在路由器上實(shí)現(xiàn)抵御DDoS攻擊的防火墻的開(kāi)發(fā).pdf

1、防火墻技術(shù)體系作為網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)重要分支，越來(lái)越受到業(yè)界的關(guān)注。目前，基于Linux的防火墻已有很多并各具特點(diǎn)。但是，它們?cè)诘钟鵇oS/DDoS攻擊方面，還有些不足。針對(duì)于此，本文就DoS/DDoS攻擊原理、監(jiān)測(cè)方法、防御手段等方面進(jìn)行了研究。 本文首先簡(jiǎn)要分析了DoS/DDoS的攻擊原理、攻擊方式及SYNCookie的實(shí)現(xiàn)原理，對(duì)該機(jī)制的不足之處進(jìn)行了較為深入的剖析。使用SYNCookie機(jī)制，一方面可以有效的抵御SYNF

2、lood攻擊，另一方面卻為ACKFlood攻擊提供了機(jī)會(huì)。 為此，本文提出了使用微量?jī)?nèi)存建立連接表的方法，提升了系統(tǒng)遭受攻擊時(shí)的生存水平。在攻擊監(jiān)測(cè)方面，本文通過(guò)分析攻擊數(shù)據(jù)流的特征，提出使用多個(gè)門(mén)限值的監(jiān)測(cè)方法，提高了監(jiān)測(cè)的準(zhǔn)確率，降低了監(jiān)測(cè)的誤報(bào)率，并在有線驅(qū)動(dòng)中，在網(wǎng)卡收發(fā)數(shù)據(jù)報(bào)文的地方實(shí)現(xiàn)數(shù)據(jù)包的捕獲，捕獲的成功率要優(yōu)于Libpcap方法。在攻擊的防御方面，本文提出了IP身份認(rèn)證機(jī)制，建立狀態(tài)表對(duì)請(qǐng)求連接的IP進(jìn)行分類(lèi)，