在路由器上實現(xiàn)抵御DDoS攻擊的防火墻的開發(fā).pdf

1、防火墻技術(shù)體系作為網(wǎng)絡(luò)安全領(lǐng)域的一個重要分支，越來越受到業(yè)界的關(guān)注。目前，基于Linux的防火墻已有很多并各具特點。但是，它們在抵御DoS/DDoS攻擊方面，還有些不足。針對于此，本文就DoS/DDoS攻擊原理、監(jiān)測方法、防御手段等方面進行了研究。 本文首先簡要分析了DoS/DDoS的攻擊原理、攻擊方式及SYNCookie的實現(xiàn)原理，對該機制的不足之處進行了較為深入的剖析。使用SYNCookie機制，一方面可以有效的抵御SYNF

2、lood攻擊，另一方面卻為ACKFlood攻擊提供了機會。 為此，本文提出了使用微量內(nèi)存建立連接表的方法，提升了系統(tǒng)遭受攻擊時的生存水平。在攻擊監(jiān)測方面，本文通過分析攻擊數(shù)據(jù)流的特征，提出使用多個門限值的監(jiān)測方法，提高了監(jiān)測的準確率，降低了監(jiān)測的誤報率，并在有線驅(qū)動中，在網(wǎng)卡收發(fā)數(shù)據(jù)報文的地方實現(xiàn)數(shù)據(jù)包的捕獲，捕獲的成功率要優(yōu)于Libpcap方法。在攻擊的防御方面，本文提出了IP身份認證機制，建立狀態(tài)表對請求連接的IP進行分類，