基于圖靈測(cè)試的SYNF1ood攻擊防御研究.pdf

1、分布式拒絕服務(wù)(Distributed Denial of Service，DDoS)攻擊是目前互聯(lián)網(wǎng)上最嚴(yán)重的安全問(wèn)題之一，隨著黑客數(shù)量和攻擊工具的增加使得防御問(wèn)題更加棘手。由于互聯(lián)網(wǎng)上存在大量的不安全機(jī)器、自動(dòng)化的DDoS攻擊工具非常容易獲得以及攻擊者采用假冒的IP地址等因素，導(dǎo)致對(duì)DDoS攻擊的防御和追蹤相當(dāng)困難。就部隊(duì)而言，在信息化戰(zhàn)爭(zhēng)中，隨著電子信息技術(shù)的迅猛發(fā)展，信息對(duì)抗已經(jīng)由從屬地位逐漸上升到主導(dǎo)地位，準(zhǔn)掌握了制信息權(quán)，誰(shuí)

2、就掌握了整個(gè)戰(zhàn)爭(zhēng)的主動(dòng)權(quán)，從而影響戰(zhàn)爭(zhēng)的勝敗。
　　 近來(lái)很多DDoS攻擊采用TCP SYN Flood攻擊方式，本文首先對(duì)DDoS攻擊特點(diǎn)進(jìn)行了分析，然后深入研究DDoS攻擊中比較棘手的TCP SYN Flood攻擊方式。通過(guò)對(duì)SYN Flood攻擊機(jī)制、攻擊方法、攻擊加強(qiáng)技術(shù)及現(xiàn)有的防御和追蹤方法的研究后，有針對(duì)性地提出了基于圖靈測(cè)試訪問(wèn)控制的防御新方法。采用加權(quán)滑動(dòng)平均方法計(jì)算丟棄概率來(lái)避免突發(fā)流，速率限制采用指數(shù)增長(zhǎng)的響

3、應(yīng)方式。SYN Flood攻擊主要目的是通過(guò)發(fā)送大量的SYN請(qǐng)求來(lái)耗盡服務(wù)器的CPU資源和內(nèi)存，引起服務(wù)器重啟。因此該方案從節(jié)省資源入手，在服務(wù)器分配資源前進(jìn)行圖靈驗(yàn)證，如果發(fā)現(xiàn)是非法請(qǐng)求，直接斷掉該連接，因此不會(huì)為SYN請(qǐng)求分配過(guò)多的資源，只需要維護(hù)極少的數(shù)據(jù)即可。本文選擇Netfilter做為主要實(shí)現(xiàn)框架，利用鏈接跟蹤模塊和IP Inspect功能獲得相應(yīng)的數(shù)據(jù)報(bào)信息，并對(duì)數(shù)據(jù)報(bào)做適當(dāng)?shù)奶幚?。最后，?duì)本文對(duì)所提出的方案進(jìn)行了理論分析