在路由器上实现抵御DDoS攻击的防火墙的开发

论文摘要

防火墙技术体系作为网络安全领域的一个重要分支,越来越受到业界的关注。目前,基于Linux的防火墙已有很多并各具特点。但是,它们在抵御DoS/DDoS攻击方面,还有些不足。针对于此,本文就DoS/DDoS攻击原理、监测方法、防御手段等方面进行了研究。本文首先简要分析了DoS/DDoS的攻击原理、攻击方式及SYN Cookie的实现原理,对该机制的不足之处进行了较为深入的剖析。使用SYN Cookie机制,一方面可以有效的抵御SYN Flood攻击,另一方面却为ACK Flood攻击提供了机会。为此,本文提出了使用微量内存建立连接表的方法,提升了系统遭受攻击时的生存水平。在攻击监测方面,本文通过分析攻击数据流的特征,提出使用多个门限值的监测方法,提高了监测的准确率,降低了监测的误报率,并在有线驱动中,在网卡收发数据报文的地方实现数据包的捕获,捕获的成功率要优于Libpcap方法。在攻击的防御方面,本文提出了IP身份认证机制,建立状态表对请求连接的IP进行分类,对可信任的IP不进行复杂的过滤,提高了防御的效率,在遭受攻击时最大程度的保证了合法用户的连接。软件编程方面,实现了使用微量内存建立连接表、基于多个门限值的攻击监测模块,使用状态表的IP身份认证机制,并按测试规范进行了较充分的测试。测试结果表明,在抵御SYN/ACK Flood混合攻击的时候,本文设计的防火墙系统要优于Linux自带的SYN Cookie机制,使用本防火墙的路由器产品要优于目前市场上的主流路由器产品。

论文目录

中文摘要

ABSTRACT

第一章绪论

1.1 问题的提出

1.2 研究的现状

1.3 本文主要工作及论文结构

1.3.1 本文主要工作

1.3.2 论文结构

第二章 DoS/DDoS 攻击概述

2.1 DoS/DDoS 攻击原理

2.1.1 DoS 攻击

2.1.2 DDoS 攻击

2.2 DoS/DDoS 攻击的方式与工具

2.2.1 DoS/DDoS 攻击方式概述

2.2.2 DoS/DDoS 攻击工具概述

2.3 现有DoS/DDoS 攻击的防范技术

2.3.1 防火墙技术

2.3.2 加固TCP/IP 协议栈

2.4 本章小结

第三章 SYN Cookie 技术的研究与改进

3.1 SYN Cookie 原理及其在内核中的实现

3.1.1 cookie 的生成

3.1.2 cookie 的验证

3.1.3 SYN Cookie 技术的不足

3.2 对现有SYN Cookie 技术的改进

3.2.1 针对ACK Flood 攻击的改进

3.2.2 针对连接可靠性的改进

3.3 本章小结

第四章一种DoS/DDoS 攻击监测方法的设计与实现

4.1 方案的思路

4.1.1 监测方案的提出

4.1.2 监测方案的实现流程

4.2 方案的实现

4.2.1 数据包的捕获

4.2.2 数据的处理

4.3 configserver 及其相关应用

4.4 本章小结

第五章一种 DoS/DDoS 攻击防御方法的设计与实现

5.1 IP 身份认证机制

5.1.1 状态表的建立

5.1.2 状态表的相关操作

5.2 防御过程中的算法描述

5.2.1 正常情况下的算法描述

5.2.2 异常情况下的算法描述

5.3 防御模块在内核中的实现

5.3.1 Linux 防火墙Netfilter 概述

5.3.2 在Netfilter 上挂载防御模块

5.4 本章小结

第六章测试与分析

6.1 测试工具概述

6.1.1 Ixchariot

6.1.2 WildPackets EtherPeek

6.1.3 TFN2K

6.1.4 Misoskians Packet Builder

6.2 改进后的 SYN Cookie 机制测试

6.2.1 测试环境

6.2.2 测试目的

6.2.3 测试步骤

6.2.4 测试结果及分析

6.3 攻击监测模块的测试

6.3.1 测试环境

6.3.2 测试目的

6.3.3 测试步骤

6.3.4 测试结果及分析

6.4 系统性能对比测试

6.4.1 测试环境

6.4.2 测试目的

6.4.3 测试步骤

6.4.4 测试结果及分析

6.5 本章小结

第七章总结与展望

参考文献

攻读学位期间发表的学术论文

附录 A 常用 DoS/DDoS 攻击工具

致谢

详细摘要

在路由器上实现抵御DDoS攻击的防火墙的开发

论文摘要

论文目录

相关论文文献

猜你喜欢