基于多隊(duì)列網(wǎng)卡構(gòu)建抵御SYN洪泛攻擊的網(wǎng)絡(luò)應(yīng)用.pdf

1、SYN洪泛攻擊是目前網(wǎng)絡(luò)中危害最大的拒絕服務(wù)攻擊，由于很難區(qū)分攻擊請(qǐng)求與正常請(qǐng)求，SYN洪泛攻擊很難防御，目前提出的各種防御措施均不能保證網(wǎng)絡(luò)設(shè)備在SYN洪泛攻擊中存活。流量監(jiān)視在網(wǎng)絡(luò)管理、入侵檢測(cè)及應(yīng)用性能監(jiān)視等方面有著廣泛的應(yīng)用。盡管流量監(jiān)視系統(tǒng)不一定是SYN洪泛攻擊的目標(biāo)，但由于流量監(jiān)視系統(tǒng)需要監(jiān)視每一個(gè)TCP連接的狀態(tài)，同樣會(huì)成為SYN洪泛攻擊的受害者。
　　 隨著鏈路速度的提高與網(wǎng)絡(luò)流量的增大，網(wǎng)絡(luò)設(shè)備及終端設(shè)備面臨巨

2、大的壓力，成為網(wǎng)絡(luò)應(yīng)用的性能瓶頸。除了使用專門的硬件來(lái)加速網(wǎng)絡(luò)處理外，多核處理器的出現(xiàn)為該問(wèn)題的解決提供了另一種思路。網(wǎng)絡(luò)程序并行化目前多采用流親和性原則，利用一個(gè)哈希函數(shù)將屬于同一個(gè)流的數(shù)據(jù)包分配到同一個(gè)核上處理。在出現(xiàn)SYN洪泛攻擊時(shí)，這種方法會(huì)將攻擊流分布到所有核上，導(dǎo)致整個(gè)系統(tǒng)崩潰。
　　 最新的Intel10Gbps網(wǎng)卡提供了SYN包過(guò)濾機(jī)制，可將SYN標(biāo)志為1和SYN標(biāo)志為0的包置于不同的硬件隊(duì)列，為區(qū)分可能的攻擊流