防火墙主动防御技术体系作为网络安全领域的一个重要分支,越来越受到业界关注。目前,基于给予各种操作系统的防火墙大多采用被动防御技术,如特征匹配、手动更新、流量控制、访问控制等。但是它们在抵御拒绝服务攻击方面,有太多的不足之处。针对于此,本文进行了这方面的研究提出了基于Linux主动防御拒绝服务系统。本文首先介绍了网络安全的基础知识及TCP/IP协议的相关问题,然后,深入研究了Linux2.6内核,提炼出重要数据结构、数据处理流程,掌握Linux内核框架的实现机制。研究了SYN flood攻击原理,分析当前的防护拒绝服务攻击算法不足之处,在此基础上,设计并实现了一种基于Linux主动防御拒绝服务系统。该系统在数据链路层分析数据帧,在系统底层通过转向代理握手的方式实现中继防火墙代理服务程序的功能,并且通过流量检测机制启动转向代理握手模块。一方面因为转向代理握手工作在操作系统的网络入口处,减少了系统消耗,提高了工作效率,提高了受到拒绝服务攻击时为正常用户提供服务的能力;另一方面,在没有受到攻击时,不必启动转向代理模块,从而避免了正常网络情况下代理服务程序引起的TCP连接的延迟。最后,在真实网络环境下进行了攻击测试,试验结果表明,基于Linux主动防御服务攻击系统达到了主动防御的效果,可以有效的抵御DDoS攻击。