DDoS攻击报文过滤器在Linux防火墙中的应用

分布式拒绝服务攻击（DDoS）是一种攻击强度大、危害严重的拒绝服务攻击。因此，对它进行检测和防御就显得非常困难。文章主要介绍了常用的儿种DDoS方式，提出了一套针对IP报文TTL值分布进行检测以及对TCP报文进行验证过滤的方案，并在此基础上对传统的Linux防火墙进行了改进。实验表明经过改进之后的防火墙能够在一定程度上防御DDoS攻击，比传统的简单报文过滤方法在实时性、准确性上有很大提高。     

数据包高效透明转发研究及实现

为了提高双网口相互转发数据包的透明模式防火墙的性能,在分析数据包收发流程以及Netfilter框架的基础上,提出了一种获取发送网卡信息的新方法,并且基于该方法设计并实现了带状态检测和简单包过滤两种功能的透明模式防火墙.测试结果表明,与使用Linux bridge结合Netfilter构建的透明模式防火墙相比,这两种防火墙中的数据转发和过滤更加简洁高效.     

Netfilter框架下IPv6防火墙的设计与实现

针对目前缺乏IPv6环境下的高性价比的防火墙的现状,分析了Linux下Netfilter框架的实现防火墙的基本原理,结合IPv6协议的实现讨论了在Linux环境下基于Netfilter框架的IPv6防火墙系统中包过滤、连线跟踪、状态检测、包处理等关键功能的原理和实现.在实验环境下测试该防火墙,当规则集数量小于600条时,其性能可保持线性增长,能满足中小型用户需求,并为进一步改进查找算法、提高处理性能,满足更高性能的要求打下基础.     

一种状态检测防火墙的攻击防御机制

讨论了一种在Linux操作系统内核防火墙的攻击防御机制,提出了检测网络攻击的机制和总体架构。在Linux操作系统防火墙的基础上构建了攻击防御框架,针对不同的攻击模式,该框架提供相应的状态检测方法判定攻击的发生并使攻击不能成功。提出的攻击防御体系具有通用、可扩展的特点,可以有效克服传统包过滤防火墙在抗攻击和入侵检测方面的局限性。结果表明:该攻击防御机制可以显著改善防火墙系统的IP安全性。     

云计算环境下DDoS攻击及防御研究

随着云计算的普及,DDoS攻击成为影响云计算发展的严峻挑战。文章介绍了云计算的基础知识和DDoS攻击技术的基本原理,然后分别对来源于云平台外部的DDoS攻击和来源于云平台内部的DDoS攻击原理进行分析,并提出了对应的防范策略与建议。     

DoS/DDoS攻击原理与防范再探

拒绝服务攻击(DoS)以及分布式拒绝服务攻击(DDoS)是目前严重影响网络安全和网上服务质量的一种常用攻击手段。通过对DoS攻击原理的讨论和对现有防范技术的深入剖析,提出了防范DoS(DDoS)攻击的一些积极的建议。     

基于Linux内核的Netfilter框架研究

Linux操作系统具有稳定、灵活的特点以及其提供的优秀防火墙框架,使得众多安全防护系统都借鉴了其Netfilter的结构.用户可以根据自己的实际需要,将防火墙设计的一般理论和方法与自己系统的具体情况相结合,设计出新的可实用的安全防护系统.     

利用入侵检测技术防范DDoS

分布式拒绝服务攻击(DDoS)由多宿主机发动,是目前常见的网络攻击中比较严重的一种,难于检测和跟踪。为此,阐述了DDoS的攻击方式的体系结构,并较为详细地分析了DDoS的机理并给出了攻击实例,概述了入侵检测技术的概念,提出了利用入侵检测技术防范DDoS攻击的一种尝试。设计一个针对DDoS的入侵检测方案,该方案检测通过路由器的数据包的流量判断是否异常。如果发现数据包的异常发送,则发出受攻击信号。本方案由3部分组成:包分类,获取原始的网络流量统计;流量离散函数,计算网络数据包的发送特性;基于变异的检测,在当前流量远远偏离历史上的正常变化范围时做出反应。     

Linux防火墙在中小型企业的应用

阐述了Iptables防火墙的原理以及Netfilter架构,详细论述了基于中小型企业的特殊条件下,构建网络防火墙的思想和步骤。具体规划网络拓扑结构,通过NAT技术屏蔽子网,完成高效性价比防火墙的设计,并给出相关脚本。     

基于端口检测的DDoS攻击防御策略研究

文章介绍了DDoS攻击体系和攻击过程,提出了一种新型的基于端口检测的DDoS防御策略,对DDoS攻击进行有效地防御,同时不会对网络性能造成比较大的影响.     

基于Linux的防火墙系统的设计与实现

在当前防火墙相关技术中,Linux防火墙已经成为不可忽视的重要力量.本文首先对Netfilter的内核架构进行了分析,并在此基础之上,采用模块编程方式开发了一个高效的、稳定的、实用的基于包过滤的防火墙系统.实践证明由于Linux防火墙的开源性,Linux下的防火墙实现机制是一个值的探讨的领域.     

Iptables规则集的优化设计

随着网络功能的日益强大,防火墙的性能已经成为影响网络流量的瓶颈,因此在要求防火墙功能强大的同时希望其性能也更高。Linux作为一种开源的操作系统,以其稳定性和安全性著称。Netfilter/iptables系统是Linux下的一个功能非常强大的防火墙系统。针对使用iptables防火墙管理程序建立的防火墙,本文提出了从三个方面去优化它的方法：规则组织、state模块的使用以及用户自定义规则链,使数据包做尽可能少的测试,尽可能快的通过防火墙,最终达到提高防火墙性能的目的。     

Web服务器应用层慢速DDoS攻击防御研究

DDoS攻击会导致Web服务器无法向用户提供正常的服务.应用层DDoS攻击不同于网络层DDoS攻击,所有应用层DDoS请求都是合法的.慢速DDoS攻击主要利用的是thread-based架构的服务器的特性,这种服务器会为每个新连接打开一个线程.攻击者和Web服务器建立正常的HTTP连接以后,通过各种方法保持这个连接,从而占用服务器大量的资源.对应用层慢速DDoS的原理进行分析,并提出了相应的防御方法,能提高服务器抗DDoS攻击的能力,从而有效地提升服务器的安全性能.     

DDoS原理及防御策略的研究

DDoS(分布式拒绝服务)是Internet面临的最严峻的威胁之一.近年来DDoS攻击的数量一直呈快速增长的趋势,它给全世界带来了巨大的经济损失和影响.本文介绍了DDoS攻击的原理及体系结构,在此基础之上着重分析了DDoS的防御策略及模型,对于有效的构筑全面的网络安全体系,提高网络的抗攻击性具有一定的理论指导意义.     

多类支持向量机的DDoS攻击检测的方法

为了利用SVM准确的检测DDoS,需要找到区分正常流和攻击流的特征向量,根据DDoS攻击的特点,提出了独立于流量的相对值特征向量。为了在指示攻击存在的同时,也指示攻击强度,多类支持向量机(MCSVM)被引入到DDoS检测中。实验表明,RLT特征与MCSVM相结合,可以有效检测到不同类型的DDoS攻击,并且能准确地指示攻击强度,优于目前已有的检测方法。使用RLT特征进行DDoS检测,比使用单一攻击特征进行识别的方法,包含更多的攻击信息,可以得到较高的检测精度。     

网络流单边连接密度的时间序列分析

检测分布式拒绝服务（DDoS）攻击的困难性在于攻击数据包与正常数据包并无本质上的区别,为了正确识别DDoS,需要找到它与正常流的根本区别。使用虚假源IP地址的攻击包能够耗尽目标主机的网络带宽和系统资源,却无法与目标机建立完整的双向通信。因此,用于直观反映网络流异常的单边连接密度(OWCD)概念被提出并用于识别DDoS攻击,同时对OWCD的时间序列的进行了分析,揭示了OWCD序列的性质,为利用这个指标来进行DDoS检测提供依据。实验表明,OWCD能直观地区分正常流和攻击流,其序列为白噪声序列,能够作为DDoS检测的独立指标。OWCD序列不仅能够检测DDoS攻击,还能反映攻击强度。