计算机安全技术大作业实验报告-DDoS攻击原理及防范.docVIP

上海电力学院 计算机安全技术大作业 题目: DDoS攻击的原理及防范 学号： 学生姓名： 院系：　 　 　 专业：　 班级： 2012 年 5月 28日 摘要： DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式，他借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍的提高拒绝服务攻击的威力。 关键字： DDoS攻击，DoS攻击，SYN攻击，Smurf攻击，攻击原理，防御办法，傀儡机 引言： DDoS是Distributed Denial of Service的简写，意为分布式拒绝服务攻击，是对DoS（Denial of Service）拒绝服务攻击的发展。这里，我们先来了解一下什么是DoS。 正文： 【DoS攻击简介】 DoS攻击的目的是使目标计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击就是以庞大的通信量冲击网络，使所有可用的网络资源都被耗尽，最后导致合法用户的请求无法通过；类似于一大群人同时冲向一个安全出口，则会造成安全出口的阻塞，导致其他人都无法通过出口。而连通性攻击是指使用大量的连接请求冲击服务器，使所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求；即服务器忙于处理攻击者的连接请求而无暇理睬合法用户的正常请求，此时从合法用户的角度来看就是服务器失去响应。 Smurf攻击（带宽攻击） Smurf攻击并不直接对目标主机发送服务请求包，攻击者在远程机器上发送ICMP答应请求ping服务，但这个ping命令的目的地址不是某个主机的IP地址，是某个网络的广播地址（即目标IP地址为“FF·FF·FF·FF”），并且这个ping命令的源地址被伪造成了将要攻击的主机IP地址。这样，收到广播ping命令后的主机，都会按数据包中所谓的源IP地址返回请求信息，向被攻击的主机发送echo响应包作为回答。大量同时返回的echo响应数据包会造成目标网络严重拥塞、丢包，甚至完全崩溃。 SYN攻击（连通性攻击） SYN攻击是利用现有TCP/IP协议族的设计弱点和缺陷。在TCP/IP协议的三次握手协议过程如下： 第一次握手。客户端发送SYN包到服务器，向服务端提出连接请求，这时TCP SYN标志置位（SYN=j），客户端在TCP包头的序列号区中插入自己的ISN。 第二次握手。服务器收到客户的请求信息，必须回应一个确认信号，确认客户的SYN(ACK标志置位为j+1)，同时也发送一个自己的SYN包（SYN置位为k），即SYN+ACK包，此时服务器进入SYN_RECV状态。 第三次握手。客户端收到服务器的SYN+ACK包，想服务器发送确认包ACK（ACK置位为k+1），此包发送完毕标志建立了完整的TCP连接，客户端和服务器进入ESTABLISHED状态，可以开始全双工模式的数据传输过程。 假设一个用户想服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），在这种情况下服务器端一般会重试（再次发送SYN+ACK）给客户端，并且等待一段时间后丢弃这个未完成的连接，这段时间的长度一般是30秒~2分钟。如果一个用户出现异常导致服务器的一个线程等待1分钟并不是大问题，但如果有一个恶意攻击者大量模拟这种情况，服务器端为了维护一个非常大的半连接列表而消耗非常多的资源——数以万计的半连接，即使是简单的保存及遍历也会非常消耗很多的CPU时间和内存，何况还要不断对这个半连接列表中的IP进行SYN+ACK的重试。如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃——及时服务器的系统足够强大，服务器端也会忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求。这种情况叫做服务器端收到了SYN Flood攻击（SYN洪水攻击）。 【DDOS攻击原理简介】 DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，它的攻击方法说白了就是单挑，是比谁的机器性能好、速度快。当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高时，他的效果是明显的。但随着计算机处理能力的迅速增长，内存大大增加，CPU运算能力越来越强大，这使得DoS攻击的困难程度加大了。被攻击者对恶意攻击包的抵抗能力加强的不少。这时候分布式的拒绝服务攻击手段就应运而生了。 所谓分布式拒绝服务（DDoS）攻击是指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个