在路由器上利用SYN Cookie實(shí)現(xiàn)SYN Flood防御-Final Version.pdf

1、分布式拒絕服務(wù)(Distributed Denial of Service，DDoS)攻擊是目前互聯(lián)網(wǎng)上最嚴(yán)重的安全問(wèn)題之一，互聯(lián)網(wǎng)上大量的不安全機(jī)器的存在、自動(dòng)化：DDoS攻擊工具的廣泛可獲得性以及攻擊者通常采用假冒的IP地址等原因，使DDoS攻擊的防御和追蹤相當(dāng)困難。目前大多數(shù)的DDoS攻擊通過(guò)TCP協(xié)議實(shí)現(xiàn)，主要采用TCP洪流攻擊。對(duì)于：DDoS及SYN Flood攻擊的研究已經(jīng)成為信息安全研究的熱點(diǎn)，國(guó)內(nèi)外一些廠家，比如Cisc

2、o、華為、黑洞、金盾等，已經(jīng)開(kāi)發(fā)出了專門的應(yīng)對(duì)產(chǎn)品。但要想很好的檢測(cè)和防范DDoS以徹底保障系統(tǒng)的安全性，就需要我們對(duì)DDoS攻擊特點(diǎn)進(jìn)行深入的研究，有針對(duì)性的提出解決方案。 本文在深入研究了DDoS攻擊機(jī)制、攻擊方法、攻擊加強(qiáng)技術(shù)及現(xiàn)有的防御和追蹤方法后，針對(duì)現(xiàn)有的DDoS攻擊提出了基于SYN Cookie機(jī)制的防御方案。 SYN Flood攻擊主要目的是發(fā)送大量的SYN請(qǐng)求以耗盡服務(wù)器的CPu資源和內(nèi)存，引起服務(wù)器宕

3、機(jī)，因此該方案從節(jié)省資源入手，路由器代理客戶端發(fā)送的sYN請(qǐng)求，如果發(fā)現(xiàn)是非法請(qǐng)求，即不會(huì)回應(yīng)ACK報(bào)文，則直接斷掉該連接，不會(huì)發(fā)送給服務(wù)器端；如果回應(yīng)．ACK報(bào)文，則為有效連接，可以通過(guò)路由器和服務(wù)建立連接。在路由器上，由于利甩了SYN Cookie原理，因此不會(huì)為SYN請(qǐng)求分配過(guò)多的資源，只需要維護(hù)極少的數(shù)據(jù)即可。本文選擇Netfilter做為主要實(shí)現(xiàn)框架，利用鏈接跟蹤模塊和IP Inspect功能獲得相應(yīng)的數(shù)據(jù)報(bào)信息，并對(duì)數(shù)據(jù)報(bào)做