面向小型網(wǎng)站的拒絕服務(wù)攻擊檢測及防范系統(tǒng)的研究和實現(xiàn).pdf

1、該文首先介紹了拒絕服務(wù)攻擊對因特網(wǎng)造成的危害,并從IP欺騙的角度,對不同種類的拒絕服務(wù)攻擊的原理進行了分析,總結(jié)了對它們的檢測及防范方法,尤其是對危害TCP服務(wù)的SYN-flood攻擊,做了重點分析,歸納出多種檢測及防范方法,并做了一定的對比.從這些分析中,我們發(fā)現(xiàn),對于SYN-flood和UDP-flood這些以資源消耗和帶寬占用為手段的攻擊方式,在現(xiàn)有協(xié)議條件下,不管系統(tǒng)是否有漏洞均能發(fā)起攻擊,因而無法通過打補丁來實現(xiàn)防范;而且傳統(tǒng)

2、的檢測及防范方法,人工參與過多,無法對發(fā)生的攻擊作出及時響應(yīng).針對以上情況,我們利用Linux內(nèi)核源代碼開放的優(yōu)點,在現(xiàn)有物質(zhì)技術(shù)條件非常有限的情況下,在內(nèi)核IP層實現(xiàn)了一個面向小型網(wǎng)站的內(nèi)核模塊,來檢測和防范上述兩種攻擊,并通過字符設(shè)備驅(qū)動程序和用戶空間程序構(gòu)成一個利于監(jiān)控的較完整的系統(tǒng).該系統(tǒng)針對SYN-cookies的不足,建立了SYN-cookies自動開啟的機制,只有當遭到SYN-flood攻擊時才打開SYN-cookies,

3、當攻擊結(jié)束后又將它及時關(guān)閉,有效地減輕了SYN-cookies對正常服務(wù)所造成的負面影響.針對較難防范的帶有隨機IP欺騙的UDP-flood攻擊,給出了一種過濾算法,維持了攻擊發(fā)生前一段時間內(nèi)正在進行的正常服務(wù),比禁止一切UDP業(yè)務(wù)流的一般做法前進了一步.該算法在內(nèi)核IP層加以實現(xiàn),通過構(gòu)造一個哈希查找函數(shù),使算法的時間復(fù)雜度在最壞的情況下為O(n),具有較好的實時過濾效果.為便于監(jiān)控,我們還探討了字符設(shè)備驅(qū)動程序在系統(tǒng)中的應(yīng)用.它用于