毕业设计--完整的DDoS攻防策略

 核心  攻击防御算法分析

摘 要

随着计算机技术的发展，网络也在迅猛地普及和发展。人们在享受着网络带来的各种便利的

同时，也受到了很多黑客的攻击。在众多的攻击种类中，有一种叫做 （

拒绝服务）的攻击，是一种常见而有效的网络攻击技术，它通过利用协议或系统

的缺陷，采取欺骗或伪装的策略来进行网络攻击，最终使得受害者的系统因为资源耗尽或无

法作出正确响应而瘫痪，从而无法向合法用户提供正常服务。它看上去平淡无奇，但是攻击

范围广，隐蔽性强、简单有效而成为了网络中一种强大的攻击技术，极大地影响了网络和业

未来发展做出了展望。

关键词：；





                  

!"#$ 

 % 

&' "()

  *

                   $      

"

($ 

 

$"

                          

    $      ",      !    )

"--.

)，

$-/0/

        1"-            -      

23；；

目 录

摘 要"-

4"5研究背景"5

5"4防火墙的一般原理"7

5"5防火墙的功能"8

5"6防火墙的分类"9

5"6"4-: 级防火墙"9

5"6"5应用级防火墙"9

5"7防火墙体系结构"9

5"8防火墙产品和技术发展方向";

5"8"4防火墙产品的发展";

5"8"5防火墙技术发展方向"4<

第 6 章  系统概况"44

6"6"4$ 介绍"45

6"6"5$ 框架"45

6"6"6$ 分析"46

6"7"4 与 $ 的关系"5<

6"8 模块机制概述"58

6"9小结"59

第 7章 基于  抵御  攻击防火墙"5;

7"4系统设计"5;

7"4"4系统模块设计"5;

7"4"5系统环境配置"5=

7"4"6系统默认策略"5>

7"5系统基本模块"5>

7"5"4包过滤模块实现"5>

7"5"5系统基本模块综合实现"66

7"6"5抵御 ?/ 洪水攻击模块"67

7"6"6抵御泪滴攻击模块"77

7"6"7抵御  攻击模块"79

7"7小结"79

附录 4外文资料原文"86

4"4问题的提出

层次正在深入，应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展，其中

以党政系统、大中院校网络系统、银行系统、商业系统、管理部门、政府或军事领域等为典

型。伴随网络的普及，公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面，

网络化的信息系统提供了资源的共享性、用户使用的方便性，通过分布式处理提高了系统效

率和可靠性，并且还具备可扩充性。另一方面，也正是由于具有这些特点增加了网络信息系

统的不安全性。开放性的网络，导致网络所面临的破坏和攻击可能是多方面的，例如 3可能

来自物理传输线路的攻击，也可以对网络通信协议和实现实施攻击，可以是对软件实施攻击，

也可以对硬件实施攻击。国际性的网络，意味着网络的攻击不仅仅来自本地网络的用户，也

可以来自  上的任何一台机器，也就是说，网络安全所面临的是一个国际化的挑战。

开放的、国际化的 -的发展给政府机构、企事业单位的工作带来了革命性的变革和

开 放 ， 使 得 他 们 能 够 利 用 - 提 高 办 事 效 率 、 市 场 反 应 能 力 和 竞 争 力 。 通 过

-，他们可以从异地取回重要数据，同时也面临 -开放所带来的数据安全的

挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵，己成为政府机构、企事

业单位信息化建设健康发展所要考虑的重要因素之一。广泛分布的企业内部网络由公共网络

和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一虽然国外己有许多成熟的

们更希望能够自己掌握安全技术，使用自己的安全产品，所以对网络安全的研究非常重要，

具有深远的意义。

4"5研究背景

目前 -的安全性保障不容乐观，计算机紧急事件响应队&@AB('近年收到的计算机安

全事故报告的数量一直呈上升趋势，4>>> 年该中心收到了约 4<<<<份计算机安全事故

报告，5<<< 年达到了 54;89 份，而 5<<4年更上升到了 8598=份。5<<< 年 5月上

旬，?C@//"!C" 和 A( 等著名商业网站连续遭到黑

计一些小而精、精而强的防火墙程序，则往往可以发挥出比花大价钱买来的通用型防火墙更

墙。而 操作系统良好的网络性能和开放源码的特点，使得在其上布置防火墙有了一

个可靠的基石，也使得越来越多的用户选择了 作为其防火墙的操作平台。5"7

商业防火墙产品媲美。在国内，大多数防火墙借鉴了 $的结构。为适应日益增长的

全技术，选择了在 下作防火墙研究，并设计了一款防火墙。

在对 5"7内核防火墙 $的原理深入研究后，分析了在 $架构下防火

款包过滤和应用代理的混合型防火墙，并对其做了测试。该防火墙系统是由包过滤管理模块、

过滤是基于 $中的 来实现的，网络地址转换也在包过滤管理模块中实现

路由记录模块通过修改 内核中 (@:D-: 程序和重新编译内核使内核支持路由记录功能

来实现的在应用代理模块中实现了 %((: 代理和一个通用代理服务，%((: 代理程序基于

E0-实现，而通用代理由一个代理进程来实现扫描防御模块中主要是通过一个网络扫描

防御 进程来监控是否有扫描发生日志记录模块主要是选择记录日志的位置，有本机

和邮件通知两种选择方式。针对常见的 -:地址欺骗、-:源路由欺骗、-@F:重定向欺骗、

-:劫持等常见网络攻击给予了分析并在过滤管理模块中加以解决实现，其中 -:劫持实现是

用一个钩子函数注入协议栈中来实现的。文中还分析了加固操作系统而关闭一些危险和不使

用的服务，使防火墙架设在一个相对安全的基础上，同时也将系统编译升级为最新的稳定内

核。



