防SYNFLOOD状态防火墙模型的研究.pdf

  1. 1、本文档共67页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
防 SYN FLOOD 状态防火墙模型的研究 摘 要 由于TCP/IP 协议本身不足以保障计算机网络信息安全,因此在网络 工程实践中普遍采用附加措施,进而达到一定程度上的自我保护。防火 墙是目前重要且关键的技术之一。DOS 和 DDOS 攻击是大型网络和网络 服务器的安全威胁之一,作为 DOS/DDOS 攻击的典型,SYN FLOOD 利 用 TCP/IP 协议的漏洞,在短时间内发送大量的 SYN 数据包。如果匹配 防火墙规则,防火墙就会建立状态表跟踪这些链接。大量此类通信将造 成状态防火墙的状态表溢出,使得防火墙无法响应合法请求,从而导致 整个网络的系统性能下降。传统的解决方案通常只能保护主机的安全, 并不能确保防火墙不受侵害。 本文深入研究和分析了目前能够防御 SYN FLOOD 攻击的状态防火 墙模型。并在此基础上,结合这些模型的优点,设计并实现了采用哈希 查询和预处理方式的 HAS (Hash-Adaptive threshold-Stateful inspection ) 防御 SYN FLOOD 状态防火墙模型。此模型具有较好的有效性、实时性、 自身安全性和通信稳定性。 首先,本文介绍了课题研究背景,总结了防御 DOS 攻击的必要性。 同时,针对 DOS 的典型攻击手段 SYN FLOOD,概述国外防御 SYN FLOOD 攻击的状态防火墙模型的研究现状。此外,还分析了状态防火墙 的工作流程和工作机制,阐述 SYN FLOOD 的攻击原理,其中,着重探 讨了 Check Point 公司防御 SYN FLOOD 攻击的状态防火墙模型。这些为 HAS 防御SYN FLOOD 状态防火墙模型的设计和实现打下了坚实的理论 基础。 其次,本文从功能角度详细描述了 HAS 模型各模块的设计、具体实 现过程和方法,包括具体算法、模块架构、规则设定、内核修改及所用 的 Linux 状态检测功能等,还附加了主要模块具体实现代码。其中模块 第 I 页 的实现是基于Linux 2.6 内核自带的 Netfilter/ Iptables 防火墙构架。HAS 模型主要包括预处理模块、状态信息管理模块和状态检测模块。预处理 模块作为处理数据的第一道屏障,利用 自适应阈值算法来检测是否存在 SYN FLOOD 攻击和拟定相应的响应策略。针对自适应阈值算法在低强 度攻击下误报率高的问题提出了一个简单的改进机制,确保了模型在高 强度攻击下的有效性。如果存在攻击,状态信息管理模型根据接收到的 控制信息添加阻断规则以实现动态响应。优化防火墙的数据包处理流程, 使用哈希查询的方式来加快规则查询的速度。在实现方面,本文利用 Iptables 对防火墙规则进行了动态的配置与管理。通过模块编程向 Netfilter 相应的钩子点注册模块处理函数,实现预处理模块功能,并修改 内核源代码以实现对防火墙处理数据流程的优化。 最后,本文对模型进行了性能测试。测试结果说明:其一,模型能 有效抵御 SYN FLOOD 对内网主机的攻击,同时在一定程度上提高了状 态防火墙自身防御的能力;其二,模型具有较好的网络性能,安装在防 火墙中并不会降低防火墙的性能。文章结尾总结了本文所做工作,并展 望了未来的前景。 关键词:防火墙,自适应阈值算法,SYN FLOOD 攻击,状态检测 第 II 页 RESEARCH ON THE MODEL OF THE STATEFUL FIREWALL FOR DEFENDING SYN FLOOD ABSTRACT Due to that the TCP/IP protocol itself is insufficient

您可能关注的文档

文档评论(0)

july77 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档