近年来拒绝服务攻击活动频繁,对网络供应商造成不小损失。研究表明,拒绝服务攻击是众多网络攻击中较难防御的一种攻击方式。拒绝服务攻击现有的防范的方法有很多,但大部分是被动的、在攻击造成损失后才能发现,或者是耗费太高,不能大范围部署。由Mohamed G.Gouda等人2002年设计的跳完整性协议是一种拒绝服务攻击的主动防范方法,它能有效地防止数据包被伪造、窜改和重放。 Linux操作系统因其自身的开放性、稳定性、灵活性以及可定制性在业界受到好评。本文在详细分析跳完整性协议原理的基础上,基于Netfilter功能框架,利用动态模块加载机制、添加系统调用以及/proc伪文件系统等多种linux内核技术,实现了跳完整性协议,包括密钥交换、数据包输入/输出处理两个模块,并在其上添加了数据包统计功能,充分利用跳完整协议的安全便利实现了基于跳完整性协议的回溯追踪系统。最后,对本文所实现的跳完整性协议和回溯追踪系统进行了功能测试与性能分析。分析表明跳完整性协议保证在相邻路由器之间被篡改、伪造、重放的数据包在第一跳被检测出来,从而能够主动防御拒绝服务攻击;在发生攻击时,能够迅速准确的定位攻击源;在性能上没有给系统带来太大开销,在对实时性要求不高的情况下,给处理数据包带来的延时可以接受。