抵御SYN Flood的防護(hù)系統(tǒng)的研究與設(shè)計(jì).pdf

1、分布式拒絕服務(wù)(DDoS)攻擊是互聯(lián)網(wǎng)目前最大的威脅之一，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，防御也變得愈加困難。其中，SYN Flood攻擊是DDos中比較難以防御的一種攻擊，其利用TCP協(xié)議族“三次握手”過程中的缺陷，在第一次請求過程中，大量發(fā)送偽造源IP地址的SYN包，造成服務(wù)器資源消耗殆盡，成為DDos防御中的難點(diǎn)。
　　 為了有效防范SYN Flood(SYN洪流)這種典型的DDoS攻擊，本文在閱讀相關(guān)文獻(xiàn)和實(shí)驗(yàn)驗(yàn)證的基礎(chǔ)上，從研究S

2、YN Flood攻擊的原理、防御技術(shù)現(xiàn)狀入手，針對SYN Cookie機(jī)制在解決SYN Flood問題時(shí)存在的一些缺陷，提出了一些切實(shí)可行的方案，實(shí)踐應(yīng)用證明，這些方案可以準(zhǔn)確、高效的防御SYNFlood攻擊。
　　 相較于傳統(tǒng)的設(shè)計(jì)方法，本文將防護(hù)系統(tǒng)分為檢測系統(tǒng)和過濾系統(tǒng)。本文在攻擊檢測研究上，采用基于數(shù)學(xué)統(tǒng)計(jì)的檢測預(yù)警機(jī)制和基于Sphinx引擎的黑白名單庫檢索機(jī)制，有效的提高了檢測系統(tǒng)的精確性和效率;在SYN Cookie

3、研究改進(jìn)中，以SYN Cookie機(jī)制為過濾研究基礎(chǔ)，針對cookie算法安全性較弱的問題，采用改進(jìn)的MD5算法結(jié)合公鑰加密算法的方案，來解決安全性問題，實(shí)驗(yàn)結(jié)果表明，其安全性得到大大提高。
　　 除此之外，針對SYN Cookie機(jī)制伴隨產(chǎn)生的ACK Flood問題，采用基于Sphinx的待連接記錄庫檢索方案，記錄發(fā)起“第一次握手”的客戶連接信息，利用Sphinx進(jìn)行快速檢索，有效解決了ACK Flood攻擊的問題。