摘要：DDoS攻击是因特网目前面临的最严峻的威胁之一.如何快速有效地对其进行防范已经成为一项十分有意义的工作.该文提出了一种TCP Proxy与待响应ACK队列相结合的、能够对TCP绝拒服务攻击进行有效过滤的方法,并用这种方法在Linux内核中实现了一个高速过滤器.实验结果表明,在为TCP传输单独分配带宽的情况下,这种高速过滤器可以有效保护TCP支持的各种网络服务免受绝拒服务攻击.

关键词：dos ddos tcp proxy 待响应ack队列 

单位：中国信息安全产品测评认证中心华中测评中心; 湖南长沙410001; 国防科技大学计算机学院; 湖南长沙410073; 湖南大学软件学院; 湖南长沙410082