拒絕服務(wù)攻擊的一種防御對策研究

（重慶大學(xué)通信工程學(xué)院，重慶 400030；重慶電子工程職業(yè)學(xué)院，重慶 401331）

【摘 要】本文針對拒絕服務(wù)攻擊中的SYN/Flooding攻擊，提出了采用一種利用計時位，進行FIFO（先進先出）替換法的策略研究。采用Linux平臺，通過模擬攻擊實驗驗證該方法的防御效果。

【關(guān)鍵詞】拒絕服務(wù)攻擊；SYN/Flooding；FIFO（先進先出）

在網(wǎng)絡(luò)攻擊技術(shù)中，拒絕服務(wù)攻擊是常用的一種，它是一種遍布全球的系統(tǒng)漏洞，這種攻擊主要是用來攻擊域名服務(wù)器、路由器以及其它網(wǎng)絡(luò)操作服務(wù)，使被攻擊者無法正常的服務(wù)，這是一類危害極大的攻擊方式，嚴重的時候可以導(dǎo)致一個網(wǎng)絡(luò)癱瘓。本文模擬了一種SYN/Flooding攻擊實驗并提出了一種FIFO(先進先出)淘汰法的對策研究。

一、方案設(shè)計

1．攻擊實驗。本實驗起用了兩臺Linux主機作為攻擊工作站。為了檢驗啟用防御方法的有效性，首先做了一個攻擊實驗：一臺Linux主機作為攻擊目標(biāo)，另一臺主機作為攻擊方。具體操作如下：用netstat -na命令觀察服務(wù)器在沒受攻擊情況下的狀況。用編譯好的syn攻擊程序在攻擊方主機上運行，攻擊linux主機，并偽裝一個攻擊主機IP地址為202.115.1.1，在被攻擊方Linux主機上用netstat-na命令觀察。將結(jié)果比較，在正常情況下，其連接狀態(tài)一般處于ESTABLISHED ，而在系統(tǒng)受到攻擊時，發(fā)現(xiàn)收到很多來自IP地址為202.115.1.1的連接請求，其狀態(tài)處于SYN_RECV，占用了很大的空間，說明受到了syn/flooding攻擊。

2．對策研究。（1）加大工作站的backlog長度，這樣可以延長隊列被占滿的時間。在Linux系統(tǒng)下，為了能方便有效的比較改變隊列長度前后的不同，先把被攻擊的Linux主機的隊列改小一些，設(shè)置成長度為16。通過下面的語句來實行：echo 16>/proc/sys/net/ipv4/tcp_max_syn_backlog，在改變了系統(tǒng)的backlog隊列參數(shù)后，在主機上運行syn攻擊程序來進行一組攻擊實驗。首先偽裝IP地址為202.115.1.3，同樣使用netstat -na命令，觀察被攻擊方的工作狀態(tài)。結(jié)果發(fā)現(xiàn)緩沖隊列很快就被填滿，通過連接被攻擊的端口，此時已經(jīng)連接不上了，這說明此端口已經(jīng)癱瘓掉。接下來執(zhí)行第二步工作，加大backlog隊列的長度，例如設(shè)置其值為2048，同樣使用下面的命令：echo2048>/proc/sys/net/ipv4/tcp_max_syn_backlog，再利用攻擊程序來看看改變參數(shù)后的情況。這次采用偽IP地址為202.115.1.2，使用netstat-na命令查看攻擊情況，觀察到比加大緩沖隊列以前的連接請求容許數(shù)量增多。這時連接被攻擊端口，發(fā)現(xiàn)被攻擊工作站還是可以連接上，加大緩沖隊列后端口并沒有癱瘓，說明加大隊列的長度相對提高了抗攻擊能力。（2）查找計時位，進行FIFO替換：由于緩存隊列中自身帶有對收到的每個連接請求設(shè)置的計時位，以便在超時后刪除此項?，F(xiàn)在利用這一超時計時位，當(dāng)backlog隊列滿而又有新的連接請求到達時，查找隊列中各項的計時位并進行比較，將新到達的連接請求替換計時位最大的項，達到服務(wù)器總不拒絕新的連接請求。此項步驟總的流程如下：當(dāng)新的syn請求來到時，首先查看緩存隊列是否已滿，若未滿，按照正常情況加入隊列中保存下來，轉(zhuǎn)到步驟3。若緩存已滿，查找隊列中時間最大的項，用新的syn請求替換它。查找方法如圖1所示。

注：Timemax為隊列中最大時間值，Timequeue[i]是backlog隊列中第i項的時間值，Lengthqueue為backlog隊列的最大長度。返回的i既為查找的緩存隊列中時間最大的項。我們就用新的請求替換第i項。（3）新的連接請求入緩沖隊列以后，按照原來的TCP/IP協(xié)議棧三次握手原則進行syn請求連接。

二、實驗分析

該方法的優(yōu)點是不管受到怎樣高強度的SYN/Flooding攻擊，系統(tǒng)總不拒絕新來的連接請求，可以滿足高速的合法用戶請求連接，就不會因為不能接收請求而癱瘓，這種思想彌補了傳統(tǒng)防范技術(shù)的不足。但加大backlog隊列，替換backlog隊列中時間最長的請求，也導(dǎo)致一些缺陷：一是消耗了系統(tǒng)資源；二是可能替換了合法的用戶請求。

參 考 文 獻

[1]Eric Cole．黑客——攻擊透析與防范[M]．電子工業(yè)出版社

[2]張小斌．嚴望佳.黑客分析與防范技術(shù)[M]．清華大學(xué)出版社

[3]張明猛，趙天福．DDoS攻擊檢測技術(shù)研究[J]．計算機與信息技術(shù)

[4]陳明奇．分布式拒絕服務(wù)攻擊處理實例分析[J]．信息網(wǎng)絡(luò)安全