【正文】 我的畢業(yè)論文才能夠得以順利完成，同時(shí)，在這個(gè)過程中，我也學(xué)習(xí)到了許多關(guān)于DOS與DDOS攻擊與防范方面的知識。但是 任何攻擊方法都有它本身的弱點(diǎn)，只要掌握這些弱點(diǎn) 采取相應(yīng)的措施 就可以對其加以監(jiān)控和預(yù)防，從而降低它對網(wǎng)絡(luò)安全造成的影響,使網(wǎng)絡(luò)環(huán)境更為安全 ，通過對 DOS/DDOS 概念 、原理的分析,重點(diǎn)介紹 DOS/DDOS 攻擊的技術(shù)手法演化,并分析了未來的攻擊手段的可能變化，最后結(jié)合傳統(tǒng)的防范技術(shù)和現(xiàn)在正在研究的防范技術(shù)提防范策略,對于預(yù)防 DOS/DDOS 攻擊有一定的借鑒價(jià)值。HIP 協(xié)議的一個(gè)主要目的就是抵御 DOS攻擊。IPSEC 所提供的 IP 地址的認(rèn)證功能有望在抵御 DOS 攻擊中發(fā)揮作用 。②攻擊將更多采用分布式技術(shù), 由單一攻擊源發(fā)起進(jìn)攻轉(zhuǎn)變?yōu)橛啥鄠€(gè)攻擊源對單一目標(biāo)進(jìn)攻。3．Stacheldraht：對命令來源做假，而且可以防范一些路由器用RFC2267過濾。它們的攻擊思路基本相近。當(dāng)用戶進(jìn)行一次標(biāo)準(zhǔn)的TCP連接時(shí)，會有一個(gè)3次握手過程。圖72. 通過netstat –ano查看端口連接。但需要注意的是，主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的，若把它接在100M的交換機(jī)上，它的實(shí)際帶寬不會超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因?yàn)榫W(wǎng)絡(luò)服務(wù)商很可能會在交換機(jī)上限制實(shí)際帶寬為10M，這點(diǎn)一定要搞清楚。，要倍加留意。除加強(qiáng)安全防范意識，提高網(wǎng)絡(luò)系統(tǒng)的安全性外，還可以采取下面幾種安全措施:。雖然某些IDS系統(tǒng)本身也具備某些協(xié)議異常檢測的能力，但這都需要安全專家手工配置才能真正生效，其實(shí)施成本和易用性極低。通常，防火墻作為三層包轉(zhuǎn)發(fā)設(shè)備部署在網(wǎng)絡(luò)中，一方面在保護(hù)內(nèi)部網(wǎng)絡(luò)的同時(shí)，它也為內(nèi)部需要提供外部Internet服務(wù)的設(shè)備提供了通路，如果DDOS攻擊采用了這些服務(wù)器允許的合法協(xié)議對內(nèi)部系統(tǒng)進(jìn)行攻擊，防火墻對此就無能為力，無法精確的從背景流量中區(qū)分出攻擊流量。 　　――遭受DDOS攻擊的系統(tǒng)的管理人員一般第一反應(yīng)是詢問上一級網(wǎng)絡(luò)運(yùn)營商，這有可能是ISP、IDC等，目的就是為了弄清楚攻擊源頭。但需注意一點(diǎn)，Rate Limit不能截?cái)郉OS的所有攻擊。 過濾廣播欺騙(Broadcast Spoofing) Smurf攻擊通常使用IP欺騙使網(wǎng)絡(luò)產(chǎn)生大量的響應(yīng) ICMP回復(fù)請求。針對此類攻擊一般采取的措施是QoS，即在路由器或 防火墻上針對此類數(shù)據(jù)流進(jìn)行限制流量，從而保障正常 帶寬的使用。 判斷如何被DDOS攻擊的檢查如何判斷網(wǎng)站是否遭受了流量攻擊呢？可通過Ping命令來測試，若發(fā)現(xiàn)Ping超時(shí)或丟包嚴(yán)重(假定平時(shí)是正常的)，則可能遭受了流量攻擊，此時(shí)若發(fā)現(xiàn)和你的主機(jī)接在同一交換機(jī)上的服務(wù)器也訪問不了了，基本可以確定是遭受了流量攻擊。典型的DDOS攻擊利用許多計(jì)算機(jī)同時(shí)對目標(biāo)站點(diǎn)發(fā)出成千上萬個(gè)請求。 SYN Flood攻擊SYNFlood攻擊是當(dāng)前網(wǎng)絡(luò)上最為常見的DDOS攻擊，也是最為經(jīng)典的拒絕服務(wù)攻擊，它利用了TCP協(xié)議實(shí)現(xiàn)上的一個(gè)缺陷，通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報(bào)文，就可能造成目標(biāo)服務(wù)器中的半開連接隊(duì)列被占滿，從而阻止其他合法用戶進(jìn)行訪問。DDOS攻擊是利用一批受控制的機(jī)器向某一臺機(jī)器發(fā)起攻擊，攻擊者實(shí)用的計(jì)算機(jī)數(shù)量和能占用的帶寬是沒有限制的，因此具有極大的破壞性。 常見的DDOS攻擊類型有四種：1. 帶寬消耗 攻擊者消耗掉某個(gè)網(wǎng)絡(luò)的所有可用帶寬。 由于攻擊者的位置靈活，又使用了常見的協(xié)議，因此在攻擊時(shí)不會受到監(jiān)控系統(tǒng)的跟蹤，身份也不易被發(fā)現(xiàn)。攻擊者操縱整個(gè)攻擊過程，并向主控端發(fā)送攻擊命令。這些被安裝了特定程序、受到攻擊者控制的各類計(jì)算機(jī)，充當(dāng)了傀儡角色。當(dāng)服務(wù)器等待一定的時(shí)間后， 連接會因超時(shí)而被中斷。分布式拒絕服務(wù)的起源：1999年7月份左右，微軟公司的視窗操作系統(tǒng)的一個(gè)bug被人發(fā)現(xiàn)和利用，并且進(jìn)行了多次攻擊，這種新的攻擊方式被稱為“分布式拒絕服務(wù)攻擊”即為“DDOS（Distributed Denial Of Service Attacks）”。用實(shí)驗(yàn)方式來驗(yàn)證DOS攻擊。在SYN Flood攻擊中，黑客機(jī)器向受害主機(jī)發(fā)送大量偽造源地址的TCP SYN報(bào)文，受害主機(jī)分配必要的資源，然后向源地址返回SYN＋ACK包，并等待源端返回ACK包，拒絕服務(wù)攻擊（Denial of Service，DOS）是目前比較有效而又非常難于防御的一種網(wǎng)絡(luò)攻擊方式，它的目的就是使服務(wù)器不能夠?yàn)檎ＴL問的用戶提供服務(wù)。如果某種可疑行動(dòng)經(jīng)常出現(xiàn)，過濾器能接受指示，阻擋包含那種信息，讓網(wǎng)站服務(wù)器的對外連接線路保持暢通。這種方法要求投資比較大，相應(yīng)的維護(hù)費(fèi)用也高。主要原因：、分組頭、通信信道等都有可能在攻擊過程中改變，導(dǎo)致DOS攻擊流不存在能用于檢測和過濾的共同特性；，同時(shí)，資源、目標(biāo)和中間域之間缺乏合作也不能對攻擊做出快速、有效和分布式的響應(yīng)；，不斷調(diào)節(jié)攻擊工具逃避安全系統(tǒng)檢查。在這種攻擊中，黑客使用數(shù)據(jù)流量填滿網(wǎng)絡(luò)。使得DOS攻擊成為一種當(dāng)前難以防范的攻擊方式。為了獲得比目標(biāo)系統(tǒng)更多資源, 通常攻擊者會發(fā)動(dòng)DDOS攻擊,從而控制多個(gè)攻擊傀儡發(fā)動(dòng)攻擊,這樣能產(chǎn)生更大破壞。攻擊者可以利用這些漏洞進(jìn)行攻擊致使接受數(shù)據(jù)端的系統(tǒng)當(dāng)機(jī)、掛起或崩潰。在UDP Flood攻擊中，攻擊者發(fā)送大量虛假源IP的UDP數(shù)據(jù)包或畸形UDP數(shù)據(jù)包，從而使被攻擊者不能提供正常的服務(wù)，甚至造成系統(tǒng)資源耗盡、系統(tǒng)死機(jī)。實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之小），此時(shí)從正?？蛻舻慕嵌瓤磥?，服務(wù)器失去響應(yīng)，這種情況我們稱做：服務(wù)器端受到了SYN Flood攻擊（SYN洪水攻擊）。圖2 SYN Flood攻擊 如圖2，在第一步中，客戶端向服務(wù)端提出連接請求。當(dāng)受害者等待一定時(shí)間后, 連接會因超時(shí)被切斷,此時(shí)攻擊者會再度傳送一批偽地址的新請求,這樣反復(fù)進(jìn)行直至受害者資源被耗盡,最終導(dǎo)致受害者系統(tǒng)癱瘓。DOS攻擊廣義上指任何導(dǎo)致被攻擊的服務(wù)器不能正常提供服務(wù)的攻擊方式。1. 4 小結(jié)：本章主要介紹了網(wǎng)絡(luò)安全的意義和目的，并對一下攻擊和防范做了進(jìn)一步的分析。：通過對安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效。而從企業(yè)的角度來說，最重要的就是內(nèi)部信息上的安全加密以及保護(hù)。近年來,拒絕服務(wù)攻擊已經(jīng)成為最為嚴(yán)重的網(wǎng)絡(luò)威脅之一,它不僅對網(wǎng)絡(luò)社會具有極大的危害性,也是政治和軍事對抗的重要手段。人們對互聯(lián)網(wǎng)的利用和依賴日益增加,人們通過網(wǎng)絡(luò)互相通信,共享資源。作者簽名： 日期： 年 月 日學(xué)位論文版權(quán)使用授權(quán)書本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留并向國家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。四川職業(yè)技術(shù)學(xué)院計(jì)科系論文 畢業(yè)設(shè)計(jì)（論文）題目：DOS與DDOS攻擊與防范畢業(yè)設(shè)計(jì)（論文）原創(chuàng)性聲明和使用授權(quán)說明原創(chuàng)性聲明本人鄭重承諾：所呈交的畢業(yè)設(shè)計(jì)（論文），是我個(gè)人在指導(dǎo)教師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。本人完全意識到本聲明的法律后果由本人承擔(dān)?；ヂ?lián)網(wǎng)的不斷發(fā)展,對人們的學(xué)習(xí)和生活產(chǎn)生了巨大的影響和推動(dòng)。隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展和互聯(lián)網(wǎng)應(yīng)用的日益普及,網(wǎng)絡(luò)已經(jīng)成為我們獲取信息、進(jìn)行交流的主要渠道之一,因而網(wǎng)絡(luò)安全也顯得越來越重要。比如：從用戶（個(gè)人、企業(yè)等）的角度來說，他們希望涉及個(gè)人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時(shí)受到機(jī)密性、完整性和真實(shí)性的保護(hù)。 安全體系：通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。，為信息系統(tǒng)提供安全體系管理、監(jiān)控，渠護(hù)及緊急情況服務(wù)。網(wǎng)絡(luò)連通性攻擊是用大量的連接請求來耗盡計(jì)算機(jī)可用的操作系統(tǒng)資源，導(dǎo)致計(jì)算機(jī)不能夠再處理正常的用戶請求。由于是偽造地址,所以受害者一直等不到回傳信息,分配給這次請求的資源就始終不被釋放。面向連接的TCP三次握手是Syn Flood存在的基礎(chǔ)。 圖3 三次握手如圖3，假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無法收到客戶端的ACK報(bào)文的（第三次握手無法完成），這種情況下服務(wù)器端一般會重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長度我們稱為SYN Timeout，一般來說這個(gè)時(shí)間是分鐘的數(shù)量級（大約為30秒2分鐘）；一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么很大的問題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源數(shù)以萬計(jì)的半連接，即使是簡單的保存并遍歷也會消耗非常多的CPU時(shí)間和內(nèi)存，何況還要不斷對這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。圖4工作原理 UDP攻擊 UDP攻擊是指通過發(fā)送UDP數(shù)據(jù)包來發(fā)動(dòng)攻擊的方式。 DOS攻擊分類 利用協(xié)議中的漏洞 一些傳輸協(xié)議在其制定過程中可能存在著一些漏洞。如ICMPFlood, ConnectionFlood等。盡管可以通過增加帶寬來減少DOS攻擊的威脅,但攻擊者總是可以利用更大強(qiáng)度的攻擊以耗盡增加的資源。：這是最古老、最常見的DOS攻擊。 DOS攻擊的防范技術(shù)根據(jù)上述DOS攻擊原理和不斷更新的攻擊技術(shù)，很少有網(wǎng)絡(luò)可以免受DOS攻擊，DOS防御存在許多挑戰(zhàn)。采用循環(huán)DNS服務(wù)或者硬件路由器技術(shù)，將進(jìn)入系統(tǒng)的請求分流到多臺服務(wù)器上。過濾器會偵察可疑的攻擊行動(dòng)。圖9當(dāng)多臺主機(jī)對一臺服務(wù)器同時(shí)進(jìn)行syn攻擊，服務(wù)器的運(yùn)行速度將變得非常緩慢。 小結(jié)：本章主要講述了DOS（拒絕服務(wù)）的原理及攻擊方式和防范技術(shù)。英文名DDOS，是Distributed Denial of Service的縮寫,俗稱洪水攻擊。由于地址是虛假的，所以服 務(wù)器一直等不到回傳的消息分配給這次請求的服務(wù)器 資源就始終無法被釋放。攻擊者首先尋找在互聯(lián)網(wǎng)上有系統(tǒng)漏洞(Bug)的計(jì)算機(jī)，竊取其IP地址、用戶名 和登錄密碼等數(shù)據(jù)，進(jìn)入系統(tǒng)后安裝后門程序，即木馬 病毒。 攻擊者所用的計(jì)算機(jī)是攻擊主控臺。第二步是在入侵主機(jī)上安裝攻擊程序，讓一部分主機(jī)充當(dāng)攻擊的主控端，另一部分主機(jī)充當(dāng)攻擊的代理端，最后在攻擊者的調(diào)遣下對攻擊對象發(fā)起攻擊。，反復(fù)高速地發(fā)送畸形數(shù)據(jù)引發(fā)服務(wù)程序錯(cuò)誤，大量占用系統(tǒng)資源，使被攻擊主機(jī)處于假死狀態(tài)，甚至導(dǎo)致系統(tǒng)崩潰。拒絕服務(wù)攻擊的進(jìn)一步發(fā)展——分布式DOS攻擊，是一種基于DOS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，像商業(yè)公司、搜索引擎和政府部門的站點(diǎn)。 針對游戲服務(wù)器的攻擊　　一般基于包過濾的防火墻只能分析每個(gè)數(shù)據(jù)包，或者有限的分析數(shù)據(jù)連接建立的狀態(tài)，防護(hù)SYN,或者變種的SYN,ACK攻擊效果不錯(cuò)，但是不能從根本上來分析TCP,UDP協(xié)議，和針對應(yīng)用層的協(xié)議，比如,游戲協(xié)議，軟件視頻音頻協(xié)議，現(xiàn)在的新的攻擊越來越多的都是針對應(yīng)用層協(xié)議漏洞，或者分析協(xié)議然后發(fā)送和正常數(shù)據(jù)包一樣的數(shù)據(jù)，或者干脆模擬正常的數(shù)據(jù)流，單從數(shù)據(jù)包層面，分析每個(gè)數(shù)據(jù)包里面有什么數(shù)據(jù)，根本沒辦法很好的防護(hù)新型的攻擊。在一個(gè)DDOS攻擊期間，如果有一個(gè)不知情的用戶發(fā)出了正常的頁面請求，這個(gè)請求會完全失敗，或者是頁面下載速度變得極其緩慢，看起來就是站點(diǎn)無法使用。 DDOS的表現(xiàn)形式 DDOS的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達(dá)主機(jī)；另一種為資源耗盡攻擊，主要是針對服務(wù)器主機(jī)的攻擊，即通過大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。例如：常見的Smurf攻擊、 UDP Flood攻擊、MStream Flood攻擊等，都屬于此類型。因此，第三層的目標(biāo)端防范技術(shù)，作為最實(shí)際的防范措施，得到廣泛的應(yīng)用。設(shè)置Rate Limit將利用CAR可限制傳輸量，攔截攻擊。但是這種做法只能針對小規(guī)模的DDOS進(jìn)行防護(hù)。 　1.　首先是防火墻缺乏DDOS攻擊檢測的能力。 　　原因其一在于入侵檢測系統(tǒng)雖然能夠檢測應(yīng)用層的攻擊，但是基本機(jī)制都是基于規(guī)則，需要對協(xié)議會話進(jìn)行還原，但是目前DDOS攻擊大部分都是采用基于合法數(shù)據(jù)包的攻擊流量，所以IDS系統(tǒng)很難對這些攻擊有效檢測。首先，這種攻擊的特點(diǎn)是它利用了TCP/IP協(xié)議的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDOS攻擊。對一些重要的信息建立和完善備份機(jī)制，對一些特權(quán)帳號的密碼設(shè)置要謹(jǐn)慎。 　　 充足的網(wǎng)絡(luò)帶寬保證網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現(xiàn)在的