filterddos攻击防御研究.pdf

1411026
学科门类;工学,分类寺TP393
单位代码;10293宥,级碲歹
NUPT
卯丞郭零大春
顾士学位论文
论文题目基于Netfilter的DDoS攻击防御研究
学生姓名李惠娟
学号硕051140
指导教师李玲娟教授王汝传教授博导
学科专业计算机软件与理论
研究方向基于网络的计算机软件应用技术
论文提交日期二OO八年四月
朝症孩兵色中兽
中文摘要
网绘的迅猛发展,网络的开放性以及日益强大的计算机技术的发展,改变了很多行业
的工作模式,也改变了人们的生活,娱乐,学习椿式。与此同时,吉种网络攻击、病者以
及信息窃听等网络安全问题月益出显。D05分从式拒绝服务攻击,是一种利用通信协议
的漪泠,破坏性极强的资源耗尽型攻击,是一种目前黑客常用的攻击手段,包括了各种攻
击方式,其中主要以SYNFlood攻击为最常见的攻击手段。针对00o8的防手段主要以
代理网关和过溪防火墙为主
Linax开源操作系统,出于其各种良好的特性,拥有大量的用户,其4内核防火境
框架Nettiteptables取代了原有的pctain防火境棣架,具有更好防火塌结构,它提供了
一组挂接点,分别对应于协议柱中数接流的儿个关锤流吊由于其开放性,可用于二次开
发,对防火墙进行功能扩展,将自定义的功能横块加敌到内核中,对数据洪具有高效的可
控性。Iplables包括了一组达游规则表,平东提供了用所怔下的配贻工具,可以非常容吴
地将自定义的规则加到内核中。
本文首先在分析DDoS攻出特点,以及现有的防卵手段,分析了主要采用的关键技术。
本文提出了一种基于SYNCookie技术的智能防征算法,算法能对链拳申请进行合法性探
测,根据探测给果动忱的配贵过溏规败,具有主动性和智能性。本文还分析了inux内核
防火境梅架Nettiteripables设计了并定现了基于Netftter的智能防御体系,介细了主要
模坂的设计及官现。最后通过实验,验证了方案的有效性
关键词分仑式拒绝服务攻击,Netfiter网络安全
朝贺月学硕空生学艳文ARSnACT
ABSTRACT
Thefastgrowing,opennetworkandmorePowertilcompulertechologyhavechanged

tmeyarousnetyorksecurtyprablemsstch皂pettorkatackvinnsandinformation
cheatingariseDistribuleddenialofserviceDDo8attackisanetworkattckmethodwtich
sescommuricatonprotocolyulnerabilitytatackthenetworktandcommonlybsed印
hackersifcontiinsmanydifierentsubmethodsandSYNFloodatack诊themostofiensed
ImethodNowadaystheagentrewallandlterfircwallisthcbasicDDoSdcfonse、
LinuxianopensourceoperatingsystenlBecatseofiny80odfatresitowns
IargenumberofusersInLinux24MemelNetflteripablesanewfrewallfiamewetk
placesipchainwhichtheLinx22kemelfirewallThenewfrewallfameworkhasa
beterstmicturewhichprovidesasetofhookfunctionswiichmaptothekeyPointsinprotoco
Basedonthenewkemnelfrewallfameworkedeveloperscanexpandthefrewallatiitieseasily
suchssineeringtheuserdenedmoduletothekemelorcontmliingthedatafowptables
continsasetoffitermuleiblesandprovidesaconfigurationtoolinbserspeceWhichbsers
canaddtheirownrilestothekeme
CharcteristesofDDoatacksandthecxistngdefensemethodssreingoducedfirtly.
ThenthekeytechnologiesofDD