DDoS硬件防火墙技术研究.pdfVIP

2O10．12 硬件防火墙技术研究 章建国，陈欢 (上海市公安局网安总队，上海 200025) 摘 要：分布式拒绝服务攻击已成为危害互联网安全的突出安全问题，本文分析 了分布式拒绝服务攻击 的攻击原理和防御原理，并提 出了一种结合白名单和黑名单的硬件防火墙实现方案。 关键词：分布式拒绝服务攻击；攻击原理；白名单；黑名单；防火墙 中图分类号：TP393．08文献标识码：A 文章编号：1671—1122(2010)12—0028—02 ResearchonDDoSHardwareFirewall ZHANGJian—guo．CHEN Huan (TheShanghaiPublicSecurityBureau，Shanghai200025，China) Abstract：DistributeddenialofserviceattackhasbecomeabigdangertoInternetsecurity．Thepaperanalyzes thedistributeddenialofserviceattack，theprincipleofattackanddefense，andputsforwardakindofhardware firewallschemecombiningwhitelistwithblacklist． Keywords：Distributeddenia1ofserviceattacks；TheprincipleofAttack；W hitelist；Blacklist；Firewal1 0引言 随着互联网络带宽的不断增加和多种DDoS(DistributedDenialofservice，分布式拒绝服务攻击)黑客工具的不断发布，DDoS 攻击的实施越来越容易，DDoS攻击事件正在成上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素，导致很多IDC托管 机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDoS攻击所困扰，随之而来的是客户投诉 、同虚拟主机 用户受牵连、法律纠纷、商业损失等一系列问题。2009年7月，上海私车牌照拍卖网站的服务器就遭遇了不法分子的DDoS攻击。 防御DDoS攻击成为网络服务商面临的难题。 1DDoS攻击原理 DDoS攻击是在传统的DoS攻击基础上产生的一类攻击方式，利用大量 “傀儡机”来 发起进攻，比DoS攻击更大的规模来进攻受害者 (如图1o常见的DDoS攻击手段有SYN Flood、ACKFlood、UDPFlood、ICMPFlood、TCPFlood等，较难防御的属于SYNFlood类 的拒绝服务攻击。一个正常的TCP连接需要三次握手 (如图2)，首先客户端发送一个包 含SYN标志的数据包，其后服务器返回一个SYNA／CK的应答包，表示客户端的请求被接 受，最后客户端再返回一个确认包ACK，这样才完成TCP连接。在服务器端发送应答包后， 如果客户端不发出确认，服务器会等待到超时，期间这些半连接状态都保存在一个空间有 限的缓存队列中(如图3)；如果大量的SYN包发到服务器端后没有应答，就会使服务器端 的TCP资源迅速耗尽，导致正常的连接不能进入，甚至会导致服务器的系统崩溃 J。 2硬件实现防御分布式拒绝服务攻击 图’分布式拒绝服务攻击体系结构 应对DDoS攻击是一个系统工程，仅仅依靠某种系统或产品防御 DDoS攻击是不现实的，可以肯定的是，完全杜绝DDoS目 前是不可能的，但通过适当的措施抵御90％的DDoS攻击是可以做到的，由于攻击和防御都有成本，若通过适当的办法增强了 ● 收稿时间：2010 10—22 作者简介：章建国(1969)，男，高级工程师，硕士，主要研究方向：网络安全技术；陈欢(1982一)，男，助理工程师，本科，主要研究方向：网络安全技术。 1 麓l 蠢