從netfilter總體結構入手，分析了netfilter的連線跟蹤、包過濾、地址轉換、包處理等關鍵技術。在此基礎上，研究了入侵響應策略，提出了基于netfilter的主動響應模型。經測試證明，這種主動響應模型靈活高效，可以極大地增強系統對入侵行為的防御能力。
關 鍵 詞 連線跟蹤; 入侵響應; 主動響應; 入侵行為重定向

當前，網絡攻擊技術和攻擊工具表現出攻擊速度加快和攻擊工具自動化的新趨勢，工具越來越復雜，系統脆弱性探測速度加快，對防火墻的滲透顯著增多，針對網絡基礎設施的攻擊不斷增加。針對攻擊，要求動態地調整安全策略，自動做出反應。netfilter是Linux內核中用于擴展各種網絡服務的結構化底層框架，新的響應特性加入到內核中并不需要重新啟動內核。netfilter模塊的易擴性，為實現動態安全策略提供了很好的基礎。
1 netfilter技術分析
netfilter是由Rusty Russell提出的Linux 2.4內核防火墻框架，該框架既簡潔又靈活，可實現安全策略應用中的許多功能，如數據包過濾、數據包處理、地址偽裝、透明代理、動態網絡地址轉換(Network Address Translation，NAT)，以及基于用戶及媒體訪問控制(Media Access Control，MAC)地址的過濾和基于狀態的過濾、包速率限制等。
1.1 netfilter框架
netfilter提供了一個抽象、通用化的框架[1]，作為中間件，為每種網絡協議(IPv4、IPv6等)定義一套鉤子函數。Ipv4定義了5個鉤子函數，這些鉤子函數在數據報流過協議棧的5個關鍵點被調用，也就是說，IPv4協議棧上定義了5個“允許垂釣點”。在每一個“垂釣點”，都可以讓netfilter放置一個“魚鉤”，把經過的網絡包(Packet)釣上來，與相應的規則鏈進行比較，并根據審查的結果，決定包的下一步命運，即是被原封不動地放回IPv4協議棧，繼續向上層遞交；還是經過一些修改，再放回網絡；或者干脆丟棄掉。
Ipv4中的一個數據包通過netfilter系統的過程如圖1所示。