【正文】 ――遭受 DDOS 攻擊的系統(tǒng)的管理人員一般第一反應(yīng)是詢問(wèn)上一級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商，這有可能是 ISP、 IDC 等，目的就是為了弄清楚攻擊源頭。但需注意一點(diǎn)， Rate Limit 不能截?cái)?DOS 的所有攻擊。 過(guò)濾廣播欺騙 (Broadcast Spoofing) Smurf 攻擊通常使用 IP 欺騙使網(wǎng)絡(luò)產(chǎn)生大量的響應(yīng) ICMP 回復(fù)請(qǐng)求。針對(duì)此類攻擊一般采取的措施是 QoS，即在路由器或 防火墻上針對(duì)此類數(shù)據(jù)流進(jìn)行限制流量，從而保障正常 帶寬的使用。 判斷如何 被 DDOS 攻擊 的檢查 如何判斷網(wǎng)站是否遭受了流量攻擊呢？可通過(guò) Ping 命令來(lái)測(cè)試，若發(fā)現(xiàn)Ping 超時(shí)或丟包嚴(yán)重 (假定平時(shí)是正常的 )，則可能遭受了流量攻擊，此時(shí)若發(fā)現(xiàn)和你的主機(jī)接在同一交換機(jī)上的服務(wù)器也訪問(wèn)不了了，基本可以確定是遭受了流量攻擊。典型的 DDOS 攻擊利用許多計(jì)算機(jī)同時(shí)對(duì)目標(biāo)站點(diǎn)發(fā)出成千上萬(wàn) 個(gè)請(qǐng)求。 四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 24 SYN Flood 攻擊 SYNFlood 攻擊是當(dāng)前網(wǎng)絡(luò)上最為常見(jiàn)的 DDOS 攻擊，也是最為經(jīng)典的拒絕服務(wù)攻擊，它利用了 TCP 協(xié)議實(shí)現(xiàn)上的一個(gè)缺陷，通過(guò)向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報(bào)文，就可能造成目標(biāo)服務(wù)器中的半開(kāi)連接隊(duì)列 被占滿，從而阻止其他合法用戶進(jìn)行訪問(wèn)。 DDOS 攻擊是利用一批受控制的機(jī)器向某一臺(tái)機(jī)器發(fā)起攻擊，攻擊者實(shí)用的計(jì)算機(jī)數(shù)量和能占用的帶寬是沒(méi)有限制的，因此具有極大的破壞性。 常見(jiàn)的 DDOS 攻擊類型有四種： 1. 帶寬消耗 攻擊者消耗掉某個(gè)網(wǎng)絡(luò)的所有可用帶寬。 由于攻擊者的位置靈活，又使用了常見(jiàn)的協(xié)議，因此在攻擊時(shí)不會(huì)受到監(jiān)控系統(tǒng)的跟蹤，身份也不易被發(fā)現(xiàn)。攻擊者操縱整個(gè)攻擊過(guò)程，并向主控端發(fā)送攻擊命令。 這些被安裝了特定程序、受到攻擊者控制的各類計(jì)算機(jī)，充當(dāng)了傀儡角色。當(dāng)服務(wù)器等待一定的時(shí)間后， 連接會(huì)因超時(shí)而被中斷。分布式拒絕服務(wù)的起源： 1999 年 7 月份左右，微軟公司的視窗操作系統(tǒng)的一個(gè) bug 被人發(fā)現(xiàn)和利用，并且進(jìn)行了多次攻擊，這種新的攻擊方式被稱為“分 布式拒絕服務(wù)攻擊”即為“ DDOS（ Distributed Denial Of Service Attacks）”。用實(shí)驗(yàn) 方式來(lái)驗(yàn)證 DOS 攻擊 。 在 SYN Flood 攻擊中，黑客機(jī)器向受害主機(jī)發(fā)送大量偽造源地址的 TCP SYN報(bào)文，受害主機(jī)分配必要的資源，然后向源 地址返回 SYN＋ ACK 包，并等待源端返回 ACK 包，拒絕服務(wù)攻擊（ Denial of Service， DOS）是目前比較有效而又非常難于防御的一種網(wǎng)絡(luò)攻擊方式，它的目的就是使服務(wù)器不能夠?yàn)檎ＴL問(wèn)的用戶提供服務(wù)。如果某種可疑行動(dòng)經(jīng)常出現(xiàn)，過(guò)濾器能接受指示，阻擋包含那種信息，讓網(wǎng)站服務(wù)器的對(duì)外連接線路保持暢通。這種方法要求投資比較大，相應(yīng)的維護(hù)費(fèi)用也高。主要原因： 、分組頭、通信信道等都有可能在攻擊過(guò)程中改變，導(dǎo)致 DOS 攻擊四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 12 流不存在能用于檢測(cè)和過(guò)濾的共同特性； DOS 攻擊難以防御和跟蹤，同時(shí)，資源、目標(biāo)和中間域之間缺乏合作也不能對(duì)攻擊做出快速、有效和分布式的響應(yīng)； ，不斷調(diào)節(jié)攻擊工具逃避安全系統(tǒng)檢查。在這種攻擊中，黑客使用數(shù)據(jù)流量填滿網(wǎng)絡(luò)。使得 DOS 攻擊成為一種當(dāng)前難以防范的攻擊方式。為了獲得比目標(biāo)系統(tǒng)更多 資源 , 通常攻擊者會(huì)發(fā)動(dòng) DDOS 攻擊 ,從而控制多個(gè)攻擊傀儡發(fā)動(dòng)攻擊 ,這樣能產(chǎn)生更大破壞。 攻擊者可以利用這些漏洞進(jìn)行攻擊致使接受數(shù)據(jù)端的系統(tǒng)當(dāng)機(jī)、掛起或崩潰。在 UDP Flood 攻擊中，四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 9 攻擊者發(fā)送大量虛假源 IP 的 UDP 數(shù)據(jù)包或畸形 UDP 數(shù)據(jù)包，從而使被攻擊者不能提供正常的服務(wù)，甚至造成系統(tǒng)資源耗盡、系統(tǒng)死機(jī)。實(shí)際上如果服務(wù)器的 TCP/IP 棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰 即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的 TCP 連接請(qǐng)求而無(wú)暇理睬客戶的正常請(qǐng)求（畢竟客戶端的正常請(qǐng)求比率非常之?。藭r(shí)從正?？蛻舻慕嵌瓤磥?lái)，服務(wù)器失去響應(yīng)，這種情況我們稱做：服務(wù)器端受到了 SYN Flood 攻擊（ SYN 洪水攻擊）。 圖 2 SYN Flood 攻擊 如圖 2，在第一步中，客戶端向服務(wù)端提出連接請(qǐng)求。當(dāng)受害者等待一定時(shí)間 后 , 連接會(huì)因超四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 6 時(shí)被切斷 ,此時(shí)攻擊者會(huì)再度傳送一批偽地址的新請(qǐng)求 ,這樣反復(fù)進(jìn)行直至受害者資源被耗盡 ,最終導(dǎo)致受害者系統(tǒng)癱瘓。 DOS 攻擊廣義上指任何導(dǎo)致被攻擊的服務(wù)器不能正常提供服務(wù)的攻擊方式。 1. 4 小結(jié) ： 本章主要介紹了網(wǎng)絡(luò) 安全 的意義和目的，并對(duì)一下 攻擊 和 防范 做了進(jìn)一步的分析。 ：通過(guò)對(duì)安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無(wú)效。而從企業(yè)的角度來(lái)說(shuō)，最重要的就是內(nèi)部信息上的安全加密以及保護(hù)。近年來(lái) ,拒絕服務(wù)攻擊已經(jīng)成為最為嚴(yán)重的網(wǎng)絡(luò)威脅之一 ,它不僅對(duì)網(wǎng)絡(luò)社會(huì)具有極大的危害性 ,也是政治和軍事對(duì)抗的重要手段?；ヂ?lián)網(wǎng)的不斷發(fā)展 ,對(duì)人們的學(xué)習(xí)和生活產(chǎn)生了巨大的影響和推動(dòng)。本人完全意識(shí)到本聲明的法律后果由本人承擔(dān)。四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 畢業(yè)設(shè)計(jì)（論文） 題目： DOS 與 DDOS 攻擊與防范 四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 1 畢業(yè)設(shè)計(jì)（論文）原創(chuàng)性聲明和使用授權(quán)說(shuō)明 原創(chuàng)性聲明 本人鄭重承諾：所呈交的畢業(yè)設(shè)計(jì)（論文），是我個(gè)人在指導(dǎo)教師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。 作者簽名： 日期： 年 月 日 學(xué)位論文版權(quán)使用授權(quán)書(shū) 本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留并向國(guó)家有關(guān)部門(mén)或機(jī)構(gòu)送交論文的復(fù) 印件和電子版，允許論文被查閱和借閱。人們對(duì)互聯(lián)網(wǎng)的利用和依賴日益增加 ,人們通過(guò)網(wǎng)絡(luò)互相通信 ,共享資源。最常見(jiàn)的DOS 攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊，特別是 DDOS 攻擊對(duì)因特網(wǎng)構(gòu)成了巨大的威脅。 安全特征 ：信息不泄露給非授權(quán)用戶、實(shí)體或過(guò)程，或供其利用的特性。 ：通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取相應(yīng)的行動(dòng)（如斷開(kāi)網(wǎng)絡(luò)連接、記錄攻擊過(guò)程、跟蹤攻擊源等）。 四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 5 第二章 講述 DOS（拒絕服務(wù)） 什么是 DOS 攻擊？ DOS 攻 擊 (Denial of Service，簡(jiǎn)稱 DOS)即拒絕服務(wù)攻擊，是指攻擊者通過(guò)消耗受害網(wǎng)絡(luò)的帶寬，消耗受害主機(jī)的系統(tǒng)資源，發(fā)掘編程缺陷，提供虛假路由或 DNS 信息，使被攻擊目標(biāo)不能正常工作。具體而言 ,DOS 攻擊是指攻擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的缺陷或通過(guò)各種手段耗盡被攻擊對(duì)象的資源 , 以使得被攻擊計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù) ,直至系統(tǒng)停止響應(yīng)甚至崩潰的攻擊方式。 圖 1 DOS 攻擊的基本原理 攻擊方式 SYN Flood 攻擊 SYN Flood 攻擊是一種最常見(jiàn)的 DOS 攻擊手段，它利用 TCP/IP 連接的 “三次握手”過(guò)程，通過(guò)虛假 IP, 源地址發(fā)送大量 SYN 數(shù)據(jù)包，請(qǐng)求連接到被攻擊方的一個(gè)或多個(gè)端口。這時(shí) TCP SYN 標(biāo)志置位。 ..2 Land 攻擊 Land 攻擊是利用向目標(biāo)主機(jī)發(fā)送大量的源地址與目標(biāo)地址相同的數(shù)據(jù)包，四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 8 造成目標(biāo)主機(jī)解析 Land 包時(shí)占用大量系統(tǒng)資源，從而使網(wǎng)絡(luò)功能完全癱瘓的攻擊手段。由于 UDP 協(xié)議是一種無(wú)連接的服務(wù)，只要被攻擊者開(kāi)放有一個(gè) UDP 服務(wù)端口，即可針對(duì)該服務(wù)發(fā)動(dòng)攻擊。這種攻擊較為經(jīng)典的例子是半連接 SYNFlood 攻擊 ,如圖 2 所示 ,該攻擊以多個(gè)隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送 SYN 包 ,而在收到目的主機(jī)的 SYNACK 后并不回應(yīng) , 這樣 ,目的主機(jī)就為這些源主機(jī)建立了大量的連接隊(duì)列 , 而且由于沒(méi)有收到 ACK 就一直維護(hù)著這些隊(duì)列 , 造成了資源的大量消耗而不能向正常請(qǐng)求提供服務(wù)。 欺騙型攻擊 這類攻擊通常是以偽造自身的方式來(lái)取得對(duì)方的信任從而達(dá)到迷惑對(duì)方癱瘓其服務(wù)的目的。 DOS 攻擊特點(diǎn) DOS 攻擊針對(duì)的是互聯(lián)網(wǎng)上的網(wǎng)絡(luò)和設(shè)備 ,目的是使其無(wú)法繼續(xù)工作。脆弱的系統(tǒng)或網(wǎng)絡(luò)由于不能處理發(fā)送個(gè)他的大量流量而導(dǎo)致系統(tǒng)崩潰或響應(yīng)速度減慢，從而阻止了合法用戶的訪問(wèn)。面對(duì)此 種情況，可以從以下幾個(gè)方面來(lái)防范 DOS 攻擊。 帶寬限制和 QoS 保證 通過(guò)對(duì)報(bào)文種類、來(lái)源等各種特性設(shè)置閥值參數(shù)，保證主要服務(wù)，穩(wěn)定可靠的資源供給，防止有限資源被過(guò)度消耗。 案例分析一 本次案例分析采用實(shí)驗(yàn)的方式來(lái)驗(yàn)證 DOS 攻擊，采用 SYN 攻擊。所以， DOS 對(duì)一些緊密依靠互聯(lián)網(wǎng)開(kāi)展業(yè)務(wù)的企業(yè)和組織帶來(lái)了致命的威脅。 四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 18 第三章講述 DDOS（分布式拒絕服務(wù)） 什么是 DDOS 攻擊？ 分布式拒絕服務(wù)攻擊的英文意思是 Distributed Denial of Service，簡(jiǎn)稱DDOS。這也是一種特殊形式的拒絕服務(wù)攻擊。攻擊者會(huì)再度傳送一批新的請(qǐng) 求，在這種反復(fù)不斷地、無(wú)休止地發(fā)送偽地址請(qǐng)求的情 況下，服務(wù)器資源在漫長(zhǎng)的回應(yīng)等待中最終被耗盡。攻擊者發(fā)動(dòng)攻擊的時(shí)候，通常攻擊者本身并不直接參與，而是利用這些傀儡。 主控端是攻擊者非法侵入并控制的一些主機(jī)，這些主機(jī)還分別控制著大量的代理主機(jī)。 DDOS 攻擊的目的 分布式拒絕服務(wù) (DDOS:Distributed Denial of Service)攻擊指借助于客戶 /服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDOS 攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。攻擊者本身有更多的可用帶寬或征用多個(gè)站點(diǎn)集中擁塞受害者的網(wǎng)絡(luò)連接。 DDOS 攻擊種類 TCP 全連接攻擊 和 SYN 攻擊不同，它是用合法并完整的連接攻擊對(duì)方， SYN 攻擊采用的是半連接攻擊方式，而全連接攻擊是完整的，合法的請(qǐng)求，防火墻一般都無(wú)法過(guò)濾掉這種攻擊，這種攻擊在現(xiàn)在的 DDOS 軟件中非常常見(jiàn)，有 UDP 碎片還有 SYN 洪水，甚至還有 TCP 洪水攻擊，這些攻擊都是針對(duì)服務(wù)器的常見(jiàn)流量攻擊 :2900 :80 ESTABLISHED :2901 :80 ESTABLISHED :2902 :80 ESTABLISHED :2903 :80 ESTABLISHED 通過(guò)這里可以看出 這個(gè) IP 對(duì) 這臺(tái)服務(wù)器的 80端口發(fā)動(dòng) TCP 全連接攻擊，通過(guò)大量完整的 TCP 鏈接就有可能讓服務(wù)器的 80 端口無(wú)法訪問(wèn)。這種攻擊早在 1996 年就被發(fā)現(xiàn)，但至今仍然顯示出強(qiáng)大的生命力。為了避免被追蹤，攻擊者會(huì)闖進(jìn)網(wǎng)上的一些無(wú)保護(hù)的計(jì)算機(jī)內(nèi)，在這些計(jì)算機(jī)上藏匿 DDOS 程序，將它們作為同謀和跳板，最后聯(lián)合起來(lái)發(fā)動(dòng)匿名攻擊。當(dāng)然，這樣測(cè)試的前提是你到服務(wù)器主機(jī)之間的 ICMP 協(xié)議沒(méi)有被路由器和防火墻等設(shè)備屏蔽，否則可采取 Tel 主機(jī)服務(wù)器的網(wǎng)絡(luò)服務(wù)端口來(lái)測(cè)試，效果是一樣的。單純帶寬耗盡型攻擊較易被識(shí)別，并被丟 棄。路由器上設(shè)置 Access list 和 Filtering directed broadcast 可阻斷某些 Smurf攻擊。 此外， 設(shè)置硬件防火墻也是很重要的。 退讓策略 為了抵抗 DDOS 攻擊，客戶可能會(huì)通過(guò)購(gòu)買(mǎi)硬件的方式來(lái)提高系統(tǒng)抗DDOS 的能力。但是這種做法只能針對(duì)小規(guī)模的 DDOS 進(jìn)行防護(hù)。設(shè)置 Rate Limit 將利用 CAR 可限制傳輸量，攔截攻擊。因此，第三層的目標(biāo)端防范技術(shù)，作為最實(shí)際的防范措施，得到廣泛的應(yīng)用。例如：常見(jiàn)的 Smurf攻擊、 UDP Flood 攻擊、 MStream Flood 攻擊等，都屬于此類型。 DDOS 的表現(xiàn)形式 DDOS 的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對(duì)網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒(méi)而無(wú)法到達(dá)主機(jī)；另一種為資源耗盡攻擊，主要是針對(duì)服務(wù)器主機(jī)的攻擊，即通過(guò)大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或 CPU 被內(nèi)核及應(yīng)用程序占完而造成無(wú)法提供網(wǎng)絡(luò)服務(wù)。在一個(gè) DDOS 攻擊期間，如果有一個(gè)不知情的用戶發(fā)出了正常的頁(yè)面請(qǐng)求，這個(gè)請(qǐng)求會(huì)完全失敗，或者是頁(yè)面下載速度變得極其緩慢，看起來(lái)就是站點(diǎn)無(wú)法使用。 針對(duì)游戲服務(wù)器的攻擊 一般基于包過(guò)濾的防火墻只能分析每個(gè)數(shù)據(jù)包，或者有限的分析數(shù)據(jù)連接建立的狀態(tài)，防護(hù) SYN,或者變種的 SYN,ACK 攻擊效果不錯(cuò)，但是不能從根本上來(lái)分析 TCP,UDP 協(xié)議 ，和針對(duì)應(yīng)用層的協(xié)議，比如 ,游戲協(xié)議，軟件視頻音頻協(xié)議，現(xiàn)在的新的攻擊越來(lái)越多的都是針對(duì)應(yīng)用層協(xié)議漏洞，或者分析協(xié)議然后發(fā)送和正常數(shù)據(jù)包一樣的數(shù)據(jù)，或者干脆模擬正常的數(shù)據(jù)流，單從數(shù)據(jù)包