拒绝服务攻击的一种防御对策研究

精品文档-下载后可编辑拒绝服务攻击的一种防御对策研究（重庆大学通信工程学院，重庆400030；重庆电子工程职业学院，重庆401331）

【摘要】本文针对拒绝服务攻击中的SYN/Flooding攻击，提出了采用一种利用计时位，进行FIFO（先进先出）替换法的策略研究。采用Linux平台，通过模拟攻击实验验证该方法的防御效果。

【关键词】拒绝服务攻击；SYN/Flooding；FIFO（先进先出）

在网络攻击技术中，拒绝服务攻击是常用的一种，它是一种遍布全球的系统漏洞，这种攻击主要是用来攻击域名服务器、路由器以及其它网络操作服务，使被攻击者无法正常的服务，这是一类危害极大的攻击方式，严重的时候可以导致一个网络瘫痪。本文模拟了一种SYN/Flooding攻击实验并提出了一种FIFO(先进先出)淘汰法的对策研究。

一、方案设计

1．攻击实验。本实验起用了两台Linux主机作为攻击工作站。为了检验启用防御方法的有效性，首先做了一个攻击实验：一台Linux主机作为攻击目标，另一台主机作为攻击方。具体操作如下：用netstat-na命令观察服务器在没受攻击情况下的状况。用编译好的syn攻击程序在攻击方主机上运行，攻击linux主机，并伪装一个攻击主机IP地址为202.115.1.1，在被攻击方Linux主机上用netstat-na命令观察。将结果比较，在正常情况下，其连接状态一般处于ESTABLISHED，而在系统受到攻击时，发现收到很多来自IP地址为202.115.1.1的连接请求，其状态处于SYN_RECV，占用了很大的空间，说明受到了syn/flooding攻击。

2．对策研究。（1）加大工作站的backlog长度，这样可以延长队列被占满的时间。在Linux系统下，为了能方便有效的比较改变队列长度前后的不同，先把被攻击的Linux主机的队列改小一些，设置成长度为16。通过下面的语句来实行：echo16>/proc/sys/net/ipv4/tcp_max_syn_backlog，在改变了系统的backlog队列参数后，在主机上运行syn攻击程序来进行一组攻击实验。首先伪装IP地址为202.115.1.3，同样使用netstat-na命令，观察被攻击方的工作状态。结果发现缓冲队列很快就被填满，通过连接被攻击的端口，此时已经连接不上了，这说明此端口已经瘫痪掉。接下来执行第二步工作，加大backlog队列的长度，例如设置其值为2048，同样使用下面的命令：echo2048>/proc/sys/net/ipv4/tcp_max_syn_backlog，再利用攻击程序来看看改变参数后的情况。这次采用伪IP地址为202.115.1.2，使用netstat-na命令查看攻击情况，观察到比加大缓冲队列以前的连接请求容许数量增多。这时连接被攻击端口，发现被攻击工作站还是可以连接上，加大缓冲队列后端口并没有瘫痪，说明加大队列的长度相对提高了抗攻击能力。（2）查找计时位，进行FIFO替换：由于缓存队列中自身带有对收到的每个连接请求设置的计时位，以便在超时后删除此项。现在利用这一超时计时位，当backlog队列满而又有新的连接请求到达时，查找队列中各项的计时位并进行比较，将新到达的连接请求替换计时位最大的项，达到服务器总不拒绝新的连接请求。此项步骤总的流程如下：当新的syn请求来到时，首先查看缓存队列是否已满，若未满，按照正常情况加入队列中保存下来，转到步骤3。若缓存已满，查找队列中时间最大的项，用新的syn请求替换它。查找方法如图1所示。

注：Timemax为队列中最大时间值，Timequeue[i]是backlog队列中第i项的时间值，Lengthqueue为backlog队列的最大长度。返回的i既为查找的缓存队列中时间最大的项。我们就用新的请求替换第i项。（3）新的连接请求入缓冲队列以后，按照原来的TCP/IP协议栈三次握手原则进行syn请求连接。

二、实验分析

该方法的优点是不管受到怎样高强度的SYN/Flooding攻击，系统总不拒绝新来的连接请求，可以满足高速的合法用户请求连接，就不会因为不能接收请求而瘫痪，这种思想弥补了传统防范技术的不足。但加大backlog队列，替换backlog队列中时间最长的请求，也导致一些缺陷：一是消耗了系统资源；二是可能替换了合法的用户请求。

参考文献

[1]EricCole．黑客——攻击透析与防范[M]．电子工业出版社

[2]张小斌．严望佳.