: 分布式拒绝服务攻击(DDoS)是目前Internet所面临的最为常见、对网络服务质量最具威胁、同时也是最难防范的一类攻击模式。TCP Syn Flood 攻击是最经典的一种DDoS 攻击手段。本文在仔细分析现有的防御Syn Flood 攻击方法后，提出了一种新的防御syn flood攻击的方法，基于TTL检测的SYN Flood主动防御，主要的研究成果有：

1. 详细分析了Syn Flood攻击原理及目前的防范方法。基于这些分析，明确指出了现有方法的不足之处，并且提出了一种基于TTL检测的防御Syn Flood攻击的方法；

2. 详细分析了优秀的开源IDS---Snort的体系架构，以及它是如何管理其预处理器的。并在此基础上开发了Syn Flood防御插件；

3. 将上述插件部署到湘潭大学校园网络中心机房，并在实验室用傀儡僵尸发起模拟攻击。实验结果 (成功拦截Syn Flood包99.138%, 漏报率0.862%) 显示本文提出的方法能较好的防御Syn Flood攻击。

关键词：拒绝服务攻击(DoS)；分布式拒绝服务攻击(DDoS)；SYN Flood；Snort；TTL；主动防御；入侵检测系统；入侵防御系统；防火墙

言

藏独分子的猖狂，西方国家对我国的偏见，即将开幕的29届北京奥运会，这些国际性重量级事件不言而喻揭示了安全对我国的非常重要的意义。在网络安全领域，DDoS(Distributed Denial of Service)攻击是目前Internet所面临的最为常见、最具威胁，同时也是最难防范的一种攻击模式。2008年4月7日18点左右到4月8日21点15分，我国国内一家披露西方媒体歪曲报导、揭示事件真相的交流平台，反CNN网站(www. anti-cnn.com )，遭DDoS攻击，导致此间超过27个小时，网民无法登陆反CNN网站页面。

DDoS攻击范指能导致目标网络耗尽某种网络资源，而不能响应正常请求，致使合法用户得不到服务的攻击行为，它是一类攻击的统称。发起DDoS的攻击手段有很多种，如：SYN Flood、 IP欺骗RST攻击、UDP洪水攻击、Ping洪流攻击、泪滴(teardrop)攻击、、、等等。

TCP SYN Flood攻击作为一种经典的DDoS攻击手段，因利用了Internet的基础协议，TCP协议，的漏洞而比一般的DDoS攻击方法效果更明显，防范更难而倍受国内外黑客青睐。当遭受SYN Flood攻击时，受害主机的TCP连接资源被虚假的TCP连接请求占据完，使正常连接请求得不到响应，极大地降低了网络的可靠性和可用性。并且，SYN Flood攻击还具有IP欺骗、身份隐藏、远程控制的特性，使黑客的攻击网络难以追溯。SYN Flood攻击对Internet的正常运行构成了巨大威胁。

由于SYN Flood攻击利用了TCP/IP协议存在的固有的漏洞，所以现有的协议体系对此攻击毫无免疫力。当前对这种攻击采取的防御手段主要有限制半连接数量、缩短操作系统维护半连接的时间长度、利用防火墙作TCP连接的中间代理以及增加资源的方法，如增加网络带宽、增加服务器并同时应用负载均衡技术等。这些方法都只能在一定程度上减缓SYN Flood攻击所造成的影响。

本文提出的“基于TTL检测的SYN Flood攻击防御”的方法与上述方法有质的区别，它结合了SYN Flood攻击端、IP网络数据流、本地网络固有性质三个方面的特点，着力于分离合法的TCP连接请求与SYN Flood攻击数据包。对于合法SYN数据包，给予放行，以确保合法请求能得到及时响应；对于非法SYN数据包，直接将其阻断，禁止其进入内网，以免异常的SYN请求数据包消耗内网的带宽、内存、CPU周期等网络资源。以达到主动防御TCP SYN flood攻击的目的。该方法具有应用到主动防御伪源IP一类攻击的前景。