开发防火墙以抵抗路由器上的DDoS攻击

摘要:

作为网络安全领域的重要分支，防火墙技术系统越来越受到业界的关注. 目前，有很多基于Linux的防火墙，各有特点. 但是，它们仍然不足以抵御DoS / DDoS攻击. 针对这种情况，本文对DoS / DDoS攻击原理，监控方法，防御方法等进行了研究. 本文首先简要分析了DoS / DDoS攻击原理，攻击方法和SYN Cookie的实现原理，并对这种机制的缺点进行了更深入的分析. 使用SYN Cookie机制ddos攻击防御 路由器，一方面，它可以有效地抵御SYN Flood攻击，另一方面，它为ACK Flood攻击提供了机会. 为此，本文提出了一种利用微存储器建立连接表的方法，提高了被攻击系统的生存水平. 在攻击监控方面，本文分析了攻击数据流的特点，提出了一种使用多个阈值的监控方法，以提高监控的准确性，降低监控的误报率，并在网络卡上收发数据. 有线驱动器在消息的位置捕获了数据包，捕获的成功率比Libpcap方法要好. 在攻击防御方面，本文提出了一种IP身份认证机制，建立了一个状态表来对请求连接的IP进行分类ddos攻击防御 路由器，对受信任的IP不进行复杂的过滤，提高了防御效率，最大程度地保证了被攻击IP的安全. 合法用户的连接. 在软件编程方面，根据测试规范，使用微存储器建立连接表，基于多个阈值的攻击监视模块，使用状态表的IP身份认证机制以及更充分的测试. 测试结果表明，本文设计的防火墙系统在抵御SYN / ACK Flood混合攻击方面优于Linux提供的SYN Cookie机制，并且使用该防火墙的路由器产品也优于市场上主流的路由器产品.

展开

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-233931-1.html