防御TCP DDoS攻擊的算法研究及其在LINUX中的實現(xiàn).pdf

1、近些年來，隨著網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)攻擊頻繁發(fā)生，攻擊方式更是層出不窮。分布式拒絕服務(wù)攻擊DDoS是互聯(lián)網(wǎng)環(huán)境下最具有破壞力的一種攻擊方式，尤其以SYN Flood攻擊方式為代表，它利用了傳統(tǒng)TCP/IP協(xié)議中三次握手協(xié)議的不安全性，向互聯(lián)網(wǎng)服務(wù)器發(fā)送大量的SYN報文。由于服務(wù)器接收大量無效的sYN報文，而使得正常的SYN報文無法得到及時響應(yīng)。如何檢測這種攻擊發(fā)生以及如何降低這種攻擊所帶來的后果已成為目前Internet安全界研究的熱點問

2、題。 針對這一問題，本文在Linux環(huán)境下，通過在客戶機(jī)與服務(wù)器之間構(gòu)建防火墻來有效過濾SYN Flood攻擊包，以實現(xiàn)有效地抵御SYN Flooding洪水攻擊。利用TCP數(shù)據(jù)包流量的自相似性以及對網(wǎng)絡(luò)流量的實時監(jiān)控，當(dāng)sYN洪水攻擊發(fā)生時，我們可以作出迅速的響應(yīng)。對于SYN連接數(shù)據(jù)包，在不同情況下采用不同的過濾方式：在正常情況下;采用TCP三次握手協(xié)議來建立連接，同時將合法ACK包的源IP存放到歷史記錄hash表中，以便于

3、在發(fā)生DDoS攻擊時作為參考；在被攻擊情況下，首先通過MULTOPS方案確定被攻擊的目標(biāo)主機(jī)，采用數(shù)據(jù)包分煉機(jī)制，即對正常主機(jī)和被攻擊主機(jī)的連接請求數(shù)據(jù)包，采用不同的方式進(jìn)行連接：(1)對正常主機(jī)的連接請求仍然采用17CP三次握手協(xié)議進(jìn)行連接；(2)對于被攻擊主機(jī)的連接請求，首先提取SYN包中的源IP，利用此IP在歷史記錄hash表中進(jìn)行查找，如果找到，則采用TCP三次握手協(xié)議進(jìn)行連接；如果未找到，需要進(jìn)一步確定攻擊強(qiáng)度，若攻擊強(qiáng)度為O