随着Internet技术的发展与应用,企业所面临的网络安全问题越来越复杂,安全威胁形势日益严峻,分布式拒绝服务(DDoS)攻击由于攻击简单、目前常见的攻击工具较多、容易达到目的、难于防止和追查,成为常见的攻击方式。传统的DDoS攻击防范手段已是捉襟见肘。具有网上交易业务或具有关键、绝密信息流通的企业及政府部门必须采取有效的安全机制和安全措施对服务网络及其关键的服务器进行保护,所以开发先进的防拒绝服务产品具有非常重要的意义。本文的工作主要包含以下内容:(1)提出了通用、自学习和可扩展的DDoS防御系统体系结构,此基础上研发防拒绝服务产品,该系统能对现在流行的拒绝服务攻击进行有效的检测和响应。DDoS防御系统是一个软硬件一体的专用网络安全设备,以透明的方式接入网络,对流经的DDoS攻击流量进行检测和拦截。系统以高性能网络处理器为硬件平台,分为DDoS防御引擎、蜜罐子系统和监控管理中心三部分。(2)在CAVIUM公司的网络处理器Octeon CN3120上设计了DDoS防御引擎,充分利用网络处理器CN3120双核处理网络数据包的高性能,通过对网络流量进行异常检测和分析,通过防御模块对攻击流量进行处理。其软件主要包括六个检测防御模块:静态特征防御,异常检测,SYN Flood防御,白名单提取,攻击目标定位,流量控制。(3)在DDoS防御引擎上设计和实现了通信模块,静态特征防御模块和基于SYN Cookie技术的SYN Flood攻击防御模块。通信模块负责与监控管理中心进行通信,接收监控管理中心发送的初始化信息和控制信息,发送各个检测防御模块的统计信息;静态特征防御模块负责阻拦一些特征明显且已知的DoS攻击如Land,Smurf,Ping Of Death,Nuke攻击;SYN Flood防御模块主要是针对目前最常见的拒绝服务攻击之一SYN Flood攻击,DDoS防御引擎主要使用改进的SYN Cookie算法对这种拒绝服务攻击进行检测和防御。该SYN Cookie技术不同于传统采用计算SYN和ACK字段差值并保存的方法,它使用RST字段和轮询队列淘汰方法。在自身安全性方面,DDoS防御引擎采用双机热备份技术避免单点失效,并使用失效开放策略一旦系统失效或异常,系统将对所有的流量开放,不做任何处理,避免成为网络进出瓶颈。