基于多队列网卡构建抵御SYN洪泛攻击的网络应用

摘要

SYN洪泛攻击是目前网络中危害最大的拒绝服务攻击，由于很难区分攻击请求与正常请求，SYN洪泛攻击很难防御，目前提出的各种防御措施均不能保证网络设备在SYN洪泛攻击中存活。流量监视在网络管理、入侵检测及应用性能监视等方面有着广泛的应用。尽管流量监视系统不一定是SYN洪泛攻击的目标，但由于流量监视系统需要监视每一个TCP连接的状态，同样会成为SYN洪泛攻击的受害者。
　　 随着链路速度的提高与网络流量的增大，网络设备及终端设备面临巨大的压力，成为网络应用的性能瓶颈。除了使用专门的硬件来加速网络处理外，多核处理器的出现为该问题的解决提供了另一种思路。网络程序并行化目前多采用流亲和性原则，利用一个哈希函数将属于同一个流的数据包分配到同一个核上处理。在出现SYN洪泛攻击时，这种方法会将攻击流分布到所有核上，导致整个系统崩溃。
　　 最新的Intel10Gbps网卡提供了SYN包过滤机制，可将SYN标志为1和SYN标志为0的包置于不同的硬件队列，为区分可能的攻击流和正常流提供了硬件支持。目前尚未有文献报导利用网卡的这个特性来建立网络应用系统。本文将多队列网卡的这个特性应用到一个基于多核处理器的网络流量监视系统中，为此修改了底层驱动以打开SYN包过滤功能，并设计了一个与SYN包过滤机制配合使用的TCP连接管理方法，解决了该TCP连接管理在实施时需要解决的问题。利用包踪迹文件的测试表明，该流量监视系统可在遭受SYN洪泛攻击时正常监视已经建立的连接，并能够自动恢复被攻击包阻塞的核。

目录

声明

摘要

第1章 绪论

1．1 分布式拒绝服务攻击

1．2 SYN洪泛攻击

1．3 基于通用多核平台的高速网络处理系统

1．4 论文主要工作与内容组织

第2章 相关技术基础

2．1 Intel多队列网卡

2．2 网卡驱动程序

2．2．1 Linux网卡驱动

2．2．2 IO-Engine

2．3 基于多核处理器的网络处理平台

2．4 本章小结

第3章 支持SYN包过滤的TCP连接管理

3．1 多核处理器上常规的流量监视系统结构模型

3．2 基于SYN包过滤机制的流量监视系统结构模型

3．3 朴素的TCB迁移方案

3．4 基于无锁队列通信的TCB迁移方案

3．4．1 使用无锁队列进行核间通信

3．4．2 基于无锁队列通信的TCB管理过程

3．5 支持SYN包过滤机制的TCP连接管理方案的实施

3．5．1 超时处理

3．5．2 从连接的中间开始监视

3．5．3 TCB的分配与释放

3．5．4 SYN核阻塞后的处理

3．5．5 SYN核和ACK核上的处理流程

3．5．6 优化措施

3．6 对比方案-REQUEST_ONCE

3．6．1 对比方案设计

3．6．2 对比方案的TCB管理过程

3．7 本章小结

第4章 实验系统建立与实验分析

4．1 实验系统建立

4．2 实验设置

4．3 抵御SYN洪泛攻击的可行性验证实验

4．3．1 不同方案系统遭受SYN洪泛攻击可行性比较

4．3．2 Split-TCP方案遭受SYN洪泛攻击的性能测试

4．4 系统性能实验

4．4．1 Split-TCP方案未处理UNKNOWN连接

4．4．2 Split-TCP方案处理UNKNOWN连接

4．4．3 Split-TCP方案使用更多的踪迹文件进行比较

4．5 REQUEST_ONCE方案的性能测试

4．5．1 REQUEST_ONCE方案未处理UNKNOWN连接

4．5．2 REQUEST_ONCE处理UNKNOWN连接

4．6 本章小结

第5章 结束语

5．1 论文总结

5．2 进一步的工作

参考文献

致谢

在读期间发表的学术论文与取得的研究成果