Netfilter防火墻中反TCP端口掃描系統(tǒng)的研究與實現.pdf

1、目前，隨著網絡入侵和攻擊行為的迅速增長，網絡安全問題成為人們日益關心且必須解決的問題。防火墻和網絡入侵檢測作為網絡安全領域的兩大關鍵技術，如能將它們實現某種程度上的結合，做到互為補充，充分發(fā)揮其對網絡入侵和攻擊行為的檢測和防御功能，是十分有現實意義的。 端口掃描是網絡入侵行為的第一步，是大規(guī)模網絡攻擊的前奏。課題在Netfilter防火墻框架中研究并實現了一個反TCP端口掃描系統(tǒng)，使防火墻在一定程度上能檢測出包括隱蔽端口掃描在內

2、的TCP端口掃描行為。此外，系統(tǒng)也具備檢防一體的功能，即發(fā)現端口掃描行為之后能及時地采取過濾措施加以防范。本文首先介紹了TCP/IP協(xié)議的有關知識，系統(tǒng)地研究了端口掃描的原理、分類和隱蔽掃描技術，對現有的端口掃描檢測方法和檢測工具進行了分析，列舉了這些方法和工具的優(yōu)點，同時也指出了其存在的不盡完善之處。然后，對系統(tǒng)實現所涉及的Netfilter防火墻框架和Linux內核模塊的相關知識做了比較深入的研究。 在研究基礎上，提出并實現

3、了工作在Netfilter內核防火墻框架中的反TCP端口掃描系統(tǒng)，并對其功能進行了全面的測試。對測試結果進行了分析，與現有的端口掃描檢測工具進行了比較。結果說明課題實現的反TCP端口掃描系統(tǒng)由于綜合采用了TCP標志位檢測法、異常訪問檢測法和統(tǒng)計閾值檢測法，具備檢防一體的功能和良好的可擴展性，在網絡層上實現了對被保護系統(tǒng)的內核級防護，是 現有端口掃描檢測工具的一個有益的補充。 課題的研究對于在Netfilter防火墻中進一