技術領域

本發明涉及網絡通信技術領域，尤其涉及一種基于核內存儲的SYN-Flood類DDOS攻擊的容忍系統及容忍方法，用以提高服務器防范的能力。

背景技術

從1969年ArpaNet的出現到今天的下一代互聯網計劃，幾十年來網絡技術得到了突飛猛進的發展。特別是近二十年來，伴隨著以TCP/IP協議為基礎的Internet的發展，網絡已經徹底改變了人們的生產生活方式，包括從簡單的電子郵件服務、在線視頻服務到復雜的電子商務、遠程教育和遠程醫療。在Internet廣泛普及和新技術的不斷涌現的同時，網絡攻擊也日趨猖獗，網絡安全問題變得越來越重要。加上Internet本身在協議、實現、服務和管理等方面存在的各種缺陷以及應用軟件系統自身的設計缺陷，使得一些網絡黑客能夠利用各種漏洞實施網絡入侵。這些惡意的入侵行為輕則竊取機密信息、篡改系統數據，重則導致大規模的網絡癱瘓或網絡服務不可用，對國家的整個網絡空間造成巨大破壞。

當今信息社會，所有置身于網絡中的設備都可能成為破壞者的攻擊目標，隨著入侵手段的不斷變化、發展，防火墻和入侵檢測技術已經不能完全保證系統的安全性，如果在系統被入侵后還要提供一定的服務或者是降級的服務，這就需要容侵系統來維護這些服務的繼續。通過實現入侵容忍，增強系統在可用性方面的健壯性，提高系統的生存能力。入侵容忍技術作為下一代網絡安全技術與Web服務結合后，能夠使網站在遭受入侵的同時仍然可以提供正常服務，從而大大提高了網站在危機四伏的網絡環境中的生存能力。

在眾多的網絡攻擊中，DoS(Denial?of?Service，拒絕服務)攻擊由于其攻擊簡單、容易達到目的等特點而成為現在常見的攻擊方式。這種攻擊最早可追述到1988年9月。在1997年～1998年，美國CERT/CC陸續公布使用不同方式進行的DoS攻擊事件。2000年2月，DoS攻擊發展到極致，全球包括Yahoo，CNN，eBay在內的十多個著名網站相繼被黑客以DDoS(Distributed?Denial?of?Service，分布式拒絕服務)的方式進行攻擊，致使公司損失慘重。至此，DoS攻擊的嚴重性才真正浮上臺面。2002年10月，DDoS攻擊又開始猖獗，全球13臺互聯網域名解析服務器幾乎全被攻破。2003年中期美國公司因DoS攻擊導致數百億美元的損失。2006年12月至2007年1月的一個多月時間內，中國招商銀行網站屢受Dos攻擊，曾一度被迫關閉。2009年7月美國和韓國的一些政府網站曾因DoS網絡攻擊而癱瘓。同年8月份，博客網站LiveJournal、社交網站Facebook和深受歡迎的新聞與八卦網站Gawker也因為同一類型的攻擊而癱瘓。

盡管以SYN-Flood為代表的DoS攻擊的原理極為簡單，具體原理如下：SYN-Flood攻擊主要是利用TCP三次握手過程來實現攻擊的，由于TCP三次握手的第一次握手需要由客戶端向服務器端發送一個SYN請求包，當服務器端收到該請求后，會分配資源并初始化其為保存該SYN請求信息的半鏈接節點，而后將其掛接到相應監聽套接口的半鏈接隊列上，直到三次握手過程完成或是該節點超時，才將其從半鏈接隊列上去除并被內核釋放。由于內核對半鏈接隊列長度有嚴格限制，因此當攻擊者向目標主機發送大量的SYN包時，半鏈接隊列很快就會被占滿，而使系統出現拒絕服務。但迄今為止仍然沒有一項技術能很好地防范這類攻擊。已有的對DoS攻擊的抑制主要是基于入侵檢測技術。基于網絡的入侵檢測如IPv6或IPSec協議需在Internet上同步實行，而基于路由器的過濾則需修改TCP/IP協議及其實現，因此較難實施。常用的基于主機的DoS檢測技術如在防火墻上配置嚴格的ACL規則等方式不但影響復雜通信的實時性，而且不能識別SYN-Flood等基于流量的攻擊。更為重要的是Sasha明確提出了對已有的攻擊進行窮舉是不可能的。

近來由于網絡技術的不斷創新尤其是p2p技術的出現，一種新型的連接式DDoS攻擊也隨之產生。目前對這種連接式DDoS攻擊還沒有一項很好的技術加以防范。由于它攻擊特點的特殊性，以往的防御策略包括入侵檢測技術都無法對它產生一定的防御效果。雖然這種攻擊還沒有發展到一定規模，但是據不完全統計，網絡中約有23％的服務器均遭受著這一攻擊的威脅。眾所周知，當DNS服務器向上層服務器進行域名解析時，會通過TCP鏈接和上層服務器進行通信。當某攻擊者試圖讓DNS服務器向上層服務器解析無限長的虛假地址列表時，此DNS就會建立大量的無用TCP鏈接，很快其有限資源就會被耗盡而出現拒絕服務。