防SYNFLOOD状态防火墙模型的研究-通信与信息系统专业论文.docxVIP

A Dissertation Submitted to Shanghai Jiao Tong University for Master Degree of Science in Engineering RESEARCH ON THE MODEL OF THE STATEFUL FIREWALL FOR DEFENDING SYN FLOOD Author: Liu Qunhua Specialty: Communication and Information Systems Advisor: Yang Shutang School of Electronics and Electric Engineering Shanghai Jiao Tong University Shanghai, P. R. China December, 第 第 I 页 防 SYN FLOOD 状态防火墙模型的研究 摘 要 由于 TCP/IP 协议本身不足以保障计算机网络信息安全，因此在网络 工程实践中普遍采用附加措施，进而达到一定程度上的自我保护。防火 墙是目前重要且关键的技术之一。DOS 和 DDOS 攻击是大型网络和网络 服务器的安全威胁之一，作为 DOS/DDOS 攻击的典型，SYN FLOOD 利 用 TCP/IP 协议的漏洞，在短时间内发送大量的 SYN 数据包。如果匹配 防火墙规则，防火墙就会建立状态表跟踪这些链接。大量此类通信将造 成状态防火墙的状态表溢出，使得防火墙无法响应合法请求，从而导致 整个网络的系统性能下降。传统的解决方案通常只能保护主机的安全， 并不能确保防火墙不受侵害。 本文深入研究和分析了目前能够防御 SYN FLOOD 攻击的状态防火 墙模型。并在此基础上，结合这些模型的优点，设计并实现了采用哈希 查询和预处理方式的 HAS（Hash-Adaptive threshold-Stateful inspection） 防御 SYN FLOOD 状态防火墙模型。此模型具有较好的有效性、实时性、 自身安全性和通信稳定性。 首先，本文介绍了课题研究背景，总结了防御 DOS 攻击的必要性。 同时，针对 DOS 的典型攻击手段 SYN FLOOD，概述国外防御 SYN FLOOD 攻击的状态防火墙模型的研究现状。此外，还分析了状态防火墙 的工作流程和工作机制，阐述 SYN FLOOD 的攻击原理，其中，着重探 讨了 Check Point 公司防御 SYN FLOOD 攻击的状态防火墙模型。这些为 HAS 防御 SYN FLOOD 状态防火墙模型的设计和实现打下了坚实的理论 基础。 其次，本文从功能角度详细描述了 HAS 模型各模块的设计、具体实 现过程和方法，包括具体算法、模块架构、规则设定、内核修改及所用 的 Linux 状态检测功能等，还附加了主要模块具体实现代码。其中模块 第 第 II 页 的实现是基于 Linux 2.6 内核自带的 Netfilter/ Iptables 防火墙构架。HAS 模型主要包括预处理模块、状态信息管理模块和状态检测模块。预处理 模块作为处理数据的第一道屏障，利用自适应阈值算法来检测是否存在 SYN FLOOD 攻击和拟定相应的响应策略。针对自适应阈值算法在低强 度攻击下误报率高的问题提出了一个简单的改进机制，确保了模型在高 强度攻击下的有效性。如果存在攻击，状态信息管理模型根据接收到的 控制信息添加阻断规则以实现动态响应。优化防火墙的数据包处理流程， 使用哈希查询的方式来加快规则查询的速度。在实现方面，本文利用 Iptables 对防火墙规则进行了动态的配置 与管理。通过模块编程向 Netfilter 相应的钩子点注册模块处理函数，实现预处理模块功能，并修改 内核源代码以实现对防火墙处理数据流程的优化。 最后，本文对模型进行了性能测试。测试结果说明：其一，模型能 有效抵御 SYN FLOOD 对内网主机的攻击，同时在一定程度上提高了状 态防火墙自身防御的能力；其二，模型具有较好的网络性能，安装在防 火墙中并不会降低防火墙的性能。文章结尾总结了本文所做工作，并展 望了未来的前景。 关键词：防火墙，自适应阈值算法，SYN FLOOD 攻击，状态检测 第 第 PAGE III 页 RESEARCH ON THE MODEL OF THE STATEFUL FIREWALL FOR DEFENDING SYN FLOOD ABSTRACT Due to that the TCP/IP protocol itself is insufficient to guarantee the security of computer network information, additional