ddos硬件防火墙技术研究 research on ddos hardware firewall.pdfVIP

’。。。____●。。_一 2010．12＼ ■doi：10．3969／j．issn．1671-1122．2010．12．010 硬件防火墙技术研究 章建国，陈欢 (上海市公安局网安总队。上海200025) 摘要：分布式拒绝服务攻击已成为危害互联网安全的突出安全问题．本文分析了分布式拒绝服务攻击 的攻击原理和防御原理，并提出了一种结合白名单和黑名单的硬件防火墙实现方案。 关键词：分布式拒绝服务攻击；攻击原理；白名单；黑名单；防火墙 中图分类号：TP393．08文献标识码：A文章编号：1671—1122(2010)12—0(08-02 ResearchonDDoSHardwareFirewall ZHANG Huan Jian—guo，CHEN Public (TheShanghaiSecurityBureau，Shanghai200025，China) Abstract：Distributeddenialofserviceattackhasbecomea toInteract security．The bigdanger paperanalyzes thedistributeddenialofservice ofattackand forwardakindofhardware attack，the defense，and principle puts firewallscheme whitelistwithblacklist． combining words：Distributeddenialofservice attacks；TheofAttack；Whitelist；Blacklist；Firewall Key principle 0引言 随着互联网络带宽的不断增加和多种DDoS(DistributedDenial 攻击的实施越来越容易，DDoS攻击事件正在成上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素，导致很多[DC托管 机房、商业站点、游戏服务器、聊大网络等网络服务商长期以来—直被DDoS攻击所困扰，随之而来的是客户投诉、同虚拟主机 用户受牵连、法律纠纷、商业损失等一系列问题。2009年7月，上海私车牌照拍卖网站的服务器就遭遇了不法分子的DDoS攻击。 防御DDoS攻击成为网络服务商面临的难题。 1 DDoS攻击原理 DDoS攻击是在传统的DoS攻击基础上产生的一类攻击方式，利用大量“傀儡机，’来 N 发起进攻，比DoS攻击更大的规模来进攻受害者(如图1)。常见的DDoS攻击手段有SY Flood、ACKFlood、UDPFlood、ICMPFlood、