【正文】 ，并且非常難以抵擋。由于 DDoS 攻擊會造成大型服務器癱瘓，導致 很大的經(jīng)濟損失，因此一些攻擊者以此作為敲詐勒索的手段； 政治原因或信息戰(zhàn)。 對于 DDoS 攻擊者來說，攻擊互聯(lián)網(wǎng)上的某個站點，有一個重點就是確定到底有多少臺主機在支持這個站點，一個大的網(wǎng)站一般有很多臺主機利用負載均衡技術提供同一個網(wǎng)站的 服務。 攻擊者占領傀儡機的方法有多種，如掃描端口、安置后門程序、網(wǎng)站惡意鏈接等等。具體步驟為：黑客首先登錄到作為控制臺的傀儡機，并向所有的攻擊機發(fā)出攻擊命令，這時候存于攻擊機中的 DDoS 攻擊程序就會響應控制臺的命令，一起向受害主機以高速度發(fā)送大量的數(shù) 據(jù)包，導致目標主機死機或是無法響應正常的請求，達到攻擊效果。這樣，服務器無法完成第三次握手，但服務器不會立即放棄，服務器會不停的重試并等待一定的時間后放棄這個未完成的連接，這段時間叫做 SYN timeout，這段時間大約 75 秒左右。 Connection Flood 攻擊模型如 圖表 4。 CC 攻擊是最著名的基于腳本頁面的 DDoS 攻擊，也是最典型的以小博大的攻擊方式。一般來說，提交一個 GET 或 POST 指令對客戶端的耗費和帶寬的占用幾乎是可以忽略的，而服務器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是相當大的。反射攻擊的模型如 圖表 5。值得一提的是，分布式反射攻擊不依賴系統(tǒng)漏洞，任何系統(tǒng)都可能成為反射攻擊的“幫兇”，而且反射器可以很好地隱藏攻擊者的位置。 SYN Cookie。在 SYN Cache 的實現(xiàn)中，服務器不是為每一個套接字維持一個未完成連接的隊列，而是代之以一個全局的未完成連接的 hash 表。在對服務器做好補丁管理的同時，對一些特定的、容易被攻擊利用的協(xié)議如 ICMP 實施流量控制，關閉不需要的服務和端口，這可以很有效的防御 Connection Flood、 CC 等攻擊。 ．入口過濾 DDoS 攻擊中有很大一部分是使用非法報文或請求、偽造的 IP 請求使得系統(tǒng)不能正常的服務。 地址過濾。這能極大地降低反射攻擊的威脅。比如 我 要 查找一個關鍵字 ，則系統(tǒng) 搜索肯定會 在一個幾百兆的數(shù)據(jù)庫內 對所有的數(shù)據(jù)進行一次判斷 ，占用的 CPU資源和 消耗的時間 都會 相當 巨 大 。 ．安裝專業(yè)抗 DDoS 防火墻 DDoS 攻擊早就有了，而各防火墻廠商也根據(jù)許多現(xiàn)有的 DDoS 攻擊手段，將相應防范的代碼嵌入到防火墻軟件或硬件中，甚至一些高端產(chǎn)品還能夠根據(jù) DDoS 攻擊的規(guī)律，智能的分辨一些采用混合手段的新型攻擊方式。普通 防火墻 主要功能如下： 延邊大學本科畢業(yè)論文 13 通過過濾不安全的服務而降低風險 ，建立起一道 網(wǎng)絡安全的屏障 ； 通過以防火墻為中心的安全方案配置，將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。因此，專業(yè)抗 DDoS 防火墻的出現(xiàn)能很好的抵御DDoS 攻擊。 由于現(xiàn)在的 DDoS 防御硬件設備都是通過 Web 進行管理，針對 Web 用戶名密碼的安全策略就顯得 非常 重要 。 智能化及主動黑白名單管理 。 現(xiàn)今網(wǎng)絡拒絕服務攻擊流量不斷增加，而 IDC 機房總體帶寬增加 較慢，這就使得不管采用何種防御手段和防御硬件，都無法 100％的阻止所有的拒絕服務攻擊。 流量控制功能作為為 IDC 運營商所喜歡的貼心功能，在多數(shù)硬件防火墻上都已經(jīng)實現(xiàn) 。也因為如此，網(wǎng)管與系統(tǒng)管理者更應盡全力保護網(wǎng)絡與系統(tǒng)安全。 SYN是標志位用來建立連接，讓連接雙方同步序列 號?？刂葡⑹侵妇W(wǎng)絡通不通、主機是否可達、路由是否可用等網(wǎng)絡本身的消息。本文從選題到完成，每一步都是在崔老師的指導下完成的，傾注了崔老師的大量心血。再次感謝我的大學和所有幫助過我，并給我鼓勵和幫助的老師們，同學們和朋友們，感謝你們！ 向經(jīng)濟管理學院和信管系的所有領導和老師表示 感謝！ 最后，我要特別感謝我的父母和親人。另外，要感謝在學期間所有傳授我知識的老師，是你們的悉心指導使我有了良好的專業(yè)課知識，這也是論文完成的基礎。 延邊大學本科畢業(yè)論文 17 參考文獻 [1] 李德全 .拒絕服務攻擊 [M].北京：電子工業(yè)出版社， . [2] 白志飛 .Cisco 路由器上防止 DDoS 建議 [J/OL]. 2020711 [3] 比特網(wǎng) .DoS 與 DDoS 技術詳解 [J/OL]. 2020519 [4] 戴鵬飛 .DDoS 攻擊原理及防護方法論[J/OL]. 2020316 [5] 華盟網(wǎng) . 分布式拒絕服務攻擊 (DDoS) 原理及防范 [J/OL]. 2020125/2020816 [6] 郝永清 .黑客 Web 腳本攻擊與防御技術核心剖析 [M].北京：科學出版社， [7]楊子 翔，蔡 錫鈞 . Network DoS/DDoS 攻擊及 預防 方法之 研究 [EB/OL]. A32,20201021/202002 [8]Broder A,Mitzenmacher applications of bloom filters: A survey[J].Inter Mathematics,2020,1(4) [9]Stefan S,David Support for IP Traceback[J].IEEE/ACM Transactions on Networking,2020,9(3) 延邊大學本科畢業(yè)論文 18 謝 辭 論文定稿之際，回首四年來本科生的求學過程，心中涌起的更多的是感激之情。如 Web 服務器、 DNS 服務器、路由器等 【 5】 ICMP： (Inter Control Message Protocol） Inter 控制報文協(xié)議。本文系統(tǒng)的介紹了 DDoS 攻擊原理、步驟與攻擊分類，并針對如何防御 DDoS 攻擊提出了幾個建設性的建議 ，旨在能夠通過對 DDoS 攻擊原理的徹底理解，采取相應措施抵御DDoS 不同的攻擊類型，達到防護主機服務器的目的。 延邊大學本科畢業(yè)論文 15 結 論 互聯(lián)網(wǎng)絡的盛行，帶來的方便，也增加了恐懼。 因此， 在 DDoS 攻擊流量達到機房總體帶寬時，切斷被攻擊目標主機的網(wǎng)絡流量，或者將發(fā)往該主機的網(wǎng)絡流量導入黑洞路由，是保護機房網(wǎng)絡穩(wěn)定的重要一環(huán)。所以智能黑名單特性是有效防御此類攻擊的主要特性之一。 多級別防御 。下面是這三類防火墻的防御能力及整體擁有成本對比： 表格 1 防御能力及整體擁有成本對比 防御目標 軟件防火墻 硬件防火墻 DIY防火墻 百兆防御 200~300 元一套 2 萬 ~3 萬一套 1000 每機房每月 千兆防御 X 6 萬 ~8 萬一套 1500 每機房每月 2G 群集防御 X 12 萬 ~16 萬一套 2020 每機房每月 8G 群集防御 X 50 萬 ~65 萬一套 4000 每機房每月 在防御功能方面三類防火墻 表現(xiàn)大致相同： 表格 2 三類防火墻防御能力對比 防御目標 軟件防火墻 硬件防火墻 DIY防火墻 假原址 SYN 攻擊 一般 好 好 單一原址 SYN 攻擊 一般 好 好 真實原址 SYN 攻擊 一般 傲盾好 金盾一般 遐邇一般 好 SYN 大包攻擊 一般 好 好 UDP 大包攻擊 一般 好 好 延邊大學本科畢業(yè)論文 14 代理 CC 攻擊 一般 好 好 SYNACK 攻擊 一般 好 好 PSHACK 攻擊 一般 好 好 傳奇 DB 攻擊 一般 好 好 傳奇刷小人攻擊 一般 金盾好 好 目前 ，主流抗 DDoS 防火墻的防御功能逐漸完善，對常見 DoS 攻擊如 SYN Flood、UDP Flood、 ICMP Flood 等都能進行很好的防護，同時還可以有