互联网的发展,极大的推动了整个社会的发展,在社会、经济、教育和娱乐等各方面都产生了重大的影响。互联网与人们的生活越来越紧密,人们通过网络互相交流,共享一些资源,互联网也缩小了人们地理上的距离,我们生活的这个星球也被称为“地球村”。与此同时,网络安全也成为了人们关注的焦点。病毒、网络攻击等术语也越来越经常出现在人们的面前。政府或公司的机密数据被黑客盗取、个人计算机被病毒感染造成重要数据被删除等这些事件时常发生。网络安全已经成为政府、科研机构和公司关注的一个焦点。网络攻击手段的不断升级,其破坏性也越来越大,造成的损失也就越来越多。在这些网络攻击中,拒绝服务(Denial of Service,DoS)攻击作为一种重要的网络攻击手段,该攻击主要利用了网络协议的缺陷。由于DoS攻击的原理简单,攻击的工具也能够很容易的得到,因此利用它对受害主机进行攻击占了网络攻击中的近一半,其造成的损失也比较高。防火墙作为网络安全方面的一个重要产品,在维护网络安全中做出了重要的贡献。防火墙作为网络安全方面的一个重要产品随着网络技术的发展也在不断的提高和完善。DoS攻击作为网络攻击中的一个重要手段,主要是利用网络协议设计上的漏洞,造成的损失大,并且难以防范。单纯的包过滤防火墙只能对数据包进行简单的过滤,很难适应发展的网络防御要求。状态检测防火墙作为防火墙发展中的一个里程碑,由于它对数据包的检测与先前的数据包相关联,使其对DoS攻击的防御成为可能。本文正是针对上述的问题,以状态检测防火墙为基础,对各种常见DoS攻击原理和方法做了介绍,在深入分析Linux状态检测防火墙源代码的基础上,对防DoS攻击的问题进行了研究和探索。本文的主要内容有:1.在介绍状态检测防火墙基本概念的基础上,详细的分析了Linux防火墙Netfilter的状态检测部分的源代码程序。2.对常见DoS攻击的原理和方法进行了讨论,给出了一些常见的防DoS攻击的防御方法。3.对常见的几种防SYN FLOOD的DoS攻击模型进行了对比分析,改进了一种新的防DoS攻击的模型。扩展了状态检测防火墙对ICMP和FTP协议进行处理的模型。