【正文】 t 3 – s 為被攻擊主機(jī)的 ip 地址（實(shí)驗(yàn)時(shí)請(qǐng)以被攻擊主機(jī)真實(shí) ip 為準(zhǔn)） 139 為連接端口 t 3 表示開啟的進(jìn)程 s 后跟的 ip 地址為 syn 數(shù)據(jù)包偽裝的源地址的起始地址 圖 6 所示 ， 運(yùn)行顯示如圖， Windows 實(shí)驗(yàn)臺(tái)正在對(duì)本地發(fā)送 syn 數(shù)據(jù)包。 圖 7 圖 8 在目標(biāo)主機(jī)使用命令 stat an 查看當(dāng)前端口狀態(tài)，如圖 9 所示，就會(huì)發(fā)現(xiàn)大量的 syn_received 狀態(tài)的連接，表示 主機(jī)接受到 syn 數(shù)據(jù)包，但并未受到 ack 確認(rèn)數(shù)據(jù)包，即 tcp 三次握手的第三個(gè)數(shù)據(jù)包。 在 SYN Flood 攻擊中，黑客機(jī)器向受害主機(jī)發(fā)送大量偽造源地址的 TCP SYN報(bào)文，受害主機(jī)分配必要的資源，然后向源 地址返回 SYN＋ ACK 包，并等待源端返回 ACK 包，拒絕服務(wù)攻擊（ Denial of Service， DOS）是目前比較有效而又非常難于防御的一種網(wǎng)絡(luò)攻擊方式，它的目的就是使服務(wù)器不能夠?yàn)檎ＴL問的用戶提供服務(wù)。 四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 16 案例分析二 本次實(shí)驗(yàn)采用模擬 UDP Flood 軟件攻擊 Flood 是一種采用 UDPFlood 攻擊方式的 DOS 軟件，它可以向特定的IP 地址和端口發(fā)送 UDP 包。單擊 Go 按鈕即可對(duì)目標(biāo)主機(jī)發(fā)起 UDPFlood 攻擊。 圖 10 11 所示 ， 輸入 ipconfig /all 命令查看 四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 17 圖 11 4. 如圖 12 所示 ， 在被攻擊主機(jī)中可以查看收到的 UDP 數(shù)據(jù)包 圖 12 通過本次實(shí)驗(yàn)主要學(xué)會(huì)了使用 DOS 攻擊工具對(duì)目標(biāo)主機(jī)進(jìn)行攻擊；進(jìn)一步理解了 DOS 攻擊的原理及其實(shí)施過程。用實(shí)驗(yàn) 方式來驗(yàn)證 DOS 攻擊 。它利用在已經(jīng)侵入并已控制的不同的高帶寬主機(jī)（可能是數(shù)百，甚至成千上萬臺(tái)）上安裝大量的 DOS 服務(wù)程序，它們等待來自中央攻擊控制 中心的命令，中央攻擊控制中心適時(shí)啟動(dòng)全體受控主機(jī)的 DOS 服務(wù)進(jìn)程，讓它們對(duì)一個(gè)特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問請(qǐng)求，形成一股 DOS 洪流沖擊目標(biāo)系統(tǒng)，猛烈的 DOS攻擊同一個(gè)網(wǎng)站。 分布式拒絕服務(wù)的起源 分布式拒絕服務(wù) 用戶對(duì)于這個(gè)話題似乎已經(jīng)不再陌生 ,在當(dāng)今的網(wǎng)絡(luò)當(dāng)中用戶能夠經(jīng)常聽見此類事件的發(fā)生，比如說唐山黑客事件中，所利用的黑客技術(shù)就是 DDOS 攻擊。造成這種類型攻擊的最主要原因就是商業(yè)競爭、打擊報(bào)復(fù)和網(wǎng)絡(luò)敲詐等多種因素，從實(shí)際情況來說DDOS 是不可能完全防范的，不過用戶必須要從最大程度上做好防范 DDOS 攻擊的措施，使用戶在遭受 DDOS 攻擊后的損失減至最低。分布式拒絕服務(wù)的起源： 1999 年 7 月份左右，微軟公司的視窗操作系統(tǒng)的一個(gè) bug 被人發(fā)現(xiàn)和利用，并且進(jìn)行了多次攻擊，這種新的攻擊方式被稱為“分 布式拒絕服務(wù)攻擊”即為“ DDOS（ Distributed Denial Of Service Attacks）”。單一的 DOS 攻擊一般是采用一對(duì)一方式的，當(dāng)攻擊目標(biāo) CPU 速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高它的效果是明顯的。這時(shí)候分布式的拒絕服務(wù)攻擊手段（ DDOS）就應(yīng)運(yùn)而生了 DDOS 的攻擊策略側(cè)重于通過很多“僵尸主機(jī)” (被攻擊者入侵過或可間接利用的主機(jī) )向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)，分布式拒絕服務(wù)攻擊一旦被實(shí)施，攻擊網(wǎng)絡(luò)包就會(huì)猶如洪水般涌向受害主機(jī)，從而把合法用戶的網(wǎng)絡(luò)包淹沒，導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源。攻 擊者首先向服務(wù)器發(fā)送帶有虛假地址的Syn連接請(qǐng)求，服 務(wù)器接 ~lJSyn請(qǐng)求信息之后就發(fā)送 Syn+ACK或 RST回復(fù) 信息，然后等待回傳信息。當(dāng)服務(wù)器等待一定的時(shí)間后， 連接會(huì)因超時(shí)而被中斷。 單一的 DOS 攻擊是一對(duì)一的。然而，隨著計(jì)算機(jī)處理能力 的大大提高和網(wǎng)絡(luò)技術(shù)的高速發(fā)展，其對(duì)惡意攻擊包的 承受能力大為提高，使得攻擊者對(duì)目標(biāo)的攻擊效果大打 折扣。 DDOS 是利用多臺(tái)計(jì)算機(jī)，采用分布式對(duì)單個(gè)或多個(gè)目標(biāo)同時(shí)發(fā)起 DOS 攻擊。 這些被安裝了特定程序、受到攻擊者控制的各類計(jì)算機(jī)，充當(dāng)了傀儡角色。攻擊時(shí)，攻擊者向主控端發(fā)送攻擊命令，主控端又把這些指令送到代理主機(jī)上，代理端是真正向受害者發(fā)起攻擊的 直接執(zhí)行者。現(xiàn)在，各大城市之間網(wǎng)絡(luò)帶寬都為 G 級(jí)，這使得網(wǎng)絡(luò)攻擊者更容易從遠(yuǎn)程城市，甚至從其他國家發(fā)起攻擊，受控制的代理端主機(jī)可以分布在更大范圍，甚至可以跨越國界遍布全世界，選擇和利用它更 靈活、更方便，攻擊者隱藏起來更難以尋跡。 圖 1DDOS 攻擊 方式 1 所示 ， 可以看出， DDOS 的攻擊分為三層 :攻擊者、主控端和代理端，三者在攻擊中扮演著不同的角色。攻擊者操縱整個(gè)攻擊過程，并向主控端發(fā)送攻擊命令。主控端主機(jī)的上面 安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。 代理端同樣是攻擊者侵入并控制的一批主機(jī)，在它們的上面運(yùn)行攻擊器程序，接受和運(yùn)行主控端發(fā)來的命令。 攻擊者發(fā)起 DDOS 攻擊的第一步就是在 Inter 上尋找有漏洞的主機(jī)，進(jìn)入系統(tǒng)后在其上面安裝后門程序，獲得對(duì)系統(tǒng)的直接訪問權(quán)。 由于攻擊者的位置靈活，又使用了常見的協(xié)議，因此在攻擊時(shí)不會(huì)受到監(jiān)控系統(tǒng)的跟蹤，身份也不易被發(fā)現(xiàn)。通常，攻擊者使用一個(gè)偷竊帳號(hào)將 DDOS 主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí) 間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計(jì)算機(jī)上。利用客戶 /服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。 ，反復(fù)高速地發(fā)送對(duì)某特定服務(wù)的連接請(qǐng)求，使被攻擊主機(jī)無法及時(shí)處理正常業(yè)務(wù)。 常見的 DDOS 攻擊類型有四種： 1. 帶寬消耗 攻擊者消耗掉某個(gè)網(wǎng)絡(luò)的所有可用帶寬。 2. 資源衰竭 攻擊者消耗掉諸如 CPU 利用率，內(nèi)存之類的系統(tǒng)資源。 是指應(yīng)用程序或者操作系統(tǒng)在處理異常條件是時(shí)的失敗。 4. 路由和 DNS 攻擊 操縱路由表項(xiàng)（利用路由協(xié)議認(rèn)證機(jī)制的弱點(diǎn) ，變換合法路徑）；改變受害者 DNS 高速緩存的正確地址信息。 DDOS 攻擊是利用一批受控制的機(jī)器向某一臺(tái)機(jī)器發(fā)起攻擊，攻擊者實(shí)用的計(jì)算機(jī)數(shù)量和能占用的帶寬是沒有限制的，因此具有極大的破壞性。 SYN 變種攻擊：發(fā)送偽造源 IP 的 SYN 數(shù)據(jù)包，但是數(shù)據(jù)包不是 64字節(jié)而是上千字節(jié)，這種攻擊會(huì)造成一些防火墻處理錯(cuò)誤鎖死，消耗服務(wù)器 CPU內(nèi)存的同時(shí)還 會(huì)堵塞帶寬。 用 UDP 協(xié)議的攻擊 很多聊天室，視頻音頻軟件，都是通過 UDP 數(shù)據(jù)包傳輸?shù)?，攻擊者針?duì)分析要攻擊的網(wǎng)絡(luò)軟件協(xié)議，發(fā)送和正常數(shù)據(jù)一樣的數(shù)據(jù)包，這種攻擊非常難防護(hù)，一般防護(hù)墻通過攔截攻擊數(shù)據(jù)包的特征碼防護(hù)，但是這樣會(huì)造成正常的數(shù)據(jù)包也會(huì)被攔 截。 WEB Server 變種攻擊 通過控制大量肉雞同時(shí)連接網(wǎng)站端口，但是不發(fā)送 GET 請(qǐng)求而是亂七八糟的字符，大部分防火墻分析攻擊數(shù)據(jù)包前三個(gè)字節(jié)是 GET字符然后來進(jìn)行 協(xié)議的分析，這種攻擊，不發(fā)送 GET 請(qǐng)求就可 以繞過防火墻到達(dá)服務(wù)器，一般服務(wù)器都是共享帶寬的，帶寬不會(huì)超過 10M 所以大量的肉雞攻擊數(shù)據(jù)包就會(huì)把這臺(tái)服務(wù)器的共享帶寬堵塞造成服務(wù)器癱瘓，這種攻擊也非常難防護(hù)，因?yàn)槿绻缓唵蔚臄r截客戶端發(fā)送過來沒有 GET 字符的數(shù)據(jù)包，會(huì)錯(cuò)誤的封鎖很多正常的數(shù)據(jù)包造成正常用戶無法訪問，后面給大家介紹防火墻的解決方案。 四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 24 SYN Flood 攻擊 SYNFlood 攻擊是當(dāng)前網(wǎng)絡(luò)上最為常見的 DDOS 攻擊，也是最為經(jīng)典的拒絕服務(wù)攻擊，它利用了 TCP 協(xié)議實(shí)現(xiàn)上的一個(gè)缺陷，通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報(bào)文，就可能造成目標(biāo)服務(wù)器中的半開連接隊(duì)列 被占滿，從而阻止其他合法用戶進(jìn)行訪問。很多操作系統(tǒng)，甚至防火墻、路由器都無法有效地防御這種攻擊，而且由于它可以方便地偽造源地址，追查起來非常困難。 ACK Flood 攻擊 ACK Flood 攻擊是在 TCP 連接建立之后，所有的數(shù)據(jù)傳輸 TCP 報(bào)文都是帶有ACK 標(biāo)志位的，主機(jī)在接收到一個(gè)帶有 ACK 標(biāo)志位的數(shù)據(jù)包的時(shí)候，需要檢查該數(shù)據(jù)包所表示的連接四元組 是否存在，如果存在則檢查該數(shù)據(jù)包所表示的狀態(tài)是否合法，然后再向應(yīng)用層傳遞該數(shù)據(jù)包。 DDOS 的表現(xiàn) 被 DDOS 攻擊時(shí)的現(xiàn)象 TCP 連接 ，源地址為假 ，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無法正常和外界通訊 ，反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求 ，使受害主機(jī)無法及時(shí)處理所有正常請(qǐng)求 5. .系統(tǒng)服務(wù)器 CPU 利用率極高，處理速度緩慢，甚至宕機(jī) 6. 被 DDOS 攻擊后，服務(wù)器出現(xiàn)木馬、溢出等異常現(xiàn)象 被 DDOS 攻擊的表現(xiàn)原理 當(dāng)對(duì)一個(gè) Web 站點(diǎn)執(zhí)行 DDOS 攻擊時(shí)，這個(gè)站點(diǎn)的一個(gè)或多個(gè) Web 服務(wù)會(huì)接四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 25 到非常多的請(qǐng)求，最終使它無法再正常使用。典型的 DDOS 攻擊利用許多計(jì)算機(jī)同時(shí)對(duì)目標(biāo)站點(diǎn)發(fā)出成千上萬 個(gè)請(qǐng)求。 在我國， DDOS 攻擊多數(shù)來自美國，占 39％，而中國是拒絕服務(wù)攻擊的主要目標(biāo)，占 63%。中國成為 DDOS 攻擊的主要目標(biāo)。出于商業(yè)競爭、打擊報(bào)復(fù)和網(wǎng)絡(luò)敲詐等多種因素，導(dǎo)致很多 IDC 托管機(jī)房、商業(yè)站點(diǎn)、游戲服務(wù)器、聊天網(wǎng)絡(luò)等網(wǎng)絡(luò)服務(wù)商長期以來一 直被 DDOS 攻擊所困擾，隨之而來的是客戶投訴、同虛擬主機(jī)用戶受牽連、法律糾紛、商業(yè)損失等一系列問題，因此，解決 DDOS 攻擊問題成為網(wǎng)絡(luò)服務(wù)商必須考慮的頭等大事。 判斷如何 被 DDOS 攻擊 的檢查 如何判斷網(wǎng)站是否遭受了流量攻擊呢？可通過 Ping 命令來測試，若發(fā)現(xiàn)Ping 超時(shí)或丟包嚴(yán)重 (假定平時(shí)是正常的 )，則可能遭受了流量攻擊，此時(shí)若發(fā)現(xiàn)和你的主機(jī)接在同一交換機(jī)上的服務(wù)器也訪問不了了，基本可以確定是遭受了流量攻擊。不過有一 點(diǎn)可以肯定，假如平時(shí) Ping 你的主機(jī)服務(wù)器和接四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 26 在同一交換機(jī)上的主機(jī)服務(wù)器都是正常的，突然都 Ping 不通了或者是 嚴(yán)重丟包，那么假如可以排除網(wǎng)絡(luò)故障因素的話則肯定是遭受了流量攻擊，再一個(gè)流量攻擊的典型現(xiàn)象是，一旦遭受流量攻擊，會(huì)發(fā)現(xiàn)用遠(yuǎn)程終端連接網(wǎng)站服務(wù)器會(huì)失敗。還有一種屬于資源耗盡攻擊的現(xiàn)象是， Ping 自己的網(wǎng)站主機(jī) Ping 不通或者是丟包嚴(yán)重，而 Ping與自己的主機(jī)在同一交換機(jī)上的服務(wù)器則正常，造成這種原因是網(wǎng)站主機(jī)遭受攻擊后導(dǎo)致系統(tǒng)內(nèi)核或某些應(yīng)用程序 CPU 利用率達(dá)到 100%無法回應(yīng) Ping 命令，其實(shí)帶寬還是有的，否則就 Ping 不通接在同一交換機(jī)上的主機(jī)了。①帶寬耗盡型主要是堵塞目標(biāo)網(wǎng)絡(luò)的出口，導(dǎo)致帶寬消耗不能提供正常的服務(wù)。針對(duì)此類攻擊一般采取的措施是 QoS，即在路由器或 防火墻上針對(duì)此類數(shù)據(jù)流進(jìn)行限制流量，從而保障正常 帶寬的使用。②資源耗盡型是攻擊者利用服務(wù)器處理缺陷，消耗 目標(biāo)服務(wù)器的關(guān)鍵資源， ~MCPU、內(nèi)存等，導(dǎo)致無法提供正常服務(wù)，常見的有 TCP Syn Flood 攻擊等。 根據(jù) DDOS 的攻擊 原理對(duì) DDOS 攻擊的防范主要分 為三層：攻擊源端防范、骨干網(wǎng)防范和目標(biāo)端防范。對(duì)于第二層大型電信骨干網(wǎng)來說，他們需滿足各種不同用戶的服務(wù)要求，其認(rèn)證和授權(quán)問題難以四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 27 解決，所以在節(jié)點(diǎn)上實(shí)行限制，實(shí)現(xiàn)起來難度很大。 過濾廣播欺騙 (Broadcast Spoofing) Smurf 攻擊通常使用 IP 欺騙使網(wǎng)絡(luò)產(chǎn)生大量的響應(yīng) ICMP 回復(fù)請(qǐng)求。 利用反向路徑轉(zhuǎn)發(fā) (RPF)過濾源 IP 欺騙 Cisco 路由器上使用“ ip verfy unicast reverse～ path”網(wǎng)絡(luò)接口命令，這個(gè)功能檢查每一個(gè)經(jīng)過路由器的數(shù)據(jù)包。 過濾 TCP Syn Flooding(Syn 洪水攻擊 ) 如上所述，客戶端與服務(wù)器建立連接，是 TCP 的三次握手來實(shí)現(xiàn)的。 設(shè)置 Rate Limit 進(jìn)行過濾 ICMP 是廣為利用的網(wǎng)絡(luò)管理協(xié)議，攻擊者也用來做網(wǎng)絡(luò)攻擊手段。但需注意一點(diǎn)， Rate Limit 不能截?cái)?DOS 的所有攻擊。在防火墻上封掉不必要的端口，關(guān)閉不必要的服務(wù)進(jìn)程，可起到截留一些惡意攻擊的作用。 DDOS 攻擊的危害非常大，但到目前為止還缺乏完全抵御 DDOS 的方法。 手工防護(hù) 四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 28 一般而言手工方式防護(hù) DDOS 主要通過兩種形式： ――主要通過優(yōu)化被 攻擊系統(tǒng)的核心參數(shù)，提高系統(tǒng)本身對(duì)DDOS 攻擊的響應(yīng)能力。 ――遭受 DDOS 攻擊的系統(tǒng)的管理人員一般第一反應(yīng)是詢問上一級(jí)網(wǎng)絡(luò)運(yùn)營商，這有可能是 ISP、 IDC 等，目的就是為了弄清楚攻擊源頭。但是這種退讓策略的效果并不好，一方面由于這種方式的性價(jià)比過低，另一方面，駭客提高供給流量之后，這種方法往往失效，所以不能從根本意義上防護(hù) DDOS 攻擊。一般來說，