技術領域

本發明是一種在linux下過濾syn_flood攻擊數據，用于在檢測到發生攻擊時，啟動syn?Flood過濾器，阻隔所有syn連接請求，對其身份進行鑒定，將所有攻擊的syn連接過濾，并最大限度的保證正常的網絡連接，屬于網絡安全技術領域。

背景技術

網絡安全一直是伴隨網絡高速發展越來越來越受廣大用戶和技術工作者關注并尋求解決放案，TCP/IP協議現在網絡的通信協議，其開放性以及協議誕生之初并未料到的網絡的許多變化使得協議本身具有一些缺點。網絡黑客根據網絡協議本身漏洞設計了一些網絡攻擊工具，其中DDos是一種危害極大的網絡攻擊，它通過tcp協議三次握手的建立過程中，發起放發送請求，得到建立申請的主機向發起方發出回應，并需要分配資源等待回復，網絡攻擊者根據此原理發送大量的鏈接申請，通過主機不斷需要相應申請分配資源，直到資源耗盡。往往在幾分鐘的時間即可使服務器癱瘓。目前防范此類惡性攻擊的方法，主要是通過將主機分配資源后的等待時間縮短，這是一種被動的防守型方式，而且發現攻擊時，往往已是攻擊中期，網絡服務不能保證。所以防范網絡攻擊特別是DDoS攻擊，需要提供靈敏的檢測方法和強大的過濾機制。

目前在檢測方法上有了各種的發現，包括對數據流特征分析，以及建立網絡模型等幾種主要方式。而對于數據包過濾主要還是基于某個數據特征的過濾，如跟蹤可疑端口，通過聚集發現惡意地址后，封閉某端口或者禁止某地址數據包通過。但這些方式均比較被動，缺乏智能性，高效準確智能的過濾方法對于主動防范是非常必要和急需的。

發明內容

技術問題：本發明主要是提供對于在SynFlood攻擊發生后，通過智能探測方法識別合法和攻擊地址信息，并有針對性的予以通過和丟棄的一種智能的過濾機制。機制借鑒了linux的Iptables機制，將部分功能借助iptables對列實現，將其與一種優化后的cookie維護識別結合在一起，提供了一種基于開源內核的無狀態的泛洪請求攻擊過濾方法，通過本機制可以識別出攻擊地址和合法地址，并對攻擊地址發送的數據包進行阻擋，對合法地址的請求予以放行，在防范攻擊的情況下，盡可能保證網絡服務。

技術方案：本發明的方法是一種算法型的方法，通過結合linux中iptables框架和提出的優化后的cookie算法，提供無狀態的基于syn?flood的智能防范過濾方法，利用改進后的cookie方法利用較小的資源消耗，實現對惡意攻擊的過濾。

Iptables：Iptables框架是Linux2.4以后內核版本采用的防火墻框架，可以通過設定規則，對協議棧的數據流進行控制。iptables是由鏈和表組成的，基本的鏈包括input鏈，output鏈，forward鏈。在每一條鏈中，根據功能需求可以定義一些操作，這些操作是通過幾個表來實現的：mangle表，nat表還有filter表。最終可以實現對數據的過濾，nat操作以及其他的防火墻過濾控制功能。

SYN?Cookie：SYN?Cookie這個概念最早由D.J.Bernstain和Eric?Schenk發明，并在linux內核中實現，它通過一個加密算法(在linux2.4內核中使用的MD5加密算法)，在下一次返回時判斷其有效性，這是一種被動的方法，在攻擊強度較高的時候，頻繁的計算cookie值將使系統也陷入癱瘓。

無狀態：無狀態的方式在檢測請求聯接方是否非法攻擊的時候，并不保存其所有參數，而是生成了一個cookie值，利用我們提出的算法來維護這一個cookie庫。

一.體系結構

基于Linux內核的無狀態的SYN_Flood過濾器可以分為三部分：總體框架；cookie庫管理維護；iptables操作模塊。

下面是個部分的功能介紹：

總體框架

總體框架實現了對整個過濾流程的數據流向的控制和決策：首先取出所有ip_queue隊列中的syn包和rst包，若是syn包則生成一個cookie值，并想發起端發送一個ack報文；若是rst包將取出包頭中的ack_seq域值，到cookie庫中尋找，若找到則將向iptables模塊發送消息，將rst包的源ip地址加入可通過隊列。

cookie庫管理維護