基于Netfilter的DDoS防火墻設計與實現(xiàn).pdf

1、在眾多計算機網(wǎng)絡攻擊行為當中，最重要的一種為分布式拒絕服務(DDoS)攻擊。DDoS攻擊利用網(wǎng)絡協(xié)議的設計缺陷發(fā)起，攻擊原理簡單，攻擊工具多樣，造成的損失非常嚴重，并且難以防范。
　　 防火墻作為網(wǎng)絡安全方面的一個重要產(chǎn)品，在維護網(wǎng)絡安全中做出了重要的貢獻，并隨著網(wǎng)絡技術的發(fā)展不斷的提高和完善。傳統(tǒng)的包過濾防火墻只能對數(shù)據(jù)包進行簡單的過濾，很難適應不斷發(fā)展的網(wǎng)絡安全需要。狀態(tài)檢測防火墻作為目前流行的防火墻技術，可以將某一時間段內

2、特征相近的數(shù)據(jù)包關聯(lián)起來進行檢測，使其對DDoS攻擊的防御成為可能。
　　 本文基于對各種常見DDoS攻擊原理和攻擊方法的深入分析，重點研究防火墻技術相關內容。本文在分析LinuxNetfilter防火墻架構的基礎上，設計實現(xiàn)了一款基于LinuxNetfilter的DDoS防火墻系統(tǒng)。該防火墻根據(jù)靜態(tài)包過濾規(guī)則，實現(xiàn)包過濾防火墻的相關功能；同時結合狀態(tài)檢測防火墻技術，將多個數(shù)據(jù)包組織成連接會話流，并根據(jù)DDoS攻擊特征以及狀態(tài)檢