在路由器上利用SYN Cookie實現(xiàn)SYN Flood防御-Final Version.pdf

1、分布式拒絕服務(wù)(Distributed Denial of Service，DDoS)攻擊是目前互聯(lián)網(wǎng)上最嚴(yán)重的安全問題之一，互聯(lián)網(wǎng)上大量的不安全機器的存在、自動化：DDoS攻擊工具的廣泛可獲得性以及攻擊者通常采用假冒的IP地址等原因，使DDoS攻擊的防御和追蹤相當(dāng)困難。目前大多數(shù)的DDoS攻擊通過TCP協(xié)議實現(xiàn)，主要采用TCP洪流攻擊。對于：DDoS及SYN Flood攻擊的研究已經(jīng)成為信息安全研究的熱點，國內(nèi)外一些廠家，比如Cisc

2、o、華為、黑洞、金盾等，已經(jīng)開發(fā)出了專門的應(yīng)對產(chǎn)品。但要想很好的檢測和防范DDoS以徹底保障系統(tǒng)的安全性，就需要我們對DDoS攻擊特點進行深入的研究，有針對性的提出解決方案。 本文在深入研究了DDoS攻擊機制、攻擊方法、攻擊加強技術(shù)及現(xiàn)有的防御和追蹤方法后，針對現(xiàn)有的DDoS攻擊提出了基于SYN Cookie機制的防御方案。 SYN Flood攻擊主要目的是發(fā)送大量的SYN請求以耗盡服務(wù)器的CPu資源和內(nèi)存，引起服務(wù)器宕

3、機，因此該方案從節(jié)省資源入手，路由器代理客戶端發(fā)送的sYN請求，如果發(fā)現(xiàn)是非法請求，即不會回應(yīng)ACK報文，則直接斷掉該連接，不會發(fā)送給服務(wù)器端；如果回應(yīng)．ACK報文，則為有效連接，可以通過路由器和服務(wù)建立連接。在路由器上，由于利甩了SYN Cookie原理，因此不會為SYN請求分配過多的資源，只需要維護極少的數(shù)據(jù)即可。本文選擇Netfilter做為主要實現(xiàn)框架，利用鏈接跟蹤模塊和IP Inspect功能獲得相應(yīng)的數(shù)據(jù)報信息，并對數(shù)據(jù)報做