【正文】 其無(wú)法繼續(xù)工作。盡管可以通過(guò)增加帶寬來(lái)減少 DOS 攻擊的威脅 ,但攻擊者總是可以利用更大強(qiáng)度的攻擊以耗盡增加的資源。 最終目的是使被攻擊主機(jī)系統(tǒng)癱瘓、停止服務(wù)。如 IPSpoofing DOS 攻擊。 欺騙型攻擊 這類攻擊通常是以偽造自身的方式來(lái)取得對(duì)方的信任從而達(dá)到迷惑對(duì)方癱瘓其服務(wù)的目的。如 ICMPFlood, ConnectionFlood 等。這些異常條件通常在用戶向脆弱的元素發(fā)送非期望的數(shù)據(jù)時(shí)發(fā)生。由于攻擊所針對(duì)的是協(xié)議中的缺陷 ,短時(shí)無(wú)法改變 , 因此較難防范。這種攻擊較為經(jīng)典的例子是半連接 SYNFlood 攻擊 ,如圖 2 所示 ,該攻擊以多個(gè)隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送 SYN 包 ,而在收到目的主機(jī)的 SYNACK 后并不回應(yīng) , 這樣 ,目的主機(jī)就為這些源主機(jī)建立了大量的連接隊(duì)列 , 而且由于沒(méi)有收到 ACK 就一直維護(hù)著這些隊(duì)列 , 造成了資源的大量消耗而不能向正常請(qǐng)求提供服務(wù)。 DOS 攻擊分類 利用協(xié)議中的漏洞 一些傳輸協(xié)議在其制定過(guò)程中可能存在著一些漏洞。攻擊者向 DNS的 UDP 53 端口發(fā)送大量域名查詢請(qǐng)求，占用大量系統(tǒng)資源，使服務(wù)器無(wú)法提供正常的查詢請(qǐng)求。 Fraggle 攻擊的原理與 Smurf 攻擊相似，也是一種“放大”式的攻擊，不同的是回應(yīng)代替了 ICMP 回應(yīng)。由于 UDP 協(xié)議是一種無(wú)連接的服務(wù)，只要被攻擊者開放有一個(gè) UDP 服務(wù)端口，即可針對(duì)該服務(wù)發(fā)動(dòng)攻擊。 圖 4 工作 原理 UDP 攻擊 UDP 攻擊是指通過(guò)發(fā)送 UDP 數(shù)據(jù) 包來(lái)發(fā)動(dòng)攻擊的方式。例如，攻擊者冒充被攻擊者的 IP 使用 PING來(lái)對(duì)一個(gè) C 類網(wǎng)絡(luò)的廣播地址發(fā)送 ICMP 包，該網(wǎng)絡(luò)上的 254 臺(tái)主機(jī)就會(huì)對(duì)被攻擊者的 IP 發(fā)送 ICMP 回應(yīng)包，這樣攻擊者的攻擊行為就被放大了 254 倍。每個(gè)這樣的空連接到將暫存在服務(wù)器中，當(dāng)隊(duì)列足夠長(zhǎng)時(shí)，正常的連接請(qǐng)求將被丟棄，造成服務(wù)器拒絕服務(wù)的現(xiàn)象。 ..2 Land 攻擊 Land 攻擊是利用向目標(biāo)主機(jī)發(fā)送大量的源地址與目標(biāo)地址相同的數(shù)據(jù)包，四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 8 造成目標(biāo)主機(jī)解析 Land 包時(shí)占用大量系統(tǒng)資源，從而使網(wǎng)絡(luò)功能完全癱瘓的攻擊手段。 圖 3 三次 握手 如圖 3， 假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了 SYN 報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出 SYN+ACK 應(yīng)答報(bào)文后是無(wú)法收到客戶端的 ACK 報(bào)文的（第三次握手無(wú)法完成），這種情況下服務(wù)器端一般會(huì) 重試（再次發(fā)送 SYN+ACK 給客戶端）并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長(zhǎng)度我們稱為 SYN Timeout，一般來(lái)說(shuō)這個(gè)時(shí)間是分鐘的數(shù)量級(jí)（大約為 30 秒 2 分鐘）；一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待 1 分鐘并不是什么很大的問(wèn)題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源 數(shù)以萬(wàn)計(jì)的半連接，即使是簡(jiǎn)單的保存并遍歷也會(huì)消耗非常多的 CPU 時(shí)間和內(nèi)存，何況還要不斷對(duì)這個(gè)列表中的 IP 進(jìn)行 SYN+ACK 的重試。在第三步中，客戶端確認(rèn)收到服務(wù)端的 ISN(ACK 標(biāo)志置位 )。客戶端在 TCP 報(bào)頭的序列號(hào)區(qū)中插入 自己的 ISN。這時(shí) TCP SYN 標(biāo)志置位。面向連接的 TCP 三次握手是 Syn Flood 存在的基礎(chǔ)。后續(xù)正常的 TCP 連接請(qǐng)求也會(huì)因等待隊(duì)列填滿而被丟棄，造成服務(wù)器拒絕服務(wù)的現(xiàn)象。這樣，連接請(qǐng)求 將一直保存在系統(tǒng)緩存中直到超時(shí)。 圖 1 DOS 攻擊的基本原理 攻擊方式 SYN Flood 攻擊 SYN Flood 攻擊是一種最常見的 DOS 攻擊手段，它利用 TCP/IP 連接的 “三次握手”過(guò)程，通過(guò)虛假 IP, 源地址發(fā)送大量 SYN 數(shù)據(jù)包，請(qǐng)求連接到被攻擊方的一個(gè)或多個(gè)端口。由于是偽造地址 ,所以受害者一直等不到回傳信息 ,分配給這次請(qǐng)求的資源就始終不被釋放。為便于理解 ,以下介紹一個(gè)簡(jiǎn)單的 DOS 攻擊基本過(guò)程。 DOS 攻擊的原理及方式 要對(duì)服務(wù)器實(shí)施拒絕服務(wù)攻擊 , 主要有以下兩種方法 : 迫使服務(wù)器的緩沖區(qū)滿 , 不接收新的請(qǐng)求 。具體而言 ,DOS 攻擊是指攻擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的缺陷或通過(guò)各種手段耗盡被攻擊對(duì)象的資源 , 以使得被攻擊計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù) ,直至系統(tǒng)停止響應(yīng)甚至崩潰的攻擊方式。網(wǎng)絡(luò)連通性攻擊是用大量的連接請(qǐng)求來(lái)耗盡計(jì)算機(jī)可用的操作系統(tǒng)資源，導(dǎo)致計(jì)算機(jī)不能夠再處理正常的用戶請(qǐng)求。最普通的 DOS 攻擊的目標(biāo)是計(jì)算 機(jī)網(wǎng)絡(luò)帶寬或者是網(wǎng)絡(luò)的連通性。 DOS 攻擊發(fā)生在訪問(wèn)一臺(tái)計(jì)算機(jī)時(shí)，或者網(wǎng)絡(luò)資源被有意的封鎖或者降級(jí)時(shí)。 四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 5 第二章 講述 DOS（拒絕服務(wù)） 什么是 DOS 攻擊？ DOS 攻 擊 (Denial of Service，簡(jiǎn)稱 DOS)即拒絕服務(wù)攻擊，是指攻擊者通過(guò)消耗受害網(wǎng)絡(luò)的帶寬，消耗受害主機(jī)的系統(tǒng)資源，發(fā)掘編程缺陷，提供虛假路由或 DNS 信息，使被攻擊目標(biāo)不能正常工作。 ，為信息系統(tǒng)提供安全體系管理、監(jiān)控，渠護(hù)及緊急情況服務(wù)。 ，攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。 ：良好的認(rèn)證體系可防 止攻擊者假冒合法用戶。 ：通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取相應(yīng)的行動(dòng)（如斷開網(wǎng)絡(luò)連接、記錄攻擊過(guò)程、跟蹤攻擊源等）。 安全體系 ：通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的訪問(wèn)控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。即當(dāng)需要時(shí)能否存取所需的信息。即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性。 安全特征 ：信息不泄露給非授權(quán)用戶、實(shí)體或過(guò)程，或供其利用的特性。比如：從 用戶（個(gè)人、企業(yè)等）的角度來(lái)說(shuō)，他們希望涉及個(gè)人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時(shí)受到機(jī)密性、完整性和真實(shí)性的保護(hù)。 四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 3 第一章 網(wǎng)絡(luò) 安全 什么是網(wǎng)絡(luò)安全？ 網(wǎng)絡(luò)的安全是指通過(guò)采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。 隨著網(wǎng)絡(luò)應(yīng)用的日益廣泛，網(wǎng)絡(luò)結(jié)構(gòu)框架已經(jīng)暴露在眾多網(wǎng)絡(luò)安全的威脅之下，其中拒絕服務(wù) (DOS)攻擊和基于 DOS 的分布式拒絕服務(wù) (DDOS)攻擊最為常見。最常見的DOS 攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊，特別是 DDOS 攻擊對(duì)因特網(wǎng)構(gòu)成了巨大的威脅。隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展和互聯(lián)網(wǎng)應(yīng)用的日益普及 ,網(wǎng)絡(luò)已經(jīng)成為我們獲取信息、進(jìn)行交流的主要渠道之一 ,因而網(wǎng)絡(luò)安全也顯得越來(lái)越重要。其中 DDOS 攻擊難以防范 ,而從攻擊者的角度來(lái)看 ,攻擊是非常容易的。但由于各種網(wǎng)絡(luò)系統(tǒng)及有 關(guān)軟件硬件的缺陷以及系統(tǒng)管理方面的漏洞 ,導(dǎo)致了許多安全隱患 ,出現(xiàn)了許多嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題 ,比如破壞信息 ,盜取機(jī)要信息 ,造成網(wǎng)絡(luò)癱瘓 ,傳播病毒等。人們對(duì)互聯(lián)網(wǎng)的利用和依賴日益增加 ,人們通過(guò)網(wǎng)絡(luò)互相通信 ,共享資源。圖表整潔，布局合理，文字注釋必須使用工程字書寫，不準(zhǔn)用徒手畫 3）畢業(yè)論文須用 A4 單面打印，論文 50 頁(yè)以上的雙面打印 4）圖表應(yīng)繪制于無(wú)格子的頁(yè)面上 5）軟件工程類課題應(yīng)有程序清單，并提供電子文檔 1）設(shè)計(jì)（論文） 2）附件：按照任務(wù)書、開題報(bào)告、外文譯文、譯文原文（復(fù)印件）次四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 4 序裝訂 目錄 目錄 ........................................................................................................................ 1 摘要： .................................................................................................................... 1 前言： .................................................................................................................... 2 第一章 網(wǎng)絡(luò)安全 .................................................................................................. 3 什么是網(wǎng)絡(luò)安全？ ............................................................................... 3 安全特征 ............................................................................................... 3 安全體系 ............................................................................................... 3 1. 4 小結(jié) ...................................................................................................... 4 第二章 講述 DOS（拒絕服務(wù)） .......................................................................... 5 什么是 DOS 攻擊？ .............................................................................. 5 DOS 攻擊概念 ....................................................................................... 5 DOS 攻擊的原理及方式 ....................................................................... 5 攻擊方式 ............................................................................................... 6 SYN Flood 攻擊 .......................................................................... 6 ..2 Land 攻擊 ................................................................................. 7 Smurf 攻擊 ................................................................................. 8 UDP 攻擊 ................................................................................... 8 DOS 攻擊分類 ....................................................................................... 9 利用協(xié)議中的漏洞 .................................................................... 9 利用軟件實(shí)現(xiàn)的缺陷 .............................................................. 10 欺騙型攻擊 .............................................................................. 10 DOS 攻擊的危害性及其難以防范的原因 .............................. 10 DOS 攻擊特點(diǎn) .......................................................................... 11 其他的 DOS 攻擊 ...................................................................... 11 DOS 攻擊的防范技術(shù) ......................................................................... 11 加固操作系統(tǒng) ............