基于Netfilter的DDoS防火墻設(shè)計(jì)與實(shí)現(xiàn).pdf

1、在眾多計(jì)算機(jī)網(wǎng)絡(luò)攻擊行為當(dāng)中，最重要的一種為分布式拒絕服務(wù)(DDoS)攻擊。DDoS攻擊利用網(wǎng)絡(luò)協(xié)議的設(shè)計(jì)缺陷發(fā)起，攻擊原理簡(jiǎn)單，攻擊工具多樣，造成的損失非常嚴(yán)重，并且難以防范。
　　 防火墻作為網(wǎng)絡(luò)安全方面的一個(gè)重要產(chǎn)品，在維護(hù)網(wǎng)絡(luò)安全中做出了重要的貢獻(xiàn)，并隨著網(wǎng)絡(luò)技術(shù)的發(fā)展不斷的提高和完善。傳統(tǒng)的包過濾防火墻只能對(duì)數(shù)據(jù)包進(jìn)行簡(jiǎn)單的過濾，很難適應(yīng)不斷發(fā)展的網(wǎng)絡(luò)安全需要。狀態(tài)檢測(cè)防火墻作為目前流行的防火墻技術(shù)，可以將某一時(shí)間段內(nèi)

2、特征相近的數(shù)據(jù)包關(guān)聯(lián)起來進(jìn)行檢測(cè)，使其對(duì)DDoS攻擊的防御成為可能。
　　 本文基于對(duì)各種常見DDoS攻擊原理和攻擊方法的深入分析，重點(diǎn)研究防火墻技術(shù)相關(guān)內(nèi)容。本文在分析LinuxNetfilter防火墻架構(gòu)的基礎(chǔ)上，設(shè)計(jì)實(shí)現(xiàn)了一款基于LinuxNetfilter的DDoS防火墻系統(tǒng)。該防火墻根據(jù)靜態(tài)包過濾規(guī)則，實(shí)現(xiàn)包過濾防火墻的相關(guān)功能；同時(shí)結(jié)合狀態(tài)檢測(cè)防火墻技術(shù)，將多個(gè)數(shù)據(jù)包組織成連接會(huì)話流，并根據(jù)DDoS攻擊特征以及狀態(tài)檢