拒绝服务攻击原理及防范.docVIP

目 录 目 录 1 拒绝服务攻击原理及防范 3 摘要 3 关键字 3 1、什么是拒绝服务攻击 3 1.1、拒绝服务攻击基本概念 3 1.2、DoS攻击与DDoS攻击的比较 5 1.3、拒绝服务攻击时的现象 7 2、拒绝服务攻击的分类 7 2.1、属性分类法 8 2.1.1、攻击静态属性 8 2.1.2、攻击动态属性 8 2.1.3、交互属性 9 2.2、舞厅分类法 9 2.2.1、主干 10 2.2.2、舞伴类 11 2.2.3、风暴类 11 2.2.4、陷阱类 11 3、典型的拒绝服务攻击的实现 11 3.1、VMware构建虚拟攻击平台 11 3.1.1、VMware Workstation介绍 11 3.1.2、构建DDoS攻击实验网络 12 3.2、DDoS攻击者 14 4、拒绝服务攻击防范方法 19 4.1、冰盾抗DDoS防火墙 19 4.1.1、 冰盾防火墙采用的安全机制 20 4.1.2、 冰盾防火墙的功能特点 20 4.2、Mazu Enforcer 22 4.3、TopLayer 23 5、心得体会 24 6、参考文献 25 拒绝服务攻击防范 虚拟攻击实验内容涉及“DDoS攻击者”实施分布式拒绝服务攻击。使用Ethereal工具软件嗅探数据包，Active Port进行端口扫描，以及讨论冰盾抗DDoS防火墙的防御功能。 关键字： DoS攻击、DDoS攻击、VMware虚拟机、端口扫描、数据包嗅探 1、什么是拒绝服务攻击 1.1、拒绝服务攻击基本概念 （1）服务——是指系统提供的，用户在对其使用中会受益的功能。 （2）拒绝服务（DoS）——任何对服务的干涉如果使得其可用性降低或者失去可用性均称为拒绝服务，如果一个计算机系统崩溃或其带宽耗尽或其存储空间被填满，导致其不能提供正常的服务，就构成拒绝服务。 （3）拒绝服务（DoS）攻击——是攻击者通过某种手段，有意地造成计算机或网络不能正常运转从而不能像合法用户提供所需要的服务或者使得服务质量降低。 传统的计算机安全包括三个属性：保密性、完整性和可用性。对于保密性和完整性的攻击可以通过攻击一个东西即密码而获得成功。而对可用性的攻击，则有很多种途径。例如，攻击者可以通过发送大量的数据到受害者，达到拒绝服务攻击的目的，这种攻击在2000你那2月针对Yahoo、Amazon、eBay等以后受到广泛的关注。而如果攻击者可以介入到受害者及相应的服务之间，攻击者无需发送数据风暴即可实施DoS攻击。 （4）分布式拒绝服务（DDoS）攻击——如果处于不同位置的多个攻击者同时向一个或数个目标发起攻击，或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击，由于攻击的出发点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击。图1.1所示为典型的DDoS的示意图，其中的攻击者可以有多个。一般而言。除了规模以外，DDoS攻击与DoS攻击没有本质上的去呗，严格而言，DDoS攻击也是DoS攻击，只是把多个攻击主机发起的系统攻击特称为DDoS攻击。 图1.1 典型的DDoS攻击示意图 （5）DDoS网络——指DDoS攻击中牵涉的各方，他由攻击者（Attacker、Client）、控制台（Master、Handler）、攻击主机（傀儡机、Bot、Zombie）和受害者组成，如图1.1所示。一个攻击者可以控制多个控制台，一个控制台一般控制多个攻击主机。 为了攻击效果的缘故，受害者通常只有一个或是有紧密联系的多个（如同一个组织机构的数个网络或数台服务器）。比如，美国商务部拥有的全球根域名（Root Server）服务器共有13个，从美国东部时间2002年10月21日下午5点左右起，攻击者就同时对13个域名服务器进行了持续一个小时的DDoS结果只有4到5个服务器经受住了攻击并能继续提供服务，其余的服务器都瘫痪了。在这次攻击中，普通的网络用户的服务却没有收到影响。在此次时间中，攻击者很清楚，他们只有同事使得这13个服务器均不能使用，才能造成最严重的危害，单纯地瘫痪其中少数几个，意义不大，因为这些服务器据互相使冗余的。在此次攻击中，如果单独来看，每个根域名服务器都是一个受害者，从而就有13个受害者；如果因为这13个服务器提供的是同样的服务而把他们看做一个整体，则只有一个受害者。 1.2、 广义而言，DDoS攻击属于DoS攻击，狭义而言，DoS值得是单一攻击者针对单一受害者的攻击，如图1.2所示，这是传统的拒绝服务攻击。而DDoS攻击则是多个攻击者向同一个受害者发起攻击，其具有攻击来源的分散性和攻击力度的汇聚性，而攻击力度比单一的DoS攻击大恨多，这是相对较新型的拒绝服务攻击。DDoS攻击力度的汇聚性如图1.3所示。DDoS攻击一般都是用于一些需要靠规模才能奏效的攻击种