filter的ddos防火墙设计及实现.pdf

o’、。\!. Supervisor: 里煦￡圣hig垫g H堕 College ofSoftware Central South University ChangSha Hunan Ⅲ2 原创性声明本人声明,所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了论文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。作者签名: 学位论文版权使用授权书本人了解中南大学有关保留、使用学位论文的规定,即:学校有权保留学位论文并根据国家或湖南省有关部门规定送交学位论文,允许学位论文被查阅和借阅;学校可以公布学位论文的全部或部分内容,可以采用复印、缩印或其它手段保存学位论文。同时授权中国科学技术信息研究所将本学位论文收录到《中国学位论文全文数据库》, 并通过网络向社会公众提供信息服务。作者签名:——导师签名——日期:——年一月一日摘要在众多计算机网络攻击行为当中,最重要的一种为分向式拒绝服务(DDoS) 攻击。DDoS攻击利用网络协议的设计缺陷发起,攻击原理简单,攻击工具多样, 造成的损失非常严重,并且难以防范。防火墙作为网络安全方面的一个重要产品,在维护网络安全中做出了重要的贡献,并随着网络技术的发展不断的提高和完善。传统的包过滤防火墙只能对数据包进行简单的过滤,很难适应不断发展的网络安全需要。状态检测防火墙作为目前流行的防火墙技术,可以将某一时间段内特征相近的数据包关联起来进行检测,使其对DDoS攻击的防御成为可能。本文基于对各种常见DDoS攻击原理和攻击方法的深入分析,重点研究防火墙技术相关内容。filter防火墙架构的基础上,设计实现了 filter的DDoS防火墙系统。该防火墙根据静态包过滤规则, 实现包过滤防火墙的相关功能;同时结合状态检测防火墙技术,将多个数据包组织成连接会话流,并根据DDoS攻击特征以及状态检测机制实现了SYN Flood、TCP Flood以及Smurf攻击的防御模块。通过实际测试,该系统可以防御常见的DDoS攻击,并且对系统性能影响较小。关键词DDoS攻击,状态检测,filter,防火墙实现 ABSTRACT Distributed denialofserviceattacksisthe most work attack,which work protocols’defects isverysimple inprinciple,and theattack tools can beeasily obtained,SO theconsequence causedby DDoS iSrelativelyhigh. work firewallplays animportant role work security technology work firewallisbeing improved and packet filterfirewall can onlysimply filterpackets,which isdifficult toadapt thedeveloping requirements work inspection firewall catldetectthesimilarpackets in aparticularperiod of time,SO using state inspection firewall todefense DDoS attacks iS possible. Inthispaper,mon methods ofDDoS attacks areintroduced, the architecture for filterand state inspection firewall technology based on DDoS fircwall built on the filterarchitecture iSdesigned and implemented todefend SYN floodattacks,TCP floodattacksandsmurf attacks. Testshows thatthesystem can mon DDoS attacks. which needs very littlesystem resources. KEY WORDS