分布式拒绝服务攻击与防范_论文.docVIP

分布式拒绝服务攻击与防范 杨兴杰 （计算机科学技术学院网络工程12级1班35号） 摘 要：随着Internet的不断发展，人们对它的利用和依赖日益增加，而电子商务的不断普及和应用，对互联网的安全性提出了更高的要求。但由于各种网络系统包括有关软件、硬件的缺陷以及系统管理方面的漏洞，导致了许多安全隐患。互联网的攻击手段层出不穷，分布式拒绝服务（DDS）攻击就是其中最具破坏力的一种。分布式拒绝服务（DDS）攻击是从拒绝服务攻击（DS）演变而来的。由于其分布式的特征，使得攻击比传统的DS攻击拥有更多的攻击资源，具有更强的破坏力，而且更难以防范。加之结构简单、操作方便使它成为了攻击者最青睐的攻击手段。DDS攻击已经对Internet安全构成了极大的威胁，成为最难解决的网络安全问题之一，也是目前网络安全界研究的热点。对于分布式拒绝服务攻击而言，目前还没有比较完善的解决方案。分布式拒绝服务攻击是与目前使用的网络协议密切相关的，它的彻底解决即使不是不可能的，至少是极为困难的。最近几年，人们针对DDS攻 击从不同角度提出了不少防范措施。分布式拒绝服务,在当今的网络当中用户能够经常听见此类事件的发生，比如说唐山黑客事件中，所利用的黑客技术就是DDOS攻击。这种攻击方法的可怕之处是会造成用户无法对外进行提供服务，时间一长将会影响到网络流量，造成用户经济上的严重损失。从实际情况来说DDOS是不可能完全防范的，不过用户必须要从最大程度上做好防范DDOS攻击的措施，使用户在遭受DDOS攻击后的损失减至最低分布式拒绝服务1999年7月份左右，微软公司的视窗操作系统的一个bug被人发现和利用，并且进行了多次攻击，这种新的攻击方式被称为“分布式拒绝服务攻击”即为“DD”。单一的DS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。这时候分布式的拒绝服务攻击手段（DDS）就应运而生了DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源。高速广泛连接的网络给大家带来了方便，也为DDS攻击创造了极为有利的条件。攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。DDOS的攻击方法对DS而言，主要使用的攻击有3种，分别是TCP-SYN flood、UDP flood和ICMP flood。首先是请求服务方发送一个SYN消息，服务方收到SYN后，会向请求方回送一个SYN-ACK表示确认，当请求方收到SYN-ACK后，再次向服务方发送一个ACK消息，这样，一次TCP连接建立成功。但是TCP-SYN flood在实现过程中只进行前2个步骤：当服务方收到请求方的SYN-ACK确认消息后，请求方由于采用源地址欺骗等手段使得服务方收不到ACK回应，于是，服务方会在一定时间处于等待接收请求方ACK消息的状态。可用的TCP连接是有限的，如果恶意攻击方快速连续地发送此类连接请求，网络可用带宽迅速缩小，长此下去，网络将无法向用户提供正常的服务。由于UDP（用户数据包协议）在网络中的应用比较广泛，基于UDP攻击种类也较多。被DDS攻击时的现象.被攻击主机上有大量等待的TCP连接.网络中充斥着大量的无用的数据包，源地址为假 .制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯 .利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求 . .系统服务器CPU利用率极高，处理速度缓慢，甚至宕机 被DDS攻击后，服务器出现木马、溢出等异常现象我们该如何对付随时出现的黑客攻击呢？用足够的机器承受黑客攻击。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿。充分利用路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。关闭不必要的服务限制同时打开的Syn半连接数目缩短Syn半连接的time?out?时间防火墙?只要防火墙本身做的足够强壮，可以抵抗相当强度的SYN Flood攻击。路由器?Cisco路由器们可以首先在路由器上打开CEF功能、使用Unicast RPF，然后利用访问控制列表（ACL）过滤并设置SYN数据包流量速率或通过升级版本过低的ISO、为路由器建立log server等措施来建立安全防范。具体的使用方法是：1、使用 ip verfy unicast reverse-path 网络接口命令这个功能检查每一个经过