研究工作

本文提出的主动防御系统基于DDoS攻击检测与防护作为一种积极主动的安全防护技术，提供了对子网内部、外部和误操作产生的DDoS的实时防护，在网络及系统的正常服务受到危害之前拦截和防护。结合了基于主机和基于网络的入侵检测技术，可以主动实时地检测非法使用、误用、恶意攻击，并且对子网内部和外部的攻击均能及时反应。

论文结构

第一章为绪论，主要介绍选题背景及意义，论文的主要结构和内容安排。

第二章对网络安全与TCP/IP数据传输协议作了简单的介绍。

第三章对防火墙技术给予阐述，介绍防火墙背景知识；然后深入研究Linux内核防火墙，研究其实现机制。

第四章利用防火墙技术和模块技术添加了一个安全模块，并针对SYN Flood的采取了主动防御，实现了增强系统安全的作用。

第五章为对所设计模块的实测情况，在真实的攻击下检测防火墙的实用效果，分析主动防御模块的可行性。

第六章为总结

测试结果

由于本课题是从原理上解决SYN flood攻击，因此，无论哪种攻击工具进行攻击，主动防御拒绝服务系统都能抵御。从图5-2可以看出，攻击工具的攻击强度跟主机的性能配置有关，性能越好，攻击强度越大；攻击线程越大，攻击强度越大。从图5-3可以看到，随着攻击线程的增加，即攻击强度的增大，主动防御拒绝服务系统CPU消耗随攻击强度也增加，说明CPU由于处理攻击包量增大，而系统开销增加；从图5-4可以看到，内存消耗随攻击强度和攻击时间的增加也稍有增加，但开销不大，这是因为程序没有保存整个数据包,而是数据包头的部分信息，所以内存消耗并不大。

结论

本文研究了SYN flood攻击原理，分析当前的防护拒绝服务攻击算法不足之处，在此基础上，设计并实现了一种基于Linux主动防御拒绝服务系统。该系统在数据链路层分析数据帧，在系统底层通过转向代理握手的方式实现中继防火墙代理服务程序的功能，并且通过流量检测机制启动转向代理握手模块。基于Linux2.6内核开发的用于防护SYN洪水攻击的模块，工作在Linux系统内核网络协议栈的底层，随内核工作而工作，从原理上解决SYN洪水攻击，无论哪种攻击工具进行SYN洪水攻击，主动防御拒绝服务系统都能抵御。真正的做到了内核主动防御的防护效果，达到了预期的目的。

尽管受到SYN洪水攻击时，主动防御系统资源有所消耗，但是对网络正常使用没有任何影响，没有一个SYN拒绝服务攻击包通过防御系统，达到了预期防护拒绝服务攻击的目的。