在路由器上利用SYN Cookie原理实现SYN Flood防御

在路由器上利用SYN Cookie原理实现SYN Flood防御

论文摘要

分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是目前互联网上最严重的安全问题之一,互联网上大量的不安全机器的存在、自动化DDoS攻击工具的广泛可获得性以及攻击者通常采用假冒的IP地址等原因,使DDoS攻击的防御和追踪相当困难。目前大多数的DDoS攻击通过TCP协议实现,主要采用TCP洪流攻击。对于DDoS及SYN Flood攻击的研究已经成为信息安全研究的热点,国内外一些厂家,比如Cisco、华为、黑洞、金盾等,已经开发出了专门的应对产品。但要想很好的检测和防范DDoS以彻底保障系统的安全性,就需要我们对DDoS攻击特点进行深入的研究,有针对性的提出解决方案。本文在深入研究了DDoS攻击机制、攻击方法、攻击加强技术及现有的防御和追踪方法后,针对现有的DDoS攻击提出了基于SYN Cookie机制的防御方案。SYN Flood攻击主要目的是发送大量的SYN请求以耗尽服务器的CPU资源和内存,引起服务器宕机,因此该方案从节省资源入手,路由器代理客户端发送的SYN请求,如果发现是非法请求,即不会回应ACK报文,则直接断掉该连接,不会发送给服务器端;如果回应ACK报文,则为有效连接,可以通过路由器和服务建立连接。在路由器上,由于利用了SYN Cookie原理,因此不会为SYN请求分配过多的资源,只需要维护极少的数据即可。本文选择Netfilter做为主要实现框架,利用链接跟踪模块和IP Inspect功能获得相应的数据报信息,并对数据报做适当的处理。最后,对本文所提出的方案进行了理论分析和模拟实验,结果表明基于SYN Cookie机制的防DDoS攻击的方案是有效和可行的。

论文目录

  • 摘要
  • ABSTRACT
  • 第一章 绪论
  • 1.1 研究的意义与背景
  • 1.2 DDoS 攻击及对策的研究现状
  • 1.3 本论文的主要工作
  • 1.4 论文的结构和内容概要
  • 1.5 本章小结
  • 第二章 DDoS攻击原理及常见的防御方法
  • 2.1 TCP 三次握手协议
  • 2.2 DoS 攻击、DDoS 攻击的原理与防御
  • 2.3 SYN Flood 攻击原理
  • 2.4 SYN Flood 攻击防范技术
  • 2.5 本章小结
  • 第三章 TCP/IP协议栈模块构成
  • 3.1 SYN Cookie 原理及其在Linux 内核中的实现
  • 3.2 Netfilter 框架
  • 3.3 链接跟踪机制
  • 第四章 在路由器上利用SYN Cookie 实现SYN Flood 防御
  • 4.1 实现原理
  • 4.2 该模块与其他模块的关联
  • 4.3 在路由器上的实现框架
  • 4.4 在路由器上的实现框架
  • 4.5 测试结果
  • 第五章 总结与展望
  • 5.1 本文总结
  • 5.2 工作展望
  • 参考文献
  • 致谢
  • 附录
  • 攻硕期间取得的研究成果及获奖情况
  • 相关论文文献

    标签:;  ;  ;  

    在路由器上利用SYN Cookie原理实现SYN Flood防御
    下载Doc文档

    猜你喜欢