返回
基于netfilter的连接限制的研究与实现

基于netfilter的连接限制的研究与实现

ID:34072650

大小:266.92 KB

页数:4页

时间:2019-03-03

基于netfilter的连接限制的研究与实现_第1页
基于netfilter的连接限制的研究与实现_第2页
基于netfilter的连接限制的研究与实现_第3页
基于netfilter的连接限制的研究与实现_第4页
资源描述:

《基于netfilter的连接限制的研究与实现》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、万方数据gas卷第10期计算机工程2009年5月V01.35No.10ComputerEngineeringMay2009·安全技术·文章编号tlooo~3428(2∞9)lo_-0162.-02文献标识码:A中田分类号zTP393.08基于Netfilter的连接限制的研究与实现囊拣粟.月健,程克囊(合肥工业大学计算机与信息学院,合肥230009)■蔓:提出一种限制连接的方法。利用Netfilter/Iptables系统的扩展功能,创建一个可以对TCP和UDP连接数分别进行限制的Netfilte

2、r/Iptables模块。在该模块中,TCP连接限制算法利用了TCP连接的特性,而UDP连接限制算法利用了计时的方法。使用该模块可以方便有效地控制客户端的并发连接数。关■司:Netfilter/Iptables防火墙;连接限制;时间藏ResearchandImplementationofConnectionLimitBasedonNetfilterGU[10ng·iiang,ZHOUJian,CHENGKe—qin(CollegeofComputerandInformauon,HefeiUnive

3、rsityofTechnology,Hefei230009)[AbstractlThispaperpresentsamethodoflimitingconnections.ThemetIIodUSeSextensionofNetfilter/lptablessystemtocreateaNettilter/lptablesmodule.whichCanlimitTCPandUDPconnectionsseparately.TheTCPconnectionslimitalgorithmofthism

4、oduleu辩scharacteristicsofTCPconnection,whileUDPUSeSdmetag.Byusingthismodule,itcanlimitparallelconnectionsofclientPCconvenientlyandeffectively.[KeywordslNeffilterBptablesfirewall;connectionlimit;timetagl概述近年来,随着P2P软件的兴起,网络带宽被大部分P2P流量占据,尤其在被用来进行大量数据下载的情

5、况下,甚至会引起网络拥塞,降低其他业务的性能。这给企业整体网络应用带来了巨大压力,企业正常业务网的带宽也会受到影响。因此,如何对P2P软件进行有效的限制成为当务之急⋯。当前对P2P做限制,一种方法是靠封端口,这是比较老的方法,早期的P2P应用都是固定的端I:I号,容易检测便于管理。后来逐渐发展到动态随机端El号,传统的封端I:1的方法失去了作用。另一种常见的方法是利用P2P数据流的特征,对P2P数据包进行过滤。然而,当P2P软件改变其协议特征时就失效了,需要重新抓取特征码,且这种方法对加密的P2P

6、协议更是无效。P2P软件的特征是在下载的同时,也在为其他用户提供上传,简单地说就是下载的人越多。下载的速度越快。从本质上看是和其他计算机建立连接越多(一个连接是指数据流中的数据包具有相同的源地址、目的地址、源端口和目的端口,或数据包的源地址、目的地址、源端口、目的端口和该数据流中的数据包的目的地址、源地址、目的端I:1、源端口相同,那么该包也属于这个连接),交换数据就越快。这种数据交换一般使用TCP或UDP协议,当连接减少后,速度相应地下降。当只有几个连接时,.P2P的速度是很低的,即使用户继续使

7、用P2P软件,也不会引起网络的拥塞。可见对连接数进行限制,也是对P2P进行限制的一种方法。2Netfiiter/Iptables结构¨JNetfilter就是嵌入内核lP协议栈内不同点处的钩子,通常包的路径如图1所示。各钩子说明如下:NF_IP_PRE_ROUTING,报文作硌由以前执行;一16}一NF_IP—FORWARD,在报文转向另一个NIC以前执行;NF_IP—POST—ROUTING,在报文流出以前执行;NF—IP—LOCAL—IN,在流入本地的报文作路由以后执行;NF-IP—LOCAL

8、—OUT,在本地报文流出路由前执行。■1NetfilterHOOK位量内核模块可以在任何钩子处注册并监听数据包。模块在钩子处注册的钩子函数可以对包进行任何处理,每个注册的钩子函数经过处理后都将返回一定的值,告知Netfilter核心代码处理结果,以便对报文采取相应的动作。Iptables是用来配置Netfilter的工具,通过它,用户可以在用户态向Netfiiter提供参数。Netfilter提供的是一套HOOK框架,而Iptables向它提供参数。match和target是Net

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。