基于Linux拒绝服务攻击防御策略的研究

论文摘要

TCP/IP协议是目前使用最广泛的网络互连协议,但是由于TCP三步握手中存在不安全性,使得Internet具有先天性的不足。随着近几年Internet得到了迅猛的发展,随之而来的网络安全事件开始频繁发生,各种攻击手段层出不穷。以SYN Flooding为代表的分布式拒绝服务攻击和新型分布折射式拒绝服务攻击,是近年来出现的极具破坏力的拒绝服务攻击方式。它们正是利用了TCP/IP这个先天性的缺陷,表现出强大的破坏力,而且难以防范,给Internet的安全性、完整性、可用性等构成了极大的威胁。如何防御SYN Flooding攻击及怎样降低这种攻击所带来的后果引起了全社会网络专家们的广泛关注,并成为目前网络安全界研究的热点。本文针对拒绝服务攻击的防御问题,主要做了如下几个方面的工作:(1)详细分析与研究了当前网络安全技术中几种具有代表性拒绝服务攻击的原理及方法,并分析了各自的优点与不足;(2)分析了当今主流网络层防火墙技术的实现模式,并深入研究了当前在防御SYN Flooding攻击时防火墙常用的三种防护方式(SYN网关、被动式SYN网关和SYN中继)的工作原理和防御性能的优缺点,然后结合以上几种防御算法的优缺点提出了一种针对SYN Flooding攻击的改进算法;(3)在基于Linux操作系统的netfilter架构下,通过设置一个参数N来控制TCB中的半连接数,当TCB队列中的半连接数达到N值时,则自动开启SYN Flooding攻击防御模块,而在防御模块中又设置了时间等待参数T来控制空连接的连接时间,进而实现新型防御SYN Flooding攻击的模块。再配合已有的防火墙工具iptables,使针对SYN Flooding攻击的防御效果得到了进一步的优化。最后,经测试数据证明,通过加载本防御模块,使系统增强了防御SYN Flooding攻击的性能,大大提高了网络安全性。

论文目录

摘要

Abstract

第1章绪论

1.1 拒绝服务攻击起源和发展

1.2 课题的研究背景与意义

1.3 论文结构

第2章拒绝服务攻击研究

2.1 TCP/IP概述

2.1.1 TCP/IP基本结构

2.1.2 TCP三步握手及原理

2.1.3 TCP三步握手的漏洞举例

2.2 拒绝服务攻击概述

2.2.1 全球范围发生拒绝服务攻击的情况

2.2.2 我国网站发生拒绝服务攻击的情况

2.2.3 目前国内外防御拒绝服务攻击的技术情况

2.3 拒绝服务攻击的研究

2.3.1 DoS攻击原理

2.3.2 DDoS攻击原理

2.3.3 DRDoS攻击的原理

2.3.4 攻击的类型

2.3.5 攻击方式

2.4 各种拒绝服务攻击现有防御策略

2.4.1 DoS攻击防御策略

2.4.2 DDoS/DRDoS攻击防御策略

2.4.2.1 基于主机的防护

2.4.2.2 基于网络的防护

第3章针对拒绝服务攻击防御算法的改进

3.1 防火墙综述

3.1.1 防火墙的概念

3.1.2 防火墙的功能

3.1.3 防火墙的分类

3.1.4 防火墙体系结构

3.1.5 防火墙主要技术

3.2 防御SYN Flooding攻击算法的改进

3.2.1 当前现有防火墙算法的分析

3.2.2 防御SYN Flooding攻击的改进算法

3.2.3 防御DRDoS攻击的新算法

3.2.4 防御细节

第4章基于Linux内核拒绝服务攻击防御模型实现

4.1 Linux内核防火墙

4.1.1 Linux防火墙的发展

4.1.2 netfilter概述

4.1.3 netfilter构架

4.1.4 netfilter面向内核的处理

4.1.4.1 数据组织

4.1.4.2 检测点的数据处理

4.1.5 netfilter面向用户的处理

4.1.5.1 数据组织

4.1.5.2 数据处理

4.1.6 防火墙配置工具iptables

4.1.7 iptables功能简介

4.1.8 iptables命令

4.2 基于Linux操作系统防御拒绝服务攻击的实现

4.2.1 防御SYN Flooding攻击算法的实现

4.2.1.1 登记防火墙程序到内核

4.2.1.2 SYN Flooding防御模块的设计

4.2.2 修改内核实现拒绝服务攻击防御

4.2.3 利用iptables提高网络环境

第5章防御测试

5.1 测试模型

5.2 攻击工具

5.3 结果分析

第6章总结与展望

6.1 总结

6.2 展望

参考文献

致谢

研究生履历

基于Linux拒绝服务攻击防御策略的研究

论文摘要

论文目录

相关论文文献

猜你喜欢