3防火墙代理机制的实现.doc

基于防火墙代理的防御SYN洪攻击机制研究 刘 云 （贵阳学院 数学与信息科学学院，贵阳 550005） 摘 要：SYN洪利用TCP协议漏洞攻击服务器。分析了现有的SYN网关和SYN中继等防御机制，对SYN中继进行了改进，提出基于防火墙代理的防御SYN洪攻击机制，并基于Linux平台通过增加防火墙包过滤钩子块和修改服务器协议栈进行了实现。SYN洪攻击防御测试结果表明，基于防火墙代理机制消耗更少的防火墙资源，抵御更多的攻击量，较之SYN中继有更好的优越性。 关键词：SYN洪攻击；SYN 中继；防火墙代理；TCP/IP协议栈 中图分类号: TP393.08　　　 文献标志码: A 文章编号： Research of defense SYN flood attack mechanism based on firewall proxy LIU Yun (College of Mathematics and Information Science,Guiyang University Guiyang 550005, China) Abstract SYN flood attacks the server using TCP protocol vulnerabilities. This paper analyzed the existing SYN gateway and the SYN relay and other defense mechanisms, and put forward the mechanism of defense SYN flood attack based on firewall proxy, and implemented it by adding firewall package filter hook block and modifying the server protocol stack based on Linux platform. The result of the test of defense the SYN flood attack shows that the mechanism based on the firewall proxy can consume the fewer firewall resources and defense the more attacks and be better superiority than the SYN relay. Key words SYN flood attack; SYN relay ; firewall proxy; TCP/IP protocol stack0 引言 SYN洪是利用TCP协议中的安全漏洞对服务器实施攻击导致服务器无法提供正常服务的网络技术。TCP是基于连接的协议，在数据传输之前需要经过三次握手的过程创建连接：首先客户端发送SYN包到服务器，然后服务器创建TCP半连接存于TCP半连接队列中，并回复SYN/ACK包到客户端，最后客户端发送ACK包到服务器，服务器接收后将相应的TCP半连接移除队列转换成TCP连接[1]。SYN洪利用了三次握手时服务器需要记录两次客户端发送数据包的缺陷，首先伪造SYN包中的源IP，导致服务器回复的SYN/ACK包无法到达，致使TCP半连接滞留队列较长时间；然后加大发送的异常SYN包数量（一般通过DDoS方式），使服务器TCP半连接队列被迅速占满，最终服务器无法建立正常的TCP连接，导致拒绝服务。目前主要通过配置防火墙来防御SYN洪攻击……。 1 现有防御机制分析 防火墙是保护内网抵御网络攻击的主要设备，通过防火墙防御SYN洪攻击主要有SYN网关和SYN中继等机制。 （1）SYN网关 客户端发送SYN包经由防火墙转发给服务器，服务器接收后回复SYN/ACK包到防火墙，防火墙将该数据包转发给客户端，并且构造ACK包发送到服务器，服务器接收防火墙构造的ACK包后提前创建TCP空连接，在防火墙接收到客户端发送的ACK包时将其丢弃[2]。SYN网关的出发点是服务器承受的TCP连接数要远大于TCP半连接数，这在一定程度上提高了对SYN洪攻击的容忍力，但过多的TCP空连接浪费了服务器的系统资源。在被动式SYN网关机制中，防火墙设置超时时间，若客户端没有及时发送ACK包，防火墙则发送RST包到服务器，告诉服务器清除该TCP空连接[3]。 （2）SYN中继 防火墙接收到客户端发送的SYN包时没有立刻转发给服务器，而是构造SYN/ACK包回复给客户端，当接收到客户端发送的ACK包时将SYN包转发给服务器，然后服务器回复SYN/ACK包到防