基于专用协议栈的多层网络防火墙的研究与实现

论文摘要

本文是基于专用协议栈的多层网络防火墙的研究与实现。本防火墙系统以Linux操作系统为平台,通过模块加载的方式动态修改操作系统的网络流程,建立自己的专用协议栈,并以透明、安全、高效为主要目标,建立起从数据链路层、网络层到传输层,层层防御的多层防火墙系统。就通用操作系统上构建的软件防火墙而言,大多数都是采用通用的TCP/IP协议栈,不可避免带来了一些隐患。我们摒弃了通用的TCP/IP协议栈,严格按照RFC相关文档重新设计、实现了一套专用的TCP/IP协议栈。由于防火墙的广泛应用,黑客们已经开发出更加巧妙的攻击手段,从底层通信协议到应用层程序的所有内在弱点都成为攻击目标。所以为了保护网络的安全,有必要提供多个层面上的安全措施。多层防火墙具体体现在二个方面:一是从数据包过滤的角度来看,从数据链路层、网络层到传输层,层层设防,将不合法的包尽早过滤,从而减轻防火墙的处理负担,提高效率和安全性;二是从黑客入侵的角度来看,从信息收集、端口扫描到发起DoS攻击整个流程进行防范。在数据链路层,通过对ARP协议的改进,解决了以下三个问题:(1)实现了透明模式,并采用ARP代理技术,解决了防火墙跨网段管理的问题。(2)利用ARP保护基于MAC绑定的局域网中已关机主机的IP地址。(3)通过对IP与MAC地址的绑定和对ICMP重定向报文的处理,有效地对ARP欺骗进行防范。在网络层,本文提出了一种高效安全的防火墙分片处理策略。利用第一个分片处理结果来处理其它分片包,减轻了防火墙的负载,并创造性地在防火墙系统中应用伸展树算法对分片进行重组,提高了重组的效率和降低对存储空间的需求。对于防御拒绝服务攻击与端口扫描,我们在网络层与传输层分别采取相应的措施进行防范。并首次提出了在Linux内核中嵌入监测代码和防范程序,实现了对Smurf攻击的实时监测与防范。最后,对论文所作的工作进行了总结,并指出了进一步要做的研究工作。

论文目录

前言

第一章系统架构

1.1 防火墙概述

1.2 防火墙体系结构

1.3 防火墙的功能模块

1.3.1 ARP包处理模块

1.3.2 IP接收与攻击防范模块、接收模块

1.3.3 数据包处理流程

1.4 系统运行平台和开发工具

1.4.1 运行平台

1.4.1 开发工具

第二章网络数据包捕获模块设计与实现

2.1 Linux IP报文处理流程

2.2 软中断

2.3 数据包截获模块的实现

第三章 ARP协议的改进与实现

3.1 ARP协议概述

3.1.1 ARP的概念及其工作原理

3.1.2 ARP的分组格式

3.2 透明接入

3.2.1 透明接入的概念

3.2.2 ARP代理技术的原理分析

3.2.3 透明接入的实现

3.3 IP地址的MAC绑定

3.4 ARP欺骗

3.4.1 ARP协议弱点与ARP欺骗

3.4.2 同一网段的ARP欺骗

3.4.3 不同网段的ARP欺骗

3.4.4 ARP欺骗的防御

3.5 小结

第四章分片重组算法的实现

4.1 分片概述

4.2 分片攻击

4.3 分片处理策略

4.3.1 分片包的处理流程

4.3.2 分片组装与连接跟踪处理

4.3.3 程序流程

4.4 分片重组的实现

4.5 算法性能分析

4.6 小结

第五章 DoS攻击及其防范

5.1 拒绝服务攻击（Denial of Service）

5.1.1 简介

5.1.2 工作原理

5.2 DoS攻击检测

5.2.1 DoS攻击检测的主要方法

5.2.2 模式匹配方法的改进

5.3 DoS攻击的防范

5.3.1 TCP相关的攻击

5.3.2 UDP相关的攻击

5.3.3 IP相关的攻击

5.3.4 ICMP相关的攻击

5.4 Smurf攻击的防范

5.4.1 Smurf攻击

5.4.2 Smurf攻击的监测

5.4.3 Smurf攻击防范的实现

5.5 小结

第六章端口扫描检测

6.1 TCP/IP建立连接的过程

6.1.1 TCP标志位

6.1.2 TCP连接

6.2 端口扫描的分析

6.2.1 TCP端口扫描的分析

6.2.2 UDP扫描的分析

6.3 端口扫描的检测

6.3.1 区分端口扫描包与非端口扫描包的方法

6.3.2 检测分段扫描的方法

6.3.3 解决知名端口和漏洞端口扫描的方法

6.3.4 端口扫描检测的包处理流程

6.4 小结

第七章总结与展望

附录:防火墙的测试

参考文献

在校期间发表论文清单

鸣谢

基于专用协议栈的多层网络防火墙的研究与实现

论文摘要

论文目录

相关论文文献

猜你喜欢