浅析拒绝服务攻击原理及防范措施.docVIP

浅析拒绝服务攻击原理及防范措施 　　摘要：随着经济技术的不断发展，计算机安全技术越来越受到冲击，拒绝服务攻击已成为网络机安全最大的威胁之一，由于它的破坏性极大，因此成为网络黑客经常采用的攻击手段。该文主要分析了拒绝服务攻击的基本原理以及怎样能够更好的加以防范。 　　关键词：网络安全；拒绝服务攻击；类型；原理；防范措施 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）26-5818-02 　　随着技术的不断发展，互联网在给人带来方便、快捷的同时，也存在着着严重的安全隐患。拒绝服务（Denial of Service）在目前来说是一种严重威胁互联网系统且又遍布全世界的攻击。这种攻击是以损坏一些特定系统资源为主要目的，传输一些服务器本身不能自动修复和处理的不明软件系统，以此来影响网络，造成一些原本可以使用服务器的客户不能在正常的情况下运行。 　　1 拒绝服务攻击的含义 　　拒绝服务攻击（Denial of Service）是一种最为常见的攻击方式，由于其攻击目标仅仅是造成受害网络与信息系统无法正常对外提供服务，因此属于较为容易实施的一类攻击方式。同时，伴随着大规模僵尸网络的盛行，资源耗尽型拒绝服务攻击也格外便于实现并可能造成严重的后果。 　　2 拒绝服务攻击的分类 　　2.1 漏洞利用拒绝服务攻击 　　漏洞利用拒绝服务攻击是一种利用漏洞造成软件不能正常运行的攻击方式。这种拒绝服务不依赖大量傀儡机，也不需要发送大量访问请求，而仅仅是利用目标节点软件的安全漏洞，通过精心的构造恶意数据包，造成目标节点软件不能有效的运行。 　　2.2 分布式拒绝服务攻击 　　分布式拒绝服务（Distributed Denial of Serxrice，DDoS）攻击是一种资源耗尽型攻击，通常也被称作洪水攻击。顾名思义，即是利用分布于网络上的大量节点向同一目标节点发起的引起目标节点资源被大量消耗而不能正常对外提供服务的网络攻击方式。从技术原理上看，分布式拒绝服务攻击主要是指那些借助外界的平台，如客户或者是服务器本身，把不同的计算机系统联合在一起，对其进行必要的攻击，进而加倍的增强拒绝攻击的成果。一般情况，攻击者将分布式拒绝服务攻击的主控程序安装在一个用于控制的计算机上，将受控程序安装部署在因特网的多台计算机上。主控程序可以与受控程序进行通讯并控制受控程序的行为，当主控程序发送特定的指令时，受控程序即可根据指令发动攻击。 　　2.3 分布式反射拒绝服务攻击 　　分布式反射拒绝服务攻击（Distributed Reflection Denial of Service，DRDoS）是一种较新出现的资源耗尽型拒绝服务攻击。最早在2002年被发现，2002年1月11日凌晨两点，grc.conl遭到此类攻击，大量的ack应答造成了grc.corn陷于崩溃的边缘。与分布式拒绝服务攻击使用伪造源IP地址不同，分布式反射拒绝服务攻击的来源IP地址全是真实地址，这些真实的网络节点本身并没有安全漏洞，而是利用TCP三次握手来实现的。首先，攻击者通过控制的傀儡机使用受害者IP地址作为源地址向任意处于活动状态的网络节点（如核心路由器、域名服务器、大型网站等）发送带有SYN标记的数据包，也就是TCP三次握手的第一步；处于活动状态的网络节点接收到伪造源IP地址的数据包后，将会按照协议要求向受害者进行应答，发送带有SYN、ACK标记的应答数据包。当攻击者使用大量傀儡机同时发起攻击时，即完成了一次分布式反射拒绝服务攻击。 　　3 拒绝服务攻击的原理 　　拒绝服务攻击是一种广泛的系统漏洞，黑客们热衷于对它的研究，而无数的网络用户将成为这种攻击的受害者。它是一种简单的破坏性攻击，黑客通常利用TCP/IP中的某种漏洞，或者系统存在的某些漏洞，对目标系统发起大规模的攻击，使攻击目标失去工作能力，系统不可访问，合法用户不能及时得到服务或系统资源，如CPU处理时间与网络带宽等。其实，它最本质的特征是延长正常的应用服务的等待时间。 　　根据TCP/IP协议的原理，当客户端要和服务器进行通信时，会通过请求/确认的方式进行联系，例如用户登录服务器时，首先是用户向服务器发送请求信息，服务器给予响应回复客户端的请求，当被确认后，客户端才能正式和服务器交流信息。在拒绝服务攻击情况下，黑客凭借虚假地址向服务器提交连接请求，当然服务器回复信息时就送到这个虚假地址，但是服务器回传时却无法找到这个地址，根据TCP/IP连接原理，此时服务器会进行等待，达到超时设置时才会断开连接。如果攻击者传送多个这样的请求或利用多个站点同时传送这样的请求，那么服务器就会等待更长时间，这个过程周而复始，最终会导致服务器资源用尽，网络带宽用完，正常的服务请求不能被服务器处理及回