｌａｓｓｅｓ．Ｉｎｔｔｌｉｓｐａｐｅｒ，ｗｅｆｏｃｕｓＯｎｔｈｅｉｍｐｏｎａｎｔｅｌｅｍｅｍｏｆｍｉｓｓｃｈｅｒｎｃ，ｕｓｅｒｄｉｓｔｉｎｃｔｉｏｎ．ＷｅｍａｒｋｍｅｕｓｅｒｐａｃｋｃｔｗｉｍａｕｎｉｑｕｅｉｄｅｎｔｉｔｙｎｕｍｂｅｒｉｎｍｅＣｏｏｌ（ｉｅｓｅｇｍｅｎｔ．Ｗｈｅｎ山ｅｕｓｅｒｓａｃｃｅｓｓｍｅｓｅｎｒｅｒａｇａｉｎ，山ｅｙｃａｎｂｅｄｉｓｔｉｎｇｕｉｓｈｅｄｗｉｍｔｈｅｉｄｅｎｔｉｔｙｎｕｍｂｅｒ．ＷｅａｌｓｏｉｍｐｌｅⅡｌｅｎｔｏｕｒｕｓｅｒｄｉｓｔｉｎｃｔｉｏｎｍｅｔｌｌｏｄｉｎＬｉｎｕｘｓｙｓｔｅｍａｎｄｔｅｓｔⅡｌｅｒｎｅｔｈｏｄｉｎｅｘｐｅｒｉｍｅｎｔｎｅ“Ⅳｏｒｋ．Ｔｈｅｒｅｓｕｌｔｓｈｏｗｓｏｕｒｍｅｔｈｏｄｄｉｓｔｉｎｇｕｉｓｈ山ｅｕｓｅｒｓｅｆｆｅｃｔｉｖｅＩｙ．Ｋｅｙｗｏｒｄｓ：Ｕｓｅ卜ＣｌａｓｓｉｆｉｃａｔｉｏｎＤＤｏＳＮｅ时ｏｒｋＳｅｃｕｒｉｔｙＣｏｏｎｅ第ｌ章第１章前言１．１研究背景随着Ｉｎｔｅｍｅｔ的发展，各种各样的宽带技术让Ｉｎｔｅｍｅｔ延伸得更广更深。不断增加的带宽，吸引了越来越多的网络用户，直接导致了各网站用户访问量的迅速攀升。访问量的增加，对于商业网站而言，既意味着巨大的商机，也意味着巨大的负担。各种各样的宽带接入，方便了网络用户浏览网上信息，同时也刺激了他们对多媒体服务的需求。需求的增加意味着业务流种类和流量的增加，服务质量问题越来越受到网站的关注。在大流量的背景下，大型网站除了要满足数量庞大的用户需求外，还要提防隐藏在层层路由器和代理背后的黑客、恶意攻击者。网络带宽的提高，满