面向小型網(wǎng)站的拒絕服務(wù)攻擊檢測(cè)及防范系統(tǒng)的研究和實(shí)現(xiàn).pdf

1、該文首先介紹了拒絕服務(wù)攻擊對(duì)因特網(wǎng)造成的危害,并從IP欺騙的角度,對(duì)不同種類的拒絕服務(wù)攻擊的原理進(jìn)行了分析,總結(jié)了對(duì)它們的檢測(cè)及防范方法,尤其是對(duì)危害TCP服務(wù)的SYN-flood攻擊,做了重點(diǎn)分析,歸納出多種檢測(cè)及防范方法,并做了一定的對(duì)比.從這些分析中,我們發(fā)現(xiàn),對(duì)于SYN-flood和UDP-flood這些以資源消耗和帶寬占用為手段的攻擊方式,在現(xiàn)有協(xié)議條件下,不管系統(tǒng)是否有漏洞均能發(fā)起攻擊,因而無(wú)法通過(guò)打補(bǔ)丁來(lái)實(shí)現(xiàn)防范;而且傳統(tǒng)

2、的檢測(cè)及防范方法,人工參與過(guò)多,無(wú)法對(duì)發(fā)生的攻擊作出及時(shí)響應(yīng).針對(duì)以上情況,我們利用Linux內(nèi)核源代碼開(kāi)放的優(yōu)點(diǎn),在現(xiàn)有物質(zhì)技術(shù)條件非常有限的情況下,在內(nèi)核IP層實(shí)現(xiàn)了一個(gè)面向小型網(wǎng)站的內(nèi)核模塊,來(lái)檢測(cè)和防范上述兩種攻擊,并通過(guò)字符設(shè)備驅(qū)動(dòng)程序和用戶空間程序構(gòu)成一個(gè)利于監(jiān)控的較完整的系統(tǒng).該系統(tǒng)針對(duì)SYN-cookies的不足,建立了SYN-cookies自動(dòng)開(kāi)啟的機(jī)制,只有當(dāng)遭到SYN-flood攻擊時(shí)才打開(kāi)SYN-cookies,

3、當(dāng)攻擊結(jié)束后又將它及時(shí)關(guān)閉,有效地減輕了SYN-cookies對(duì)正常服務(wù)所造成的負(fù)面影響.針對(duì)較難防范的帶有隨機(jī)IP欺騙的UDP-flood攻擊,給出了一種過(guò)濾算法,維持了攻擊發(fā)生前一段時(shí)間內(nèi)正在進(jìn)行的正常服務(wù),比禁止一切UDP業(yè)務(wù)流的一般做法前進(jìn)了一步.該算法在內(nèi)核IP層加以實(shí)現(xiàn),通過(guò)構(gòu)造一個(gè)哈希查找函數(shù),使算法的時(shí)間復(fù)雜度在最壞的情況下為O(n),具有較好的實(shí)時(shí)過(guò)濾效果.為便于監(jiān)控,我們還探討了字符設(shè)備驅(qū)動(dòng)程序在系統(tǒng)中的應(yīng)用.它用于