【正文】 ： 隨著電子商務(wù)的興起，對網(wǎng)站的實(shí)時性要求越來越高， DOS 或 DDOS 對網(wǎng)站的威脅越來越大。 ：任務(wù)書、開題報告、外文譯文、譯文原文（復(fù)印件）。 涉密論文按學(xué)校規(guī)定處理。 作者簽名： 日期： 年 月 日 學(xué)位論文版權(quán)使用授權(quán)書 本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留并向國家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù) 印件和電子版，允許論文被查閱和借閱。對本文的研究做出重要貢獻(xiàn)的個人和集體，均已在文中以明確方式標(biāo)明。 作者簽名： 日 期： 四川 職業(yè)技術(shù)學(xué)院 計科系論文 2 學(xué)位論文原創(chuàng)性聲明 本人鄭重聲明：所呈交的論文是本人在導(dǎo)師的指導(dǎo)下獨(dú)立進(jìn)行研究所取得的研究成果。對本研究提供過幫助和做出過貢獻(xiàn)的個人或集體，均已在文中作了明確的說明并表示了謝意。四川 職業(yè)技術(shù)學(xué)院 計科系論文 畢業(yè)設(shè)計（論文） 題目： DOS 與 DDOS 攻擊與防范 四川 職業(yè)技術(shù)學(xué)院 計科系論文 1 畢業(yè)設(shè)計（論文）原創(chuàng)性聲明和使用授權(quán)說明 原創(chuàng)性聲明 本人鄭重承諾：所呈交的畢業(yè)設(shè)計（論文），是我個人在指導(dǎo)教師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。盡我所知，除文中特別加以標(biāo)注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過的研究成果，也不包含我為獲得 及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過的材料。 作 者 簽 名： 日 期： 指導(dǎo)教師簽名： 日 期： 使用授權(quán)說明 本人完全了解 大學(xué)關(guān)于收集、保存、使用畢業(yè)設(shè)計（論文）的規(guī)定，即：按照學(xué)校要求提交畢業(yè)設(shè)計（論文）的印刷本和電子版本；學(xué)校有權(quán)保存畢業(yè)設(shè)計（論文）的印刷本和電子版，并提供目錄檢索與閱覽服務(wù)；學(xué)?？梢圆捎糜坝?、縮印、數(shù)字化或其它復(fù)制手段保存論文；在不以贏利為目的前提下，學(xué)?？梢怨颊撐牡牟糠只蛉績?nèi)容。除了文中特別加以標(biāo)注引用的內(nèi)容外，本論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫的成果作品。本人完全意識到本聲明的法律后果由本人承擔(dān)。本人授權(quán) 大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。 作者簽名： 日期： 年 月 日 導(dǎo)師簽名： 日期： 年 月 日 四川 職業(yè)技術(shù)學(xué)院 計科系論文 3 注 意 事 項 （論文）的內(nèi)容包括： 1）封面（按教務(wù)處制定的標(biāo)準(zhǔn)封面格式制作） 2）原創(chuàng)性聲明 3）中文摘要（ 300 字左右）、關(guān)鍵詞 4）外文摘要、關(guān)鍵詞 5）目次 頁（附件不統(tǒng)一編入） 6）論文主體部分：引言（或緒論）、正文、結(jié)論 7）參考文獻(xiàn) 8）致謝 9）附錄（對論文支持必要時） ：理工類設(shè)計（論文）正文字?jǐn)?shù)不少于 1 萬字（不包括圖紙、程序清單等），文科類論文正文字?jǐn)?shù)不少于 萬字。 、圖表要求： 1）文字通順，語言流暢，書寫字跡工整，打印字體及大小符合要求，無錯別字，不準(zhǔn)請他人代寫 2）工程設(shè)計類題目的圖紙，要求部分用尺規(guī)繪制，部分用計算機(jī)繪制，所有圖紙應(yīng)符合國家技術(shù)標(biāo)準(zhǔn)規(guī)范 。互聯(lián)網(wǎng)的不斷發(fā)展 ,對人們的學(xué)習(xí)和生活產(chǎn)生了巨大的影響和推動。對互聯(lián)網(wǎng)的安全性提出了更高的要求。網(wǎng)絡(luò)安全包括三個主要方面 :保密性、完整性和有效性 ,而 DOS 與 DDOS 攻擊針對的是安全的第三個方面 —— 有效性 ,有效性是用來預(yù)防、檢測或阻止對信息和系統(tǒng)的未被授權(quán)的訪問 ,并且對合法用戶提供正常服務(wù)。 關(guān)鍵詞 ： ：ＤｏＳ；ＤＤｏＳ ；攻擊 ；防范 四川 職業(yè)技術(shù)學(xué)院 計科系論文 2 前言： 隨著 Inter 的應(yīng) 用越來越廣泛，也為大家?guī)砹朔奖?，也?DOS 與DDOS 攻擊創(chuàng)造了極為有利的條件。近年來 ,拒絕服務(wù)攻擊已經(jīng)成為最為嚴(yán)重的網(wǎng)絡(luò)威脅之一 ,它不僅對網(wǎng)絡(luò)社會具有極大的危害性 ,也是政治和軍事對抗的重要手段。目前， DOS 和 DDOS 攻擊已成為一種遍布全球的系統(tǒng)漏洞攻擊方法，無數(shù)網(wǎng)絡(luò)用戶都受到這種攻擊的 侵害，造成了巨大經(jīng)濟(jì)損失。隨著高速網(wǎng)絡(luò)的不斷普及，尤其是隨著近年來網(wǎng)絡(luò)蠕蟲的不斷發(fā)展，更大規(guī)模DDOS 攻擊的威脅也越來越大。網(wǎng)絡(luò)安全的具體含義會隨著“角度”的變化而變化。而從企業(yè)的角度來說，最重要的就是內(nèi)部信息上的安全加密以及保護(hù)。 ：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。 ：可被授權(quán)實(shí)體訪問并按需求使用的特性。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對可用性的攻擊； ：對信息的傳播及內(nèi)容具有控制能力。 ：通過對安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效。 ：主動的加密通訊，可使攻擊者不能了解、修改敏感信息。 ：良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時，盡快地恢復(fù)四川 職業(yè)技術(shù)學(xué)院 計科系論文 4 數(shù)據(jù)和系統(tǒng)服務(wù)。 ，使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。 1. 4 小結(jié) ： 本章主要介紹了網(wǎng)絡(luò) 安全 的意義和目的，并對一下 攻擊 和 防范 做了進(jìn)一步的分析。 DOS 攻擊概念 WWW 安全 FAQ[1]給 DOS 攻擊下的定義為：有計劃的破壞一臺計算機(jī)或者網(wǎng)絡(luò)，使得其不能夠提供正常服務(wù)的攻擊。這類攻擊不需要直接或者永久的破壞數(shù)據(jù)，但是它們故意破壞資源的可用性。帶寬攻擊是用很大的流量來淹沒可用的網(wǎng)絡(luò)資源，從而合法用戶的請求得不到響應(yīng)，導(dǎo)致可用性下降。 DOS 攻擊廣義上指任何導(dǎo)致被攻擊的服務(wù)器不能正常提供服務(wù)的攻擊方式。 DOS 攻擊的服務(wù)資源包括網(wǎng)絡(luò)帶寬 , 文件系統(tǒng)空間容量 ,開放 的進(jìn)程或者允許的連接等。 使用 IP 欺騙 , 迫使服務(wù)器把合法用戶的連接復(fù)位 , 影響合法用戶的連接 , 這是 DOS 攻擊實(shí)施的基本思想。 如圖 1 所示 , 攻擊者先向受害者發(fā)送大量帶有虛假地址的請求 ,受害者發(fā)送回復(fù)信息后等待回傳信息。當(dāng)受害者等待一定時間 后 , 連接會因超四川 職業(yè)技術(shù)學(xué)院 計科系論文 6 時被切斷 ,此時攻擊者會再度傳送一批偽地址的新請求 ,這樣反復(fù)進(jìn)行直至受害者資源被耗盡 ,最終導(dǎo)致受害者系統(tǒng)癱瘓。當(dāng)被攻擊方按照約定向這些虛假 IP,地址發(fā)送確認(rèn)數(shù)據(jù)包后，等待對方連接，虛假的 IP 源地址將不給予響應(yīng)。如果系統(tǒng)資源被大量此類未完成的連接占用，系統(tǒng)性能自然會下降。 Syn Flood原理 三次握手 ， Syn Flood利用了 TCP/IP協(xié)議的固有漏洞。 圖 2 SYN Flood 攻擊 如圖 2，在第一步中，客戶端向服務(wù)端提出連接請求。客戶端告訴服務(wù)端序列號區(qū)域合法，需要檢查。服務(wù)端收到該 TCP 分段后，在第二步以自己的 ISN 回應(yīng)四川 職業(yè)技術(shù)學(xué)院 計科系論文 7 (SYN 標(biāo)志置位 )，同時確認(rèn)收到客戶端的第一個 TCP 分段 (ACK 標(biāo)志置位 )。到此為止建立完整的 TCP連接，開始全雙工模式的數(shù)據(jù)傳輸過程，而 Syn Flood 攻擊者不會完成三次握手。實(shí)際上如果服務(wù)器的 TCP/IP 棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰 即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的 TCP 連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之?。藭r從正?？蛻舻慕嵌瓤磥恚?wù)器失去響應(yīng)，這種情況我們稱做：服務(wù)器端受到了 SYN Flood 攻擊（ SYN 洪水攻擊）。其方法是將一個特別設(shè) 計的 SYN 包中的源地址和目標(biāo)地址都設(shè)置成某個被攻擊服務(wù)器的地址，這樣服務(wù)器接收到該數(shù)據(jù)包后會向自己發(fā)送一個 SYN—ACK 回應(yīng)包， SYN— ACK 又引起一個發(fā)送給自己的 ACK 包，并創(chuàng)建一個空連接。 Smurf 攻擊 如圖 4 所示 ， Smurf 攻擊是一種放大效果的 ICMP 攻擊方式，其方法是攻擊者偽裝成被攻擊者向某個網(wǎng)絡(luò)上的廣播設(shè)備發(fā)送請求，該廣播設(shè)備會將這個請求轉(zhuǎn)發(fā)到該網(wǎng)絡(luò)的其他廣播設(shè)備，導(dǎo)致這些設(shè)備 都向被攻擊者發(fā)出回應(yīng)，從而達(dá)到以較小代價引發(fā)大量攻擊的目的。 ICMP Smurf 的襲擊加深了 ICMP 的泛濫程度，導(dǎo)致了在一個數(shù)據(jù)包產(chǎn)生成千的 ICMP 數(shù)據(jù)包發(fā)送到一個根本不需要它們的主機(jī)中去，傳輸多重信息包的服務(wù)器用作 Smurf 的放大器。在 UDP Flood 攻擊中，四川 職業(yè)技術(shù)學(xué)院 計科系論文 9 攻擊者發(fā)送大量虛假源 IP 的 UDP 數(shù)據(jù)包或畸形 UDP 數(shù)據(jù)包，從而使被攻擊者不能提供正常的服務(wù)，甚至造成系統(tǒng)資源耗盡、系統(tǒng)死機(jī)。UDP 攻擊通常可分為 UDP Flood 攻擊、 UDP Fraggle 攻擊和 DNS Query Flood 攻擊。 Query Flood 攻擊是一種針對 DNS 服務(wù)器的攻擊行為。 攻擊的基本過程包括以下幾個階段： ①攻擊者向被攻擊者發(fā)送眾多的帶有虛假地址的請求； ②被攻擊者發(fā)送響應(yīng)信息后等待回傳信息； ③由于得不到回傳信息，使系統(tǒng)待處理隊列不斷加長，直到資源耗盡，最終達(dá)到被攻擊者出現(xiàn)拒絕服務(wù)的現(xiàn)象。 攻擊者可以利用這些漏洞進(jìn)行攻擊致使接受數(shù)據(jù)端的系統(tǒng)當(dāng)機(jī)、掛起或崩潰。這種攻擊利用的是TCP/IP 協(xié)議的 / 三次握手 0 的漏洞完成。 四川 職業(yè)技術(shù)學(xué)院 計科系論文 10 利用軟件實(shí)現(xiàn)的缺陷 軟件實(shí)現(xiàn)的缺陷是軟件開發(fā)過程中對某種特定類型的報文或請求沒有處理 , 導(dǎo)致軟件遇到這種類型的報文時運(yùn)行出現(xiàn)異常 ,從而導(dǎo)致軟件崩潰甚至系統(tǒng)崩潰。攻擊者攻擊時是利用這些缺陷發(fā)送經(jīng)過特殊構(gòu)造的數(shù)據(jù)包 , 從而導(dǎo)致目標(biāo)主機(jī)的癱瘓 , 圖 5 發(fā)送大量無用突發(fā)數(shù)據(jù)攻擊耗盡資源 這種攻擊方式憑借手中豐富的資源 ,發(fā)送大量的垃圾數(shù)據(jù)侵占完資源 , 導(dǎo)致DOS。為了獲得比目標(biāo)系統(tǒng)更多 資源 , 通常攻擊者會發(fā)動 DDOS 攻擊 ,從而控制多個攻擊傀儡發(fā)動攻擊 ,這樣能產(chǎn)生更大破壞。最常見的是偽造自己的 IP 或目的 IP(通常是一個不可到達(dá)的目標(biāo)或受害者的地址 ) ,或偽造路由項目、或偽造 DNS 解析地址等 ,受攻擊的服務(wù)器因?yàn)闊o法辨別這些請求或無法正常響應(yīng)這些請求就會造成緩沖區(qū)阻塞或死機(jī)。 DOS 攻擊的危害性及其難以防范的原因 DOS 攻擊的危害性主要在 于使被攻擊主機(jī)系統(tǒng)的網(wǎng)絡(luò)速度變慢甚至無法訪問無法正常地提供服務(wù) 。該網(wǎng)絡(luò)上 DOS 攻擊工具種類繁多 ,攻擊者往往不需要掌握復(fù)雜技術(shù) , 利用這些工具進(jìn)行四川 職業(yè)技術(shù)學(xué)院 計科系論文 11 攻擊就能夠奏效。使得 DOS 攻擊成為一種當(dāng)前難以防范的攻擊方式。它不需要攻擊者具備很好的技術(shù)能力 ,任何人只要有攻擊程序 , 就可以 讓未受保護(hù)的網(wǎng)絡(luò)和設(shè)備失效 , 因此 DOS攻擊相對簡單 , 且容易達(dá)到目的。 其他的 DOS 攻擊 其他的 DOS 攻擊手法主要有利用 TCP/IP 協(xié)議進(jìn)行的 TCPDOS 攻擊 , 如SYNFlood 攻擊、 Land 攻擊、 Teardrop 攻擊 。 利用 ICMP 協(xié)議進(jìn)行的 ICMPDOS 攻擊 ,如 Pingof Death攻擊、 Smurf 攻擊等。在這種攻擊中，黑客使用數(shù)據(jù)流量填滿網(wǎng)絡(luò)。 ：這是一種需要更多技巧的攻擊，它正變得越來越流行。 ：這種攻擊包含了對組網(wǎng)技術(shù)的深刻理解，因此也是一種最高級的攻擊類型。很多系統(tǒng)不能夠處理這種引起混亂的行為，從而導(dǎo)致崩潰。主要原因： 、分組頭、通信信道等都有可能在攻擊過程中改變，導(dǎo)致 DOS 攻擊四川 職業(yè)技術(shù)學(xué)院 計科系論文 12 流不存在能用于檢測和過濾的共同特性； DOS 攻擊難以防御和跟蹤，同時，資源、目標(biāo)和中間域之間缺乏合作也不能對攻擊做出快速、有效和分布式的響應(yīng)； ，不斷調(diào)節(jié)攻擊工具逃避安全系統(tǒng)檢查。 加固操作系統(tǒng) 對各種操作系統(tǒng)參數(shù)進(jìn)行設(shè)置以加強(qiáng)系統(tǒng)的穩(wěn)固性。 利用防火墻 防火墻是防御 DOS 攻擊最有效的辦法，目前很多廠商的防火墻中都注入了專門針對 DOS 攻擊的功能。 利用負(fù)載均衡技術(shù) 就是把應(yīng)用業(yè)務(wù)分布到幾臺不同的服務(wù)器上，甚至不同的地點(diǎn)。這種方法要求投資比較大，相應(yīng)的維護(hù)費(fèi)用也高。以上方法對流量小、針對性強(qiáng)、結(jié)構(gòu)簡單的 DOS 攻擊進(jìn)行防范還是很有效的?，F(xiàn)在防火墻中御 DOS 攻擊的主流技術(shù)主要有連接監(jiān)四川 職業(yè)技術(shù)學(xué)院 計科系論文 13 控 ( TCP Interception)和同步網(wǎng)關(guān) (SYN Gateway)兩種。阻擋“拒絕服務(wù)”的攻擊的常用方法之一是：在網(wǎng)絡(luò)上建立一個過濾器（ filter）或偵測器（ sniffer），在信息到達(dá)網(wǎng)站服務(wù)器之前阻擋信息。如果某種可疑行動經(jīng)常出現(xiàn)，過濾器能接受指示，阻擋包含那種信息，讓網(wǎng)站服務(wù)器的對外連接線路保持暢通。 【實(shí)驗(yàn)步驟】如下： Windows 實(shí)驗(yàn)臺中 登錄到 Windows 實(shí)驗(yàn)臺，并從實(shí)驗(yàn)工具箱取得syn 攻擊工具 XDoc。 XDOS 命令舉例演示如下： xDOS 139 –