基于負(fù)載分析和TCP協(xié)議一致性的SYN Flood檢測(cè)與防御機(jī)制.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)逐漸深入到生活和工作的各個(gè)方面，隨之而來的網(wǎng)絡(luò)安全問題日益嚴(yán)峻。黑客攻擊屢見不鮮，分布式拒絕服務(wù)攻擊DDoS是黑客管用的一種方便有效的攻擊手段，是互聯(lián)網(wǎng)中最具破壞力的攻擊方式之一。據(jù)統(tǒng)計(jì)，90％以上的DDoS攻擊使用TCP協(xié)議，而其中的SYN Flood正事利用TCP協(xié)議的漏洞對(duì)目標(biāo)服務(wù)器進(jìn)行攻擊，消耗服務(wù)器資源，是最為常見的一種DDoS攻擊方式。因此討論如何有效檢測(cè)出SYN Flood的發(fā)生，降低SYN F

2、lood攻擊帶來的破壞，對(duì)保護(hù)互聯(lián)網(wǎng)安全具有現(xiàn)實(shí)意義。
　　本文首先對(duì)現(xiàn)有的SYN Flood檢測(cè)和防御方法進(jìn)行了深入研究，并對(duì)SYN Flood攻擊原理進(jìn)行分析。通過分析得知，大部分的攻擊工具所產(chǎn)生的攻擊數(shù)據(jù)包在一些參數(shù)上保持一致，比如數(shù)據(jù)報(bào)總長(zhǎng)度，TTL，源端口號(hào)等等，基于以上特點(diǎn)，本文提出了基于負(fù)載分析的TCP SYN Flood檢測(cè)機(jī)制。
　　此外，本文通過利用TCP協(xié)議超時(shí)重傳機(jī)制，提出了基于協(xié)議一致性的防御機(jī)制。

3、這種機(jī)制采用故意丟包的思想，將每個(gè)IP地址發(fā)來的第一個(gè)SYN數(shù)據(jù)包丟棄，接下來的SYN數(shù)據(jù)包只有遵守TCP超時(shí)重傳機(jī)制才能通過。由于攻擊者并不需要得到服務(wù)器的回應(yīng)，不遵守超時(shí)重傳機(jī)制，所以他們發(fā)送的SYN數(shù)據(jù)包將被過濾掉。反之，由于合法用戶的協(xié)議一致性行為，他們的SYN數(shù)據(jù)包能夠通過故意丟包的過濾算法到達(dá)服務(wù)器。
　　本文將以上兩種機(jī)制相結(jié)合，提出了基于負(fù)載分析和TCP協(xié)議一致性的SYN Flood檢測(cè)與防御機(jī)制。本文通過Wind