DOS攻击原理与防范措施.docxVIP

DDOS 攻击原理与防范措施 JW114043 丁晓娟 债要： DDoS 攻击手段是在传统的 DoS 攻击基础之上产生的一类攻击方式。单一的 DoS 攻击一般是采用一对一方式的，当攻击目标 CPU 速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得 DoS 攻击的困难程度加大了-目标对恶意攻击包的消化能力加强了不少。这时侯分布式的拒绝服务攻击手段（DDoS ）就应运而生了。分布式拒绝服务(DDoS:DistributedDenialof Service攻) 击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动 DoS 攻击，从而成倍地提高拒绝服务攻击的威力。 关键词：DDOS( 分布式拒绝服务攻击)、攻击运行原理、傀儡机、防范措施 引言 随着网络技术和网络应用的发展，网络安全问题显得越来越重要。拒绝服务攻击由于容易实施、难以防范、难以追踪等而成为最难解决的网络安全问题之一，给网络社会带来了极大的危害。同时，拒绝服务攻击也将是未来信息战的重要手段之一。因此，研究拒绝服务攻击及其对策是极为重要的。 分布式拒绝服务攻击(DDOS) DDOS 攻击现象 被攻击主机上有大量等待的TCP 连接 网络中充斥着大量的无用的数据包，源地址为假 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求 严重时会造成系统死机 DDOS 攻击原理 图 1.1 DDOS 攻击体系 如图 1.1，一个比较完善的 DDoS 攻击体系分成四大部分，先来看一下最重要的第 2 和第 3 部分：它们分别用做控制和实际发起攻击。请注意控制机与攻击 机的区别，对第 4 部分的受害者来说，DDoS 的实际攻击包是从第 3 部分攻击傀 儡机上发出的，第 2 部分的控制机只发布命令而不参与实际的攻击。对第 2 和第 3 部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS 程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。 一般情况下黑客不直接去控制攻击傀儡机，而要从控制傀儡机上中转一下，这就 导致 DDoS 攻击难以追查。攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。 DDOS 攻击步骤 搜集了解目标的情况（下列情况是黑客非常关心的情报）：被攻击目标主机数目、地址情况 目标主机的配置、性能目标的带宽 占领傀儡机（黑客最感兴趣的是有下列情况的主机）： 链路状态好的主机、性能好的主机、安全管理水平差的主机 实际攻击 经过前 2 个阶段的精心准备之后，黑客就开始准备对既定目标进行攻击了。前面的准备做得好的话，实际攻击过程是比较简单的。如图示，黑客登录到做为控制台的傀儡机，向所有的攻击机发出攻击命令。这时候埋伏在攻击机中的 DDoS 攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击，以期造成严重的后果。 DDOS 防范措施 1. 主机上的设置 几乎所有的主机平台都有抵御 DoS 的设置，总结一下，基本的有几种： 关闭不必要的服务 限制同时打开的 Syn 半连接数目 缩短 Syn 半连接的 time out时间 及时更新系统补丁2．网络设备上的设置 企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备，在进行防 DDoS 设置的同时，要注意一下这是以多大的效率牺牲为代价的， 对特定的对象来说是否值得。 （1）防火墙 禁止对主机的非开放服务的访问限制同时打开的 SYN 最大连接数限制特定 IP地址的访问 启用防火墙的防 DDoS 的属性 严格限制对外开放的服务器的向外访问 第五项主要是防止自己的服务器被当做工具去害人。 （2）.路由器以 Cisco路由器为例 Cisco Express Forwardi（ngCEF ）使用 unicast reverse-path 访问控制列表（ACL ）过滤设置 SYN 数据包流量速率升级版本过低的 ISO 为路由器建立 log server