DOS攻击原理与防范措施.docVIP

DDOS攻击原理与防范措施 JW114043 丁晓娟 债要： DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了-目标对恶意攻击包的消化能力加强了不少。这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。 关键词：DDOS(分布式拒绝服务攻击)、攻击运行原理、傀儡机、防范措施 1．引言 随着网络技术和网络应用的发展，网络安全问题显得越来越重要。拒绝服务攻击由于容易实施、难以防范、难以追踪等而成为最难解决的网络安全问题之一，给网络社会带来了极大的危害。同时，拒绝服务攻击也将是未来信息战的重要手段之一。因此，研究拒绝服务攻击及其对策是极为重要的。 2. 分布式拒绝服务攻击(DDOS) 2.1 DDOS攻击现象 （1）被攻击主机上有大量等待的TCP连接 （2）网络中充斥着大量的无用的数据包，源地址为假 （3）制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯 （4）利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求 （5）严重时会造成系统死机 2.2 DDOS攻击原理 图1.1 DDOS攻击体系 如图1.1，一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。 一般情况下黑客不直接去控制攻击傀儡机，而要从控制傀儡机上中转一下，这就导致DDoS攻击难以追查。攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。 2.3 DDOS攻击步骤 1. 搜集了解目标的情况（下列情况是黑客非常关心的情报）： 被攻击目标主机数目、地址情况 目标主机的配置、性能 目标的带宽 2. 占领傀儡机（黑客最感兴趣的是有下列情况的主机）： 链路状态好的主机、性能好的主机、安全管理水平差的主机 3. 实际攻击 经过前2个阶段的精心准备之后，黑客就开始准备对既定目标进行攻击了。前面的准备做得好的话，实际攻击过程是比较简单的。如图示，黑客登录到做为控制台的傀儡机，向所有的攻击机发出攻击命令。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击，以期造成严重的后果。 DDOS防范措施 1. 主机上的设置 　　几乎所有的主机平台都有抵御DoS的设置，总结一下，基本的有几种： （1）关闭不必要的服务 （2）限制同时打开的Syn半连接数目 （3）缩短Syn半连接的time out 时间 （4）及时更新系统补丁 2．网络设备上的设置 企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备，在进行防DDoS设置的同时，要注意一下这是以多大的效率牺牲为代价的，对特定的对象来说是否值得。 　　（1）防火墙 禁止对主机的非开放服务的访问 限制同时打开的SYN最大连接数 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问 　　第五项主要是防止自己的服务器被当做工具去害人。 　　（2）.路由器 以Cisco路由器为例 Cisco Express Forwarding（CEF） 使用 unicast reverse-path 访问控制列表（ACL）过滤 设置SYN数据包流量速率 升级版本过低的ISO 为路由器建立log server