论述了一种复合型嵌入式防火墙的实现结构,分析了SYN Flooding攻击原理及其多种防御措施,在FPGA上运用CUSUM算法实现了对SYN Flooding攻击的检测. 嵌入式防火墙上实现防御ＳＹＮ Ｆｌｏｏｄｉｎｇ攻击 杨淼，高燕 （解放军信息工程大学通信工，程系，河南郑州４５０００２） 摘 要：论述了一种复合型嵌入式防火墙的实现结构，分析了ＳＹＮ Ｆｌｏｏｄｉｎｇ攻击原理及其多种防 御措施，在ＦＰＧＡ上运用ＣＵＳＵＭ算法实现了对ＳＹＮ Ｆｌｏｏｄｉｎｇ攻击的检测。 关键词：ＳＹＮ Ｆｌｏｏｄｉｎｇ ＳＹＮ Ｃ００ｋｉｅｓ ＣＵＳＵＭ算法 在目前复杂的网络环境Ｆ，安全成为关注焦点，而 防火墙是维护内部网络安全的首选产品。为获得更高安 全性，常常把基于包过滤的方法与基于应用代理的方法 结合起来，形成复合型防火墙。不仅如此，网络攻击行为 的泛滥也使得抗ＤＤＯＳ攻击的功能被集成到防火墙中。 ＳＹＮ ｎｏｏｄｉｎｇ是一种使用频繁的ＤＤＯＳ攻击手段，发起 这种攻击并不复杂，有多种可选择的攻击软件，甚至利 用Ｒａｗ Ｓ０ｃｋｅｔ编写一个攻击程序也非难事【１１，而且它的 攻击是利用ＴＣＰ／ＩＰ协议设计上的安全缺陷，至今还没 有彻底的解决方案。一种可行的解决方式是综合利用各 种手段抑制和减少攻击带来的损失，提高防火墙的抗攻 击能力。本文介绍一种在嵌入式防火墙上实现防御 ＳＹＮ Ｆｌｏｏｄｉｎｇ攻击的方案。 １嵌入式防火墙平台 图１防火墙结构框图 ……