收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

在路由器上利用SYN Cookie原理实现SYN Flood防御

刘艳  
【摘要】: 分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是目前互联网上最严重的安全问题之一,互联网上大量的不安全机器的存在、自动化DDoS攻击工具的广泛可获得性以及攻击者通常采用假冒的IP地址等原因,使DDoS攻击的防御和追踪相当困难。目前大多数的DDoS攻击通过TCP协议实现,主要采用TCP洪流攻击。对于DDoS及SYN Flood攻击的研究已经成为信息安全研究的热点,国内外一些厂家,比如Cisco、华为、黑洞、金盾等,已经开发出了专门的应对产品。但要想很好的检测和防范DDoS以彻底保障系统的安全性,就需要我们对DDoS攻击特点进行深入的研究,有针对性的提出解决方案。 本文在深入研究了DDoS攻击机制、攻击方法、攻击加强技术及现有的防御和追踪方法后,针对现有的DDoS攻击提出了基于SYN Cookie机制的防御方案。 SYN Flood攻击主要目的是发送大量的SYN请求以耗尽服务器的CPU资源和内存,引起服务器宕机,因此该方案从节省资源入手,路由器代理客户端发送的SYN请求,如果发现是非法请求,即不会回应ACK报文,则直接断掉该连接,不会发送给服务器端;如果回应ACK报文,则为有效连接,可以通过路由器和服务建立连接。在路由器上,由于利用了SYN Cookie原理,因此不会为SYN请求分配过多的资源,只需要维护极少的数据即可。本文选择Netfilter做为主要实现框架,利用链接跟踪模块和IP Inspect功能获得相应的数据报信息,并对数据报做适当的处理。 最后,对本文所提出的方案进行了理论分析和模拟实验,结果表明基于SYN Cookie机制的防DDoS攻击的方案是有效和可行的。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 胡小新,王颖,罗旭斌;一种DDoS攻击的防御方案[J];计算机工程与应用;2004年12期
2 李云鹤;武善玉;宴振鸣;;基于DDOS防范的负载均衡群集设计与实现[J];电脑知识与技术(学术交流);2007年18期
3 喻超;智胜DDoS攻击解析[J];通信世界;2004年46期
4 李硕;杜玉杰;刘庆卫;;DDoS攻击防御机制综述[J];微计算机信息;2006年06期
5 黄智勇,沈芳阳,刘怀亮,林志,黄永泰,周晓冬;DDoS攻击原理及对策研究[J];计算机与现代化;2004年03期
6 王春水,刘航;DoS和DDoS攻击的实现原理及防范研究[J];安徽电子信息职业技术学院学报;2004年Z1期
7 匡胤;一种新型DDoS攻击模式[J];内江师范学院学报;2004年06期
8 肖翠明;;网络DDOS攻击防御措施和绩效评估[J];信息技术;2011年08期
9 杨余旺,杨静宇,孙亚民;分布式拒绝服务攻击的实现机理及其防御研究[J];计算机工程与设计;2004年05期
10 杨永刚;寇应展;杨杰;祝爱民;;网络流量自相似性在DDoS攻击检测中的应用[J];科学技术与工程;2007年13期
11 刘安利;赵怀勋;;网络对抗中的DDoS攻防技术分析[J];网络安全技术与应用;2009年07期
12 刘利,苏德富;基于路由器的DDoS攻击防御系统的设计[J];计算机应用;2004年08期
13 蔡玮珺;仲海骏;;高速网络下的DDoS检测[J];计算机工程;2006年10期
14 吴国纲;;DDoS攻击与IP拥塞控制研究[J];电子科技大学学报;2007年03期
15 宋继红;;DDoS攻击剖析及防御对策[J];大众科技;2008年02期
16 ;DoS/DDoS攻击防御解决方案[J];计算机安全;2003年02期
17 贾文丽,薛强,孙济洲;分布式端口反弹攻击及检测[J];计算机工程;2004年07期
18 蔡玮珺;黄皓;;DDoS攻击IP追踪及攻击源定位技术研究[J];计算机工程;2006年14期
19 孙知信;李清东;;路由器端防范DDos攻击机制综述[J];南京邮电大学学报(自然科学版);2007年01期
20 宁锐;黄遵国;;一种可生存性的DDoS防御方案[J];科技信息;2009年12期
中国重要会议论文全文数据库 前7条
1 文伟平;卿斯汉;王业君;;分布式拒绝服务攻击研究进展[A];全国第16届计算机科学与技术应用(CACIS)学术会议论文集[C];2004年
2 金琪;方勇;贺晨阳;樊宇;;一种基于Client Puzzle和Pushback的DDoS防御机制研究[A];全国计算机安全学术交流会论文集(第二十四卷)[C];2009年
3 罗华;胡光岷;姚兴苗;;DDoS攻击的全局网络流量异常检测[A];2006中国西部青年通信学术会议论文集[C];2006年
4 李山林;张建伟;;DDoS攻击防护策略[A];2006北京地区高校研究生学术交流会——通信与信息技术会议论文集(下)[C];2006年
5 姚鹏义;;基于Linux的抵御流量攻击技术在气象网络中的应用[A];信息技术在气象领域的开发应用论文集(二)[C];2006年
6 祝瑜;曹爱娟;辛阳;阮传概;钮心忻;;设备级DDoS攻击防御研究[A];2007北京地区高校研究生学术交流会通信与信息技术会议论文集(下册)[C];2008年
7 罗凌;王成良;;分布式拒绝服务攻击的检测与防御措施研究[A];第一届全国Web信息系统及其应用会议(WISA2004)论文集[C];2004年
中国博士学位论文全文数据库 前4条
1 罗光春;入侵检测若干关键技术与DDoS攻击研究[D];电子科技大学;2003年
2 吕良福;DDoS攻击的检测及网络安全可视化研究[D];天津大学;2008年
3 徐永红;Internet拥塞控制/信息可用性技术研究[D];南京理工大学;2002年
4 余杰;P2P网络测量与安全关键技术研究[D];国防科学技术大学;2010年
中国硕士学位论文全文数据库 前10条
1 刘艳;在路由器上利用SYN Cookie原理实现SYN Flood防御[D];电子科技大学;2007年
2 周再红;一种抗DDoS攻击的追踪和分布式防御方案研究[D];湖南大学;2005年
3 李铮;SYNFlood型DDoS攻击检测与防御研究[D];电子科技大学;2007年
4 孙曦;DDoS攻击及其对策研究[D];西安电子科技大学;2004年
5 王扬;固定电话网管系统安全防御及入侵告警体系研究[D];吉林大学;2004年
6 邹茂扬;分布式拒绝服务DDoS攻击核心技术研究[D];电子科技大学;2003年
7 张文科;DDoS攻击分析与防御[D];电子科技大学;2004年
8 井艳芳;DoS攻击的研究和主机安全防御系统的设计[D];山东科技大学;2004年
9 孙永清;分布式拒绝服务攻击的防御策略研究[D];华中科技大学;2004年
10 沈敦厚;基于混合连接验证算法的拒绝服务攻击防御方法研究[D];湖南大学;2005年
中国重要报纸全文数据库 前10条
1 港湾网络有限公司 谭闯;防控DDoS攻击三步曲[N];中国计算机报;2005年
2 子非鱼;应对DoS/DDoS攻击的 十条“军规”[N];中国电脑教育报;2004年
3 沈建苗 编译;防DDoS攻击11招[N];计算机世界;2002年
4 ;以已之盾防其之矛[N];中国电脑教育报;2005年
5 那罡;轻松抵御DDoS攻击[N];中国电脑教育报;2005年
6 合力;综合防范DDoS攻击[N];网络世界;2004年
7 ;巧妙化解DDoS攻击[N];网络世界;2005年
8 ;DDoS攻击还没有好的解决方法[N];中国计算机报;2002年
9 特约评测员:刘鹏 本报评测员:Wuhanman;DDoS攻击的终结者[N];电脑报;2005年
10 3Com公司中国区技术部 殷朱;如何防止DoS攻击和DDoS攻击[N];网络世界;2002年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978