基于多隊列網卡構建抵御SYN洪泛攻擊的網絡應用.pdf

1、SYN洪泛攻擊是目前網絡中危害最大的拒絕服務攻擊，由于很難區(qū)分攻擊請求與正常請求，SYN洪泛攻擊很難防御，目前提出的各種防御措施均不能保證網絡設備在SYN洪泛攻擊中存活。流量監(jiān)視在網絡管理、入侵檢測及應用性能監(jiān)視等方面有著廣泛的應用。盡管流量監(jiān)視系統(tǒng)不一定是SYN洪泛攻擊的目標，但由于流量監(jiān)視系統(tǒng)需要監(jiān)視每一個TCP連接的狀態(tài)，同樣會成為SYN洪泛攻擊的受害者。
　　 隨著鏈路速度的提高與網絡流量的增大，網絡設備及終端設備面臨巨

2、大的壓力，成為網絡應用的性能瓶頸。除了使用專門的硬件來加速網絡處理外，多核處理器的出現(xiàn)為該問題的解決提供了另一種思路。網絡程序并行化目前多采用流親和性原則，利用一個哈希函數(shù)將屬于同一個流的數(shù)據(jù)包分配到同一個核上處理。在出現(xiàn)SYN洪泛攻擊時，這種方法會將攻擊流分布到所有核上，導致整個系統(tǒng)崩潰。
　　 最新的Intel10Gbps網卡提供了SYN包過濾機制，可將SYN標志為1和SYN標志為0的包置于不同的硬件隊列，為區(qū)分可能的攻擊流