在路由器上实现抵御DDoS攻击的防火墙的开发

摘要

防火墙技术体系作为网络安全领域的一个重要分支，越来越受到业界的关注。目前，基于Linux的防火墙已有很多并各具特点。但是，它们在抵御DoS/DDoS攻击方面，还有些不足。针对于此，本文就DoS/DDoS攻击原理、监测方法、防御手段等方面进行了研究。 本文首先简要分析了DoS/DDoS的攻击原理、攻击方式及SYNCookie的实现原理，对该机制的不足之处进行了较为深入的剖析。使用SYNCookie机制，一方面可以有效的抵御SYNFlood攻击，另一方面却为ACKFlood攻击提供了机会。 为此，本文提出了使用微量内存建立连接表的方法，提升了系统遭受攻击时的生存水平。在攻击监测方面，本文通过分析攻击数据流的特征，提出使用多个门限值的监测方法，提高了监测的准确率，降低了监测的误报率，并在有线驱动中，在网卡收发数据报文的地方实现数据包的捕获，捕获的成功率要优于Libpcap方法。在攻击的防御方面，本文提出了IP身份认证机制，建立状态表对请求连接的IP进行分类，对可信任的IP不进行复杂的过滤，提高了防御的效率，在遭受攻击时最大程度的保证了合法用户的连接。 软件编程方面，实现了使用微量内存建立连接表、基于多个门限值的攻击监测模块，使用状态表的IP身份认证机制，并按测试规范进行了较充分的测试。测试结果表明，在抵御SYN/ACKFlood混合攻击的时候，本文设计的防火墙系统要优于Linux自带的SYNCookie机制，使用本防火墙的路由器产品要优于目前市场上的主流路由器产品。

目录

文摘

英文文摘

声明

第一章 绪论

1.1问题的提出

1.2研究的现状

1.3本文主要工作及论文结构

1.3.1本文主要工作

1.3.2论文结构

第二章 DoS/DDoS攻击概述

2.1 DoS/DDoS攻击原理

2.1.1 DoS攻击

2.1.2 DDoS攻击

2.2 DoS/DDoS攻击的方式与工具

2.2.1 DoS/DDoS攻击方式概述

2.2.2 DoS/DDoS攻击工具概述

2.3现有DoS/DDoS攻击的防范技术

2.3.1防火墙技术

2.3.2加固TCP/IP协议栈

2.4本章小结

第三章 SYN Cookie技术的研究与改进

3.1 SYN Cookie原理及其在内核中的实现

3.1.1 cookie的生成

3.1.2 cookie的验证

3.1.3 SYN Cookie技术的不足

3.2对现有SYN Cookie技术的改进

3.2.1针对ACK Flood攻击的改进

3.2.2针对连接可靠性的改进

3.3本章小结

第四章 一种DoS/DDoS攻击监测方法的设计与实现

4.1方案的思路

4.1.1监测方案的提出

4.1.2监测方案的实现流程

4.2方案的实现

4.2.1数据包的捕获

4.2.2数据的处理

4.3 configserver及其相关应用

4.4本章小结

第五章 一种DoS/DDoS攻击防御方法的设计与实现

5.1 IP身份认证机制

5.1.1状态表的建立

5.1.2状态表的相关操作

5.2防御过程中的算法描述

5.2.1正常情况下的算法描述

5.2.2异常情况下的算法描述

5.3防御模块在内核中的实现

5.3.1 Linux防火墙Netfilter概述

5.3.2在Netfilter上挂载防御模块

5.4本章小结

第六章 测试与分析

6.1测试工具概述

6.1.1 Ixchariot

6.1.2 WildPackets EtherPeek

6.1.3 FFN2K

6.1.4 Misoskians Packet Builder

6.2改进后的SYN Cookie机制测试

6.2.1测试环境

6.2.2测试目的

6.2.3测试步骤

6.2.4测试结果及分析

6.3攻击监测模块的测试

6.3.1测试环境

6.3.2测试目的

6.3.3测试步骤

6.3.4测试结果及分析

6.4系统性能对比测试

6.4.1测试环境

6.4.2测试目的

6.4.3测试步骤

6.4.4测试结果及分析

6.5本章小结

第七章 总结与展望

参考文献

攻读学位期间发表的学术论文

附录A常用DoS/DDoS攻击工具

致谢