【正文】 效防止連接耗盡、網(wǎng)頁(yè)腳本攻擊等等。 很顯然，普通防火墻所具有的功能無(wú)法擔(dān)當(dāng)起防護(hù) DDoS 攻擊的艱巨任務(wù)。 網(wǎng)絡(luò)防火墻，是 在內(nèi)部網(wǎng)和外部網(wǎng) 之間、專(zhuān)用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障 ， 計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過(guò)此防火墻 。 因此，如果將所有網(wǎng)站做成靜態(tài)頁(yè)面，只給用戶(hù)提供靜態(tài)信息，阻止用戶(hù)與服務(wù)器進(jìn)行交互，這無(wú)疑是防御 CC 攻擊的最有效的方式，它將大大提高服務(wù)器性能，因?yàn)?一個(gè)靜態(tài)頁(yè)面不需要服務(wù)器多少資源 ， 甚至可以直接從內(nèi)存中讀 取 發(fā)給 用戶(hù)。 ．將網(wǎng)站做成靜態(tài)網(wǎng)頁(yè) 我們知道， CC 類(lèi)攻擊的主要方式是通過(guò)重復(fù)遞交查詢(xún)、列表等命令消耗系統(tǒng)性能來(lái)實(shí)現(xiàn)的。 路由配置。 下面是基于服務(wù)器入口的過(guò)濾建議： 端口與協(xié)議過(guò)濾。加大網(wǎng)絡(luò)帶寬，留有足夠的冗余，這 樣做的目的是讓服務(wù)器不至于被一些很小流量的 DDoS 攻擊而導(dǎo)致拒絕服務(wù)。這樣有效地降低了SYN 攻擊的影響。當(dāng)客戶(hù)端返回一個(gè) ACK【 6】 報(bào)文時(shí)，根據(jù)包頭信息計(jì)算 cookie，與返回的確認(rèn)序列號(hào)（初始的序列號(hào) +1）的前 24 位進(jìn)行對(duì)比，如果相同，則是一個(gè)正常連接，然后分配資源，建立連接，否則拒絕連接。下面是防御 DDoS攻擊的幾個(gè)具有建設(shè)性的建議或方法： ．增強(qiáng)終端設(shè)備的容忍性 隨機(jī)釋放。這樣一來(lái)，攻擊者每發(fā)送一個(gè)數(shù)據(jù)包，受害者都會(huì)收到很多（數(shù)量為作出響應(yīng)的網(wǎng)絡(luò)主機(jī)數(shù)）的回應(yīng)包，從而占用受害者的計(jì)算資源和從反射器（即廣播地址指向的網(wǎng)絡(luò)）到受害者之間的帶寬。 ．反射攻擊 所謂反射攻擊，是指攻擊者或者控制下的傀儡機(jī)向作為第三方的 反射器 【 4】 發(fā)送特定數(shù)據(jù)包，再經(jīng)由反射器向受害者發(fā)送攻擊者所希望的回應(yīng)數(shù)據(jù)包的一種攻擊方式。 CC 攻擊主要是針對(duì)存在 ASP、 JSP、 PHP、 CGI等的腳本程 序，并調(diào)用 MSSQLServer、 MySQLServer、 Oracle 等數(shù)據(jù)庫(kù)的網(wǎng)站系統(tǒng)而設(shè)計(jì)的。通常這可以在防火墻上限制每個(gè)源 IP地址每秒鐘的連接數(shù)來(lái)達(dá)到防護(hù)目的。 圖表 2 TCP 連接的三次握手 延邊大學(xué)本科畢業(yè)論文 8 圖表 3 SYNFlood 攻擊模型 ． Connection Flood 攻擊 Connection Flood 即 TCP 連接耗盡攻擊（或叫著空連接攻擊），是一種典型的、非常有效的躲避防火墻阻擋的攻擊方式。 正常的 TCP 請(qǐng)求如 圖表 2，客戶(hù)機(jī)與服務(wù)器通過(guò)三次握手的方式建立可靠連接，然后實(shí)現(xiàn)數(shù)據(jù)傳輸。因此，這些傀儡機(jī)被攻擊者侵占并安裝上了攻擊程序，隨時(shí)等待攻擊者的命令。 所以，事先搜集目標(biāo)主機(jī)（或者主機(jī)群）的信息對(duì) DDoS 攻擊者來(lái)說(shuō)是非常重要的，這關(guān)系到使用多少臺(tái)傀儡機(jī)才能達(dá)到效果的問(wèn)題。 ． DDoS 攻擊的癥狀特征 遭到 DDoS 攻擊后，常見(jiàn)的癥狀特征有以下幾種： 被攻擊主機(jī)上有大批 等待 的 TCP 連接； 數(shù)據(jù)流 中 充 滿(mǎn) 著 大 批 的 無(wú)用 的 數(shù)據(jù) 包 ， 源 地址 為假 ； 服務(wù)器處理能力滿(mǎn)負(fù)荷，或頻繁死機(jī)或重啟動(dòng)； 鏈路中存在大量 高流量無(wú)用數(shù)據(jù)，造成 數(shù)據(jù)鏈路 擁塞，使受害主機(jī)無(wú)法正常和外界通信 ； 利用 受害主機(jī) 可以提供 服務(wù) 或傳輸協(xié)定 這一 缺點(diǎn)，重復(fù)高速的發(fā)出特定的 服務(wù) 請(qǐng)求 ，使受害主機(jī)無(wú)法實(shí)時(shí)處置全部正常 請(qǐng)求。 延邊大學(xué)本科畢業(yè)論文 4 圖表 1 DDoS 攻擊模型 延邊大學(xué)本科畢業(yè)論文 5 第三章 DDoS 攻擊動(dòng)機(jī)和癥狀特征 ． DDoS 攻擊的動(dòng)機(jī) 黑客采用這種具有極強(qiáng)破壞力的攻擊方式，一般有以下幾點(diǎn)動(dòng)機(jī)： 仇恨或報(bào)復(fù)。 DoS 相對(duì)于 DDoS 來(lái)說(shuō)就像是一個(gè)個(gè)體，而 DDoS 是無(wú)數(shù) DoS 的集合。 DDOS 伴隨著這種情況的發(fā)生，誕生了。 DoS 的攻擊方式一般都是一對(duì)一方式，而且攻擊者 一般都不用自己的計(jì)算機(jī)，其目的是為躲避追蹤。 研究方法： DDOS 基本概念介紹、 2 原理分析、 3 實(shí)例分析、 4 、對(duì)比分析 延邊大學(xué)本科畢業(yè)論文 3 第二章 基本概念介紹 ． DDoS 的前身 DoS DoS（ Denial of Service）為 DDOS 的前身，翻譯為拒絕服務(wù)。因此對(duì)于 DDoS 的認(rèn)識(shí)與研究是十分重要且要引起重視的，我們必須時(shí)刻保持警惕，做好相關(guān)的防御準(zhǔn)備工作，從而確保公司網(wǎng)絡(luò)的正常運(yùn)行。 攻擊者 在短暫 并且十分緊要 的時(shí)間段內(nèi)發(fā)動(dòng)攻擊 ， 受害者 在這種緊急的情況下 就不得不支付 “ 保護(hù)費(fèi) ” 。 若是 沒(méi)有這些主要的通信渠道，大多數(shù) 的 公司都 很難 在競(jìng)爭(zhēng)中幸存。政治形勢(shì)、 地理、 戰(zhàn)爭(zhēng)、宗教問(wèn)題、生態(tài)等任何動(dòng)機(jī)都 有 可能成為對(duì)公司、政治組織甚至 對(duì) 國(guó)家的 IT 基礎(chǔ)架構(gòu)發(fā)動(dòng)進(jìn)攻的動(dòng)機(jī)。 ．文獻(xiàn)綜述 . DDos 的攻擊前序 拒絕服務(wù)攻擊 從一 開(kāi)始 可能 只是為了 “ 取樂(lè) ” ，對(duì)系統(tǒng) 的 操作員進(jìn)行某種報(bào)復(fù)或者 是實(shí)現(xiàn) 不同程度的、 復(fù)雜的攻擊，例如 一些典型的 對(duì)遠(yuǎn)程服務(wù)的隱形 欺騙。 SYN。s effective against DDoS attacks and make the pany the smallest loss. Key word: DoS。圖表整潔，布局合理，文字 注釋必須使用工程字書(shū)寫(xiě)，不準(zhǔn)用徒手畫(huà) 3）畢業(yè)論文須用 A4 單面打印，論文 50 頁(yè)以上的雙面打印 4）圖表應(yīng)繪制于無(wú)格子的頁(yè)面上 5）軟件工程類(lèi)課題應(yīng)有程序清單，并提供電子文檔 1）設(shè)計(jì)（論文） 2）附件：按照任務(wù)書(shū)、開(kāi)題報(bào)告、外文譯文、譯文原文（復(fù)印件）次序裝訂 延邊大學(xué)本科畢業(yè)論文 摘 要 近年來(lái)，互聯(lián)網(wǎng)越來(lái)越普及，大到公司企業(yè)的電子商務(wù)，小到普通用戶(hù)的上網(wǎng)購(gòu)物，都離不開(kāi)互聯(lián)網(wǎng)絡(luò)的支持。 涉密論文按學(xué)校規(guī)定處理。對(duì)本文的研究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式標(biāo)明。對(duì)本研究提供過(guò)幫助和做出過(guò)貢獻(xiàn)的個(gè)人或集體，均已在文中作了明確的說(shuō)明并表示了謝意。盡我所知，除文中特別加以標(biāo)注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過(guò)的研究成果，也不包含我為獲得 及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過(guò)的材料。除了文中特別加以標(biāo)注引用的內(nèi)容外，本論文不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫(xiě)的成果作品。本人授權(quán) 大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫(kù)進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。 、圖表要求： 1）文字通順，語(yǔ)言流暢，書(shū)寫(xiě)字跡工整，打印字體及大小符合要求，無(wú)錯(cuò)別字，不準(zhǔn)請(qǐng)他人代寫(xiě) 2）工程設(shè)計(jì)類(lèi)題目的圖紙，要求部分用尺規(guī)繪制，部分用計(jì)算機(jī)繪制，所有圖紙應(yīng)符合國(guó)家技術(shù)標(biāo)準(zhǔn)規(guī)范。 關(guān)鍵詞： DoS； DDoS；分布式拒絕服務(wù)；傀儡機(jī)； SYN；防火墻 延邊大學(xué)本科畢業(yè)論文 Abstract In recent years, the Inter is being increasingly popular. from large to emerce of the enterprises, and small to ordinary users’ Inter shopping, are inseparable from the support of the Inter. However, the Inter work security systems brought about by the development of Inter , are being increasingly prominent, and gradually attracted attention. In this paper, starting from the concept of DoS, and parative analysis of the similarities and differences of DoS and