防御TCP DDoS攻擊的算法研究及其在LINUX中的實現(xiàn).pdf

1、近些年來，隨著網(wǎng)絡的飛速發(fā)展，網(wǎng)絡攻擊頻繁發(fā)生，攻擊方式更是層出不窮。分布式拒絕服務攻擊DDoS是互聯(lián)網(wǎng)環(huán)境下最具有破壞力的一種攻擊方式，尤其以SYN Flood攻擊方式為代表，它利用了傳統(tǒng)TCP/IP協(xié)議中三次握手協(xié)議的不安全性，向互聯(lián)網(wǎng)服務器發(fā)送大量的SYN報文。由于服務器接收大量無效的sYN報文，而使得正常的SYN報文無法得到及時響應。如何檢測這種攻擊發(fā)生以及如何降低這種攻擊所帶來的后果已成為目前Internet安全界研究的熱點問

2、題。 針對這一問題，本文在Linux環(huán)境下，通過在客戶機與服務器之間構建防火墻來有效過濾SYN Flood攻擊包，以實現(xiàn)有效地抵御SYN Flooding洪水攻擊。利用TCP數(shù)據(jù)包流量的自相似性以及對網(wǎng)絡流量的實時監(jiān)控，當sYN洪水攻擊發(fā)生時，我們可以作出迅速的響應。對于SYN連接數(shù)據(jù)包，在不同情況下采用不同的過濾方式：在正常情況下;采用TCP三次握手協(xié)議來建立連接，同時將合法ACK包的源IP存放到歷史記錄hash表中，以便于

3、在發(fā)生DDoS攻擊時作為參考；在被攻擊情況下，首先通過MULTOPS方案確定被攻擊的目標主機，采用數(shù)據(jù)包分煉機制，即對正常主機和被攻擊主機的連接請求數(shù)據(jù)包，采用不同的方式進行連接：(1)對正常主機的連接請求仍然采用17CP三次握手協(xié)議進行連接；(2)對于被攻擊主機的連接請求，首先提取SYN包中的源IP，利用此IP在歷史記錄hash表中進行查找，如果找到，則采用TCP三次握手協(xié)議進行連接；如果未找到，需要進一步確定攻擊強度，若攻擊強度為O