【正文】 越流行。最常見的是偽造自己的 IP 或目的 IP(通常是一個不可到達(dá)的目標(biāo)或受害者的地址 ) ,或偽造路由項目、或偽造 DNS 解析地址等 ,受攻擊的服務(wù)器因為無法辨別這些請求或無法正常響應(yīng)這些請求就會造成緩沖區(qū)阻塞或死機。UDP 攻擊通?？煞譃?UDP Flood 攻擊、 UDP Fraggle 攻擊和 DNS Query Flood 攻擊?？蛻舳烁嬖V服務(wù)端序列號區(qū)域合法，需要檢查。 DOS 攻擊的服務(wù)資源包括網(wǎng)絡(luò)帶寬 , 文件系統(tǒng)空間容量 ,開放 的進(jìn)程或者允許的連接等。 ：主動的加密通訊，可使攻擊者不能了解、修改敏感信息。目前， DOS 和 DDOS 攻擊已成為一種遍布全球的系統(tǒng)漏洞攻擊方法，無數(shù)網(wǎng)絡(luò)用戶都受到這種攻擊的 侵害，造成了巨大經(jīng)濟損失。本人授權(quán) 大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。對本文的研究做出重要貢獻(xiàn)的個人和集體，均已在文中以明確方式標(biāo)明。隨著計算機技術(shù)的迅速發(fā)展和互聯(lián)網(wǎng)應(yīng)用的日益普及 ,網(wǎng)絡(luò)已經(jīng)成為我們獲取信息、進(jìn)行交流的主要渠道之一 ,因而網(wǎng)絡(luò)安全也顯得越來越重要。 安全體系 ：通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。網(wǎng)絡(luò)連通性攻擊是用大量的連接請求來耗盡計算機可用的操作系統(tǒng)資源，導(dǎo)致計算機不能夠再處理正常的用戶請求。面向連接的 TCP 三次握手是 Syn Flood 存在的基礎(chǔ)。 圖 4 工作 原理 UDP 攻擊 UDP 攻擊是指通過發(fā)送 UDP 數(shù)據(jù) 包來發(fā)動攻擊的方式。如 ICMPFlood, ConnectionFlood 等。 ：這是最古老、最常見的 DOS 攻擊。采用循環(huán)DNS 服務(wù)或者硬件路由器技術(shù)，將進(jìn)入系統(tǒng)的請求分流到多臺服務(wù)器上。 四川 職業(yè)技術(shù)學(xué)院 計科系論文 15 圖 9 當(dāng)多臺主機對一臺服務(wù)器同時進(jìn)行 syn 攻擊，服務(wù)器的運行速度將變得非常緩慢。英文名 DDOS，是 Distributed Denial of Service 的縮寫 ,俗稱洪水攻擊。攻擊者首先尋找在互聯(lián)網(wǎng)上有系統(tǒng)漏洞 (Bug)的計算機，竊取其 IP 地址、用戶名 和登錄密碼等數(shù)據(jù)，進(jìn)入系統(tǒng)后安裝后門程序，即木馬 病毒。第二步是在入侵主機四川 職業(yè)技術(shù)學(xué)院 計科系論文 21 上安裝攻擊程序，讓一部分主機充當(dāng)攻擊的主 控端，另一部分主機充當(dāng)攻擊的代理端，最后在攻擊者的調(diào)遣下對攻擊對象發(fā)起攻擊。 拒絕服務(wù)攻擊的進(jìn)一步發(fā)展 —— 分布式 DOS 攻擊，是一種基于 DOS 的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點，像商業(yè)公司、搜索引擎和政府部門的站點。在一個 DDOS 攻擊期間，如果有一個不知情的用戶發(fā)出了正常的頁面請求，這個請求會完全失敗，或者是頁面下載速度變得極其緩慢，看起來就是站點無法使用。例如：常見的 Smurf攻擊、 UDP Flood 攻擊、 MStream Flood 攻擊等，都屬于此類型。設(shè)置 Rate Limit 將利用 CAR 可限制傳輸量，攔截攻擊。 退讓策略 為了抵抗 DDOS 攻擊，客戶可能會通過購買硬件的方式來提高系統(tǒng)抗DDOS 的能力。路由器上設(shè)置 Access list 和 Filtering directed broadcast 可阻斷某些 Smurf攻擊。當(dāng)然，這樣測試的前提是你到服務(wù)器主機之間的 ICMP 協(xié)議沒有被路由器和防火墻等設(shè)備屏蔽，否則可采取 Tel 主機服務(wù)器的網(wǎng)絡(luò)服務(wù)端口來測試，效果是一樣的。這種攻擊早在 1996 年就被發(fā)現(xiàn)，但至今仍然顯示出強大的生命力。攻擊者本身有更多的可用帶寬或征用多個站點集中擁塞受害者的網(wǎng)絡(luò)連接。 主控端是攻擊者非法侵入并控制的一些主機，這些主機還分別控制著大量的代理主機。攻擊者會再度傳送一批新的請 求，在這種反復(fù)不斷地、無休止地發(fā)送偽地址請求的情 況下，服務(wù)器資源在漫長的回應(yīng)等待中最終被耗盡。 四川 職業(yè)技術(shù)學(xué)院 計科系論文 18 第三章講述 DDOS（分布式拒絕服務(wù)） 什么是 DDOS 攻擊？ 分布式拒絕服務(wù)攻擊的英文意思是 Distributed Denial of Service，簡稱DDOS。 案例分析一 本次案例分析采用實驗的方式來驗證 DOS 攻擊，采用 SYN 攻擊。面對此 種情況，可以從以下幾個方面來防范 DOS 攻擊。 DOS 攻擊特點 DOS 攻擊針對的是互聯(lián)網(wǎng)上的網(wǎng)絡(luò)和設(shè)備 ,目的是使其無法繼續(xù)工作。這種攻擊較為經(jīng)典的例子是半連接 SYNFlood 攻擊 ,如圖 2 所示 ,該攻擊以多個隨機的源主機地址向目的主機發(fā)送 SYN 包 ,而在收到目的主機的 SYNACK 后并不回應(yīng) , 這樣 ,目的主機就為這些源主機建立了大量的連接隊列 , 而且由于沒有收到 ACK 就一直維護著這些隊列 , 造成了資源的大量消耗而不能向正常請求提供服務(wù)。 ..2 Land 攻擊 Land 攻擊是利用向目標(biāo)主機發(fā)送大量的源地址與目標(biāo)地址相同的數(shù)據(jù)包，四川 職業(yè)技術(shù)學(xué)院 計科系論文 8 造成目標(biāo)主機解析 Land 包時占用大量系統(tǒng)資源，從而使網(wǎng)絡(luò)功能完全癱瘓的攻擊手段。 圖 1 DOS 攻擊的基本原理 攻擊方式 SYN Flood 攻擊 SYN Flood 攻擊是一種最常見的 DOS 攻擊手段，它利用 TCP/IP 連接的 “三次握手”過程，通過虛假 IP, 源地址發(fā)送大量 SYN 數(shù)據(jù)包，請求連接到被攻擊方的一個或多個端口。 四川 職業(yè)技術(shù)學(xué)院 計科系論文 5 第二章 講述 DOS（拒絕服務(wù)） 什么是 DOS 攻擊？ DOS 攻 擊 (Denial of Service，簡稱 DOS)即拒絕服務(wù)攻擊，是指攻擊者通過消耗受害網(wǎng)絡(luò)的帶寬，消耗受害主機的系統(tǒng)資源，發(fā)掘編程缺陷，提供虛假路由或 DNS 信息，使被攻擊目標(biāo)不能正常工作。 安全特征 ：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。人們對互聯(lián)網(wǎng)的利用和依賴日益增加 ,人們通過網(wǎng)絡(luò)互相通信 ,共享資源。四川 職業(yè)技術(shù)學(xué)院 計科系論文 畢業(yè)設(shè)計（論文） 題目： DOS 與 DDOS 攻擊與防范 四川 職業(yè)技術(shù)學(xué)院 計科系論文 1 畢業(yè)設(shè)計（論文）原創(chuàng)性聲明和使用授權(quán)說明 原創(chuàng)性聲明 本人鄭重承諾：所呈交的畢業(yè)設(shè)計（論文），是我個人在指導(dǎo)教師的指導(dǎo)下進(jìn)行的研究工作及取得的成果?；ヂ?lián)網(wǎng)的不斷發(fā)展 ,對人們的學(xué)習(xí)和生活產(chǎn)生了巨大的影響和推動。而從企業(yè)的角度來說，最重要的就是內(nèi)部信息上的安全加密以及保護。 1. 4 小結(jié) ： 本章主要介紹了網(wǎng)絡(luò) 安全 的意義和目的，并對一下 攻擊 和 防范 做了進(jìn)一步的分析。當(dāng)受害者等待一定時間 后 , 連接會因超四川 職業(yè)技術(shù)學(xué)院 計科系論文 6 時被切斷 ,此時攻擊者會再度傳送一批偽地址的新請求 ,這樣反復(fù)進(jìn)行直至受害者資源被耗盡 ,最終導(dǎo)致受害者系統(tǒng)癱瘓。實際上如果服務(wù)器的 TCP/IP 棧不夠強大，最后的結(jié)果往往是堆棧溢出崩潰 即使服務(wù)器端的系統(tǒng)足夠強大，服務(wù)器端也將忙于處理攻擊者偽造的 TCP 連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之?。?，此時從正常客戶的角度看來，服務(wù)器失去響應(yīng)，這種情況我們稱做：服務(wù)器端受到了 SYN Flood 攻擊（ SYN 洪水攻擊）。 攻擊者可以利用這些漏洞進(jìn)行攻擊致使接受數(shù)據(jù)端的系統(tǒng)當(dāng)機、掛起或崩潰。使得 DOS 攻擊成為一種當(dāng)前難以防范的攻擊方式。主要原因： 、分組頭、通信信道等都有可能在攻擊過程中改變，導(dǎo)致 DOS 攻擊四川 職業(yè)技術(shù)學(xué)院 計科系論文 12 流不存在能用于檢測和過濾的共同特性； DOS 攻擊難以防御和跟蹤，同時，資源、目標(biāo)和中間域之間缺乏合作也不能對攻擊做出快速、有效和分布式的響應(yīng)； ，不斷調(diào)節(jié)攻擊工具逃避安全系統(tǒng)檢查。如果某種可疑行動經(jīng)常出現(xiàn)，過濾器能接受指示，阻擋包含那種信息，讓網(wǎng)站服務(wù)器的對外連接線路保持暢通。用實驗 方式來驗證 DOS 攻擊 。當(dāng)服務(wù)器等待一定的時間后， 連接會因超時而被中斷。攻擊者操縱整個攻擊過程，并向主控端發(fā)送攻擊命令。 常見的 DDOS 攻擊類型有四種： 1. 帶寬消耗 攻擊者消耗掉某個網(wǎng)絡(luò)的所有可用帶寬。 四川 職業(yè)技術(shù)學(xué)院 計科系論文 24 SYN Flood 攻擊 SYNFlood 攻擊是當(dāng)前網(wǎng)絡(luò)上最為常見的 DDOS 攻擊，也是最為經(jīng)典的拒絕服務(wù)攻擊，它利用了 TCP 協(xié)議實現(xiàn)上的一個缺陷，通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報文，就可能造成目標(biāo)服務(wù)器中的半開連接隊列 被占滿，從而阻止其他合法用戶進(jìn)行訪問。 判斷如何 被 DDOS 攻擊 的檢查 如何判斷網(wǎng)站是否遭受了流量攻擊呢？可通過 Ping 命令來測試，若發(fā)現(xiàn)Ping 超時或丟包嚴(yán)重 (假定平時是正常的 )，則可能遭受了流量攻擊，此時若發(fā)現(xiàn)和你的主機接在同一交換機上的服務(wù)器也訪問不了了，基本可以確定是遭受了流量攻擊。 過濾廣播欺騙 (Broadcast Spoofing) Smurf 攻擊通常使用 IP 欺騙使網(wǎng)絡(luò)產(chǎn)生大量的響應(yīng) ICMP 回復(fù)請求。 ――遭受 DDOS 攻擊的系統(tǒng)的管理人員一般第一反應(yīng)是詢問上一級網(wǎng)絡(luò)運營商，這有可能是 ISP、 IDC 等，目的就是為了弄清楚攻擊源頭。但需注意一點， Rate Limit 不能截斷 DOS 的所有攻擊。針對此類攻擊一般采取的措施是 QoS，即在路由器或 防火墻上針對此類數(shù)據(jù)流進(jìn)行限制流量，從而保障正常 帶寬的使用。典型的 DDOS 攻擊利用許多計算機同時對目標(biāo)站點發(fā)出成千上萬 個請求。 DDOS 攻擊是利用一批受控制的機器向某一臺機器發(fā)起攻擊，攻擊者實用的計算機數(shù)量和能占用的帶寬是沒有限制的，因此具有極大的破壞性。 由于攻擊者的位置靈活，又使用了常見的協(xié)議，因此在攻擊時不會受到監(jiān)控系統(tǒng)的跟蹤，身份也不易被發(fā)現(xiàn)。 這些被安裝了特定程序、受到攻擊者控制的各類計算機，充當(dāng)了傀儡角色。分布式拒絕服務(wù)的起源： 1999 年 7 月份左右，微軟公司的視窗操作系統(tǒng)的一個 bug 被人發(fā)現(xiàn)和利用，并且進(jìn)行了多次攻擊，這種新的攻擊方式被稱為“分 布式拒絕服務(wù)攻擊”即為“ DDOS（ Distributed Denial Of Service Attacks）”。 在 SYN Flood 攻擊中，黑客機器向受害主機發(fā)送大量偽造源地址的 TCP SYN報文，受害主機分配必要的資源，然后向源 地址返回 SYN＋ ACK 包，并等待源端返回 ACK 包，拒絕服務(wù)攻擊（ Denial of Service， DOS）是目前比較有效而又非常難于防御的一種網(wǎng)絡(luò)攻擊方式，它的目的就是使服務(wù)器不能夠為正常訪問的用戶提供服務(wù)。這種方法要求投資比較大，相應(yīng)的維護費用也高。在這種攻擊中，黑客使用數(shù)據(jù)流量填滿網(wǎng)絡(luò)。為了獲得比目標(biāo)系統(tǒng)更多 資源 , 通常攻擊者會發(fā)動 DDOS 攻擊 ,從而控制多個攻擊傀儡發(fā)動攻擊 ,這樣能產(chǎn)生更大破壞。在 UDP Flood 攻擊中，四川 職業(yè)技術(shù)學(xué)院 計科系論文 9 攻擊者發(fā)送大量虛假源 IP 的 UDP 數(shù)據(jù)包或畸形 UDP 數(shù)據(jù)包，從而使被攻擊者不能提供正常的服務(wù)，甚至造成系統(tǒng)資源耗盡、系統(tǒng)死機。 圖 2 SYN Flood 攻擊 如圖 2，在第一步中，客戶端向服務(wù)端提出連接請求。 DOS 攻擊廣義上指任何導(dǎo)致被攻擊的服務(wù)器不能正常提供服務(wù)的攻擊方式。 ：通過對安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效。近年來 ,拒絕服務(wù)攻擊已經(jīng)成為最為嚴(yán)重的網(wǎng)絡(luò)威脅之一 ,它不僅對網(wǎng)絡(luò)社會具有極大的危害性 ,也是政治和軍事對抗的重要手段。本人完全意識到本聲明的法律后果由本人承擔(dān)。 作者簽名： 日期： 年 月 日 學(xué)位論文版權(quán)使用授權(quán)書 本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留并向國家有關(guān)部門或機構(gòu)送交論文的復(fù) 印件和電子版，允許論文被查閱和借閱。最常見的DOS 攻擊有計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊，特別是 DDOS 攻擊對因特網(wǎng)構(gòu)成了巨大的威脅。 ：通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取相應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。具體而言 ,DOS 攻擊是指攻擊網(wǎng)絡(luò)協(xié)議實現(xiàn)的缺陷或通過各種手段耗盡被攻擊對象的資源 , 以使得被攻擊計算機或網(wǎng)絡(luò)無法提供正常的服務(wù) ,直至系統(tǒng)停止響應(yīng)甚至崩潰的攻擊方式。這時 TCP SYN 標(biāo)志置位。由于 UDP 協(xié)議是一種無連接的服務(wù)，只要被攻擊者開放有一個 UDP 服務(wù)端口，即可針對該服務(wù)發(fā)動攻擊。 欺騙型攻擊 這類攻擊通常是以偽造自身的方式來取得對方的信任從而達(dá)到迷惑對方癱瘓其服務(wù)的目的。脆弱的系統(tǒng)或網(wǎng)絡(luò)由于不能處理發(fā)送個他的大量流量而導(dǎo)致系統(tǒng)崩潰或響應(yīng)速度減慢，從而阻止了合法用戶的訪問。 帶寬限制和 QoS 保證