[发明专利]基于开源内核的无状态的泛洪请求攻击过滤方法

说明书

技术领域

本发明是一种在linux下过滤syn_flood攻击数据，用于在检测到发生攻击时，启动syn Flood过滤器，阻隔所有syn连接请求，对其身份进行鉴定，将所有攻击的syn连接过滤，并最大限度的保证正常的网络连接，属于网络安全技术领域。

背景技术

网络安全一直是伴随网络高速发展越来越来越受广大用户和技术工作者关注并寻求解决放案，TCP/IP协议现在网络的通信协议，其开放性以及协议诞生之初并未料到的网络的许多变化使得协议本身具有一些缺点。网络黑客根据网络协议本身漏洞设计了一些网络攻击工具，其中DDos是一种危害极大的网络攻击，它通过tcp协议三次握手的建立过程中，发起放发送请求，得到建立申请的主机向发起方发出回应，并需要分配资源等待回复，网络攻击者根据此原理发送大量的链接申请，通过主机不断需要相应申请分配资源，直到资源耗尽。往往在几分钟的时间即可使服务器瘫痪。目前防范此类恶性攻击的方法，主要是通过将主机分配资源后的等待时间缩短，这是一种被动的防守型方式，而且发现攻击时，往往已是攻击中期，网络服务不能保证。所以防范网络攻击特别是DDoS攻击，需要提供灵敏的检测方法和强大的过滤机制。

目前在检测方法上有了各种的发现，包括对数据流特征分析，以及建立网络模型等几种主要方式。而对于数据包过滤主要还是基于某个数据特征的过滤，如跟踪可疑端口，通过聚集发现恶意地址后，封闭某端口或者禁止某地址数据包通过。但这些方式均比较被动，缺乏智能性，高效准确智能的过滤方法对于主动防范是非常必要和急需的。

发明内容

技术问题：本发明主要是提供对于在SynFlood攻击发生后，通过智能探测方法识别合法和攻击地址信息，并有针对性的予以通过和丢弃的一种智能的过滤机制。机制借鉴了linux的Iptables机制，将部分功能借助iptables对列实现，将其与一种优化后的cookie维护识别结合在一起，提供了一种基于开源内核的无状态的泛洪请求攻击过滤方法，通过本机制可以识别出攻击地址和合法地址，并对攻击地址发送的数据包进行阻挡，对合法地址的请求予以放行，在防范攻击的情况下，尽可能保证网络服务。

技术方案：本发明的方法是一种算法型的方法，通过结合linux中iptables框架和提出的优化后的cookie算法，提供无状态的基于syn flood的智能防范过滤方法，利用改进后的cookie方法利用较小的资源消耗，实现对恶意攻击的过滤。

Iptables：Iptables框架是Linux2.4以后内核版本采用的防火墙框架，可以通过设定规则，对协议栈的数据流进行控制。iptables是由链和表组成的，基本的链包括input链，output链，forward链。在每一条链中，根据功能需求可以定义一些操作，这些操作是通过几个表来实现的：mangle表，nat表还有filter表。最终可以实现对数据的过滤，nat操作以及其他的防火墙过滤控制功能。

SYN Cookie：SYN Cookie这个概念最早由D.J.Bernstain和Eric Schenk发明，并在linux内核中实现，它通过一个加密算法(在linux2.4内核中使用的MD5加密算法)，在下一次返回时判断其有效性，这是一种被动的方法，在攻击强度较高的时候，频繁的计算cookie值将使系统也陷入瘫痪。

无状态：无状态的方式在检测请求联接方是否非法攻击的时候，并不保存其所有参数，而是生成了一个cookie值，利用我们提出的算法来维护这一个cookie库。

一.体系结构

基于Linux内核的无状态的SYN_Flood过滤器可以分为三部分：总体框架；cookie库管理维护；iptables操作模块。

下面是个部分的功能介绍：

总体框架

总体框架实现了对整个过滤流程的数据流向的控制和决策：首先取出所有ip_queue队列中的syn包和rst包，若是syn包则生成一个cookie值，并想发起端发送一个ack报文；若是rst包将取出包头中的ack_seq域值，到cookie库中寻找，若找到则将向iptables模块发送消息，将rst包的源ip地址加入可通过队列。

cookie库管理维护