SYN Flood攻击防御的策略综述.docVIP

SYN Flood攻击防御的策略综述 　　收稿日期：2014－01－08 　　基金项目：国家“242”信息安全计划基金资助项目（2012D100）。 　　作者简介：丁彭父乐(1990-),女,湖南常德人,硕士研究生,主要研究方向: 网络与信息安全; 　　张宏莉(1973-),女,吉林榆树人,博士,教授,博士生导师,主要研究方向: 网络安全与社会计算、并行计算、网络计算等。 　　 　　摘要：随着互联网技术的迅速发展，越来越多网络安全问题日益突显出来。研究表明DoS/DDoS攻击是目前最为严重的网络安全问题之一，SYN Flood攻击又是DoS/DDoS攻击中最为常见的攻击。首先简要介绍了SYN Flood攻击的原理，然后通过研究近年来国内外学术界对SYN Flood攻击的研究成果，总结了针对SYN Flood攻击的三类防御策略：基于退让和负反馈的防御策略，基于TCP协议栈缺陷的防御策略和基于数据流的防御策略，并分别分析了各类型防御策略的主要防御方法。 　　关键词：SYN Flood攻击； 退让和负反馈; 协议栈缺陷； 数据流统计； 网关侦听 　　中图分类号：TP393??08文献标识码：A文章编号：2095-2163（2014）03-0028-04 　　A Brief Review of SYN Flood Attacks Defense Strategy 　　DING Pengfule,ZHANG Hongli 　　(School of Computer Science and Technology, Harbin Institute of Technology, Harbin 150001, China) 　　Abstract：With the rapid development of Internet technology, more and more network security issues are exposed increasingly. Studies have shown that DoS/DDoS attack is one of the most serious network security problems, and the most common one of DoS/DDoS attacks is SYN Flood attack. This paper first briefly introduces the principle of SYN Flood attack at first. And then after studying researches about SYN Flood at home and abroad in recent years, the paper finds that the common defense strategies are mainly about: defense strategy based on concession and negative feedback, defect of TCP protocol stack and the data traffic. Finally, the paper analyzes the main defense method of all types of defense strategies. 　　Key words：SYN Flood Attack; Concession and Negative Feedback; Defect of TCP Protocol Stack; Statistic of Data Traffic; Gateway Interception 　　 　　0引言 　　网络技术发展给人们带来了各种便利，但与此同时也应看到，各类新的安全问题也在不断产生。目前的网络攻击种类日益繁多，而其中的拒绝服务（Denial-of-Service, DoS）攻击在网络攻击中占有的比例即已约为40%［1］,也就是已经接近网络攻击总量的一半；而且从攻击造成的破坏严重程度来看，DoS也是一种虽然简单，但却非常有效的攻击方式。 　　DoS攻击主要是通过点对点的方式在短时间内向服务器端发送大量的攻击数据包，造成服务器端的资源将为大量攻击数据包所占用而不再有额外的资源来响应正常用户的请求，从而达到拒绝服务攻击的效果。随着网络带宽的增大，DoS攻击也得到了相应“升级”，黑客们发明了分布式的DoS，简称为DDoS攻击（Distribution Denial-of-Service Attract）。自1999年美国尼苏达大学遭到DDoS攻击以来，DDoS攻击多次出现在全球各