神马文学网linux核心dos_ddos攻击防御算法分析4/4 - 防火墙资料 - 978计划
来源:百度文库 编辑:神马文学网 时间:2024/04/28 01:46:43
linux核心dos_ddos攻击防御算法分析4/4 结 论
论文首先对防火墙知识做了一个总体上的认识。然后深入分析Linux Ij火墙内核,对netfilter的数据流程及其怎样实现防火墙框架机制进行剖析。在上述分析基础上,研究了基于Linux抵御常见DoS攻击的防火墙:用iptables方法实现了防火墙底层的基本模块。分析了抵御SYN洪水攻击的传统算法,给出了改进算法。分析了泪滴及Smurf攻击原理,对存在的安全薄弱点提出解决方案。用:ietfilter方法实现了防火墙上层的抵御SYN洪水、泪滴及Smurf攻击模块。经测试,构建的防火墙可以实现动态包过滤、NAT ( SNAT, DNAT)和DMZ功能。可以有效抵御常见DoS攻击。最后,介绍了防火墙新技术。
通过以上工作,本文从广度、深度两个方面认识防火墙体系,增强了防火墙的理论知识、积累了防火墙开发设计经验,为以后从事相关研究打下了坚实)l础。达到了本文目的。
下一步工作和展望:
由于时间原因,还有一些工作做的不够充分:
(1) 仅实现了防火墙的基本功能,对于具体环境下的防火墙,尚需根据情况添加具体规则以实现具体功能。
(2) 网络攻击方法不仅限于DoS攻击,还有许多其它攻击,如IP地址欺骗、缓冲溢出等等。这些攻击有些仅用Linux防火墙还无法抵御,还需要其它技术。因此,如何将Linux防火墙技术与其它新技术结合起来,是今后工作的重点。
这里有几点想法:
(1) 将Linux防火墙做到网络应用层;
(2) Linux分布式防火墙;
(3) Linux防火墙智能化。
最后结论:
由于计算机网络互联的重要性,网络安全是我国计算机网络建设中应当引起重视的问题。在计算机安全性和计算机所能提供功能之间的平衡性是很重要的。在很多情况下,最安全的计算机往往功能是简单的,能提供多种服务的则是最不安全的。本文作者为Linux2. 4 内核下基于netfilter 设计开发防火墙作了有意的尝试,设计了一个包过滤和应用代理的混合型防火墙,重点解决了在Linux 环境下在netfilter 中设计防火墙的问题,并在此基础上增加了主动及被动的安全措施以实现网络安全的功能。
Linux 操作系统中的包过滤防火墙具有一般包过滤防火墙的优点:简单,速度快,功能强,能按照系统设定的安全策略对防火墙进行过滤,但是它也具有了很多传统包过滤防火墙缺点:1.很多网络服务的端口号是不固定的,对这服务不可能进行很好的过滤;2一些应用协议使用的信息打包在IP 数据包中,所以不能方便地被包过滤级防火墙访问和使用,所以对应用服务的过滤很难;3.审计功能差,过滤规则的设计存在矛盾关系,过滤规则简单,安全性差,过滤规则复杂,管理困难。4.无法抵御欺骗攻击。对于端口扫描,我采用了对网络连接进行正态分布统计计算,对网络连入数在单位时间内进行智能更新,采用误判率1%为标准来决定扫描攻击,在一定程度上解决了扫描攻击问题。而对于欺骗攻击,则采用记录并分析所有通过防火墙的IP 数据包从源节点到目的节点所经过的路由信息,即过滤数据包时也检查该数据包所经过的路由,丢弃那些经过了不安全路由的数据包:特别是对IP劫持攻击采用服务器方收到重置RST信号时也向对方发送一个RST重置信号,来有效的防御欺骗攻击。为克服包过滤防火墙的缺点,就再设置了一个HTTP和通用应用代理服务器,从而采用混合防火墙来保证内部网络安全。
由于时间和条件限制,本论文所设计的防火墙还有很多地方需要改进和完善,主要表现在以下几个方面:
(1) 在包过滤管理模块中还缺乏过滤规则检查,有可能造成规则冲突的情况,这还需要防火墙管理员很高的专业知识;
(2) 对网络扫描防御还存在问题,当专业黑客扫描目标端口时可能只扫描攻击目标几个端口,所以防火墙对这中扫描攻击没有作用,还需要找出更加完善的办法来进行防范;
(3) 对常用网络应用协议都应该配置代理,本防火墙只实现了HTTP和一个通用代理;
(4) 还缺乏日志分析,本防火墙还只是靠专业人员对日志作分析。这些不足都需要进一步工作来完成。
致 谢
论文完成,首先要感谢我的导师雷国华教授。雷老师在我论文选题、研究,撰写的过程中,进行了很重要并且具体、细致的指导,雷老师的治学态度、思想方法、工作作风都使我受益非浅。
在这里,我对所有给予我关心和帮助的老师同学表示衷心的感谢
论文首先对防火墙知识做了一个总体上的认识。然后深入分析Linux Ij火墙内核,对netfilter的数据流程及其怎样实现防火墙框架机制进行剖析。在上述分析基础上,研究了基于Linux抵御常见DoS攻击的防火墙:用iptables方法实现了防火墙底层的基本模块。分析了抵御SYN洪水攻击的传统算法,给出了改进算法。分析了泪滴及Smurf攻击原理,对存在的安全薄弱点提出解决方案。用:ietfilter方法实现了防火墙上层的抵御SYN洪水、泪滴及Smurf攻击模块。经测试,构建的防火墙可以实现动态包过滤、NAT ( SNAT, DNAT)和DMZ功能。可以有效抵御常见DoS攻击。最后,介绍了防火墙新技术。
通过以上工作,本文从广度、深度两个方面认识防火墙体系,增强了防火墙的理论知识、积累了防火墙开发设计经验,为以后从事相关研究打下了坚实)l础。达到了本文目的。
下一步工作和展望:
由于时间原因,还有一些工作做的不够充分:
(1) 仅实现了防火墙的基本功能,对于具体环境下的防火墙,尚需根据情况添加具体规则以实现具体功能。
(2) 网络攻击方法不仅限于DoS攻击,还有许多其它攻击,如IP地址欺骗、缓冲溢出等等。这些攻击有些仅用Linux防火墙还无法抵御,还需要其它技术。因此,如何将Linux防火墙技术与其它新技术结合起来,是今后工作的重点。
这里有几点想法:
(1) 将Linux防火墙做到网络应用层;
(2) Linux分布式防火墙;
(3) Linux防火墙智能化。
最后结论:
由于计算机网络互联的重要性,网络安全是我国计算机网络建设中应当引起重视的问题。在计算机安全性和计算机所能提供功能之间的平衡性是很重要的。在很多情况下,最安全的计算机往往功能是简单的,能提供多种服务的则是最不安全的。本文作者为Linux2. 4 内核下基于netfilter 设计开发防火墙作了有意的尝试,设计了一个包过滤和应用代理的混合型防火墙,重点解决了在Linux 环境下在netfilter 中设计防火墙的问题,并在此基础上增加了主动及被动的安全措施以实现网络安全的功能。
Linux 操作系统中的包过滤防火墙具有一般包过滤防火墙的优点:简单,速度快,功能强,能按照系统设定的安全策略对防火墙进行过滤,但是它也具有了很多传统包过滤防火墙缺点:1.很多网络服务的端口号是不固定的,对这服务不可能进行很好的过滤;2一些应用协议使用的信息打包在IP 数据包中,所以不能方便地被包过滤级防火墙访问和使用,所以对应用服务的过滤很难;3.审计功能差,过滤规则的设计存在矛盾关系,过滤规则简单,安全性差,过滤规则复杂,管理困难。4.无法抵御欺骗攻击。对于端口扫描,我采用了对网络连接进行正态分布统计计算,对网络连入数在单位时间内进行智能更新,采用误判率1%为标准来决定扫描攻击,在一定程度上解决了扫描攻击问题。而对于欺骗攻击,则采用记录并分析所有通过防火墙的IP 数据包从源节点到目的节点所经过的路由信息,即过滤数据包时也检查该数据包所经过的路由,丢弃那些经过了不安全路由的数据包:特别是对IP劫持攻击采用服务器方收到重置RST信号时也向对方发送一个RST重置信号,来有效的防御欺骗攻击。为克服包过滤防火墙的缺点,就再设置了一个HTTP和通用应用代理服务器,从而采用混合防火墙来保证内部网络安全。
由于时间和条件限制,本论文所设计的防火墙还有很多地方需要改进和完善,主要表现在以下几个方面:
(1) 在包过滤管理模块中还缺乏过滤规则检查,有可能造成规则冲突的情况,这还需要防火墙管理员很高的专业知识;
(2) 对网络扫描防御还存在问题,当专业黑客扫描目标端口时可能只扫描攻击目标几个端口,所以防火墙对这中扫描攻击没有作用,还需要找出更加完善的办法来进行防范;
(3) 对常用网络应用协议都应该配置代理,本防火墙只实现了HTTP和一个通用代理;
(4) 还缺乏日志分析,本防火墙还只是靠专业人员对日志作分析。这些不足都需要进一步工作来完成。
致 谢
论文完成,首先要感谢我的导师雷国华教授。雷老师在我论文选题、研究,撰写的过程中,进行了很重要并且具体、细致的指导,雷老师的治学态度、思想方法、工作作风都使我受益非浅。
在这里,我对所有给予我关心和帮助的老师同学表示衷心的感谢
linux核心dos_ddos攻击防御算法分析4/4 - 防火墙资料 - 978计划
Linux服务器如何防御ARP攻击
ARP防火墙(AntiARP)--专业防御ARP欺骗和攻击????????????????...
Linux系统下防御 如何减轻DDOS攻击
服务器安全配置精华技巧(4) -攻击防御 -起源网-中国站长交流平台
服务器安全配置精华技巧(4) -攻击防御 -起源网-中国站长交流平台
超级防御的电脑防火墙
关闭LINUX防火墙
Linux中定时器的实现算法 -- Linux内核分析 -- EDN电子设计技术
算法分析
核心资料
用Linux防火墙构建DMZ
防火墙深层技术分析
实施第一阶段导弹防御计划
分析防火墙及防火墙的渗透技术
安全技术详解 跳板攻击与防御
SYN Flood攻击的基本原理及防御
SYN Flood攻击的基本原理及防御
DSP算法精华资料
教你打造一道超级防御的电脑防火墙!
教你打造一道超级防御的电脑防火墙
Linux下简单实用的防火墙配置
将Linux 配置为代理防火墙
Linux防火墙的关闭和开启