计算机安全技术大作业实验报告-DDoS攻击的原理及防范

1、上海电力学院计算机安全技术大作业题目:DDo畋击的原理及防范学号：学生姓名：院系：专业：班级：2012年5月28日摘要：DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式，他借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍的提高拒绝服务攻击的威力。关键字：DDoS攻击，DoS攻击，SYN攻击，Smurf攻击，攻击原理，防御办法，傀儡机引言：DDoS是DistributedDenialofService的简写，意为分布式拒绝服务攻击，是对DoS（DenialofService）拒绝服务攻击的发展。这里，我们先来了解一下什么是DoS。正

2、文：【DoS攻击简介】DoS攻击的目的是使目标计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击就是以庞大的通信量冲击网络，使所有可用的网络资源都被耗尽，最后导致合法用户的请求无法通过；类似于一大群人同时冲向一个安全出口，则会造成安全出口的阻塞，导致其他人都无法通过出口。而连通性攻击是指使用大量的连接请求冲击服务器，使所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求；即服务器忙于处理攻击者的连接请求而无暇理睬合法用户的正常请求，此时从合法用户的角度来看就是服务器失去响应。Smurf攻击（带宽攻击）Smurf攻击并不直接对目标主机发

3、送服务请求包，攻击者在远程机器上发送ICMP答应请求ping服务，但这个ping命令的目的地址不是某个主机的IP地址，是某个网络的广播地址（即目标IP地址为“FFFFFFFF”），并且这个ping命令的源地址被伪造成了将要攻击的主机IP地址。这样，收到广播ping命令后的主机，都会按数据包中所谓的源IP地址返回请求信息，向被攻击的主机发送echo响应包作为回答。大量同时返回的echo响应数据包会造成目标网络严重拥塞、丢包，甚至完全崩溃。SYN攻击（连通性攻击）SYN攻击是利用现有TCP/IP协议族的设计弱点和缺陷。在TCP/IP协议的三次握手协议过程如下：（1）第一次握手。客户端发送SYN包到

4、服务器，向服务端提出连接请求，这时TCPSYN标志置位（SYN=j）,客户端在TCP包头的序列号区中插入白己的ISN。（2）第二次握手。服务器收到客户的请求信息，必须回应一个确认信号，确认客户的SYN（ACK标志置位为j+1），同时也发送一个白己的SYN包（SYN置位为k）,即SYN+ACK包，此时服务器进入SYN_RECV状态。（3）第三次握手。客户端收到服务器的SYN+ACK包,想月居器发送确认包ACK（ACK置位为k+1）,此包发送完毕标志建立了完整的TCP连接，客户端和服务器进入ESTABLISHED状态，可以开始全双工模式的数据传输过程。假设一个用户想服务器发送了SYN报文后突然死机

5、或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），在这种情况下服务器端一般会重试（再次发送SYN+ACK）给客户端，并且等待一段时间后丢弃这个未完成的连接，这段时间的长度一般是30秒2分钟。如果一个用户出现异常导致服务器的一个线程等待1分钟并不是大问题，但如果有一个恶意攻击者大量模拟这种情况，服务器端为了维护一个非常大的半连接列表而消耗非常多的资源一一数以万计的半连接，即使是简单的保存及遍历也会非常消耗很多的CPU时间和内存，何况还要不断对这个半连接列表中的IP进行SYN+ACK的重试。如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈

6、溢出崩溃一一及时服务器的系统足够强大，服务器端也会忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求。这种情况叫做服务器端收到了SYNFlood攻击（SYN洪水攻击）。【DDOS攻击原理简介】DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，它的攻击方法说白了就是单挑，是比谁的机器性能好、速度快。当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高时，他的效果是明显的。但随着计算机处理能力的迅速增长，内存大大增加，CPU运算能力越来越强大，这使得DoS攻击的困难程度加大了。被攻击者对恶意攻击包的抵抗能力加强的不少。这时候

7、分布式的拒绝服务攻击手段就应运而生了。所谓分布式拒绝服务（DDoS）攻击是指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍的提高拒绝服务攻击的威力。如图，一个比较完善的DDoS攻击体系分成四大部分。第1部分：由黑客操控的主控计算机；第2部分：由黑客直接控制的控制傀儡机；第3部分：由控制傀儡机控制的攻击傀儡机；第4部分：受害者。其中第2部分可由多台控制傀儡机构成。对受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制傀儡及只发命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DD

8、oS程序传到这些平台上，这些程序与正常程序一样运行，并等待来白黑客的指令，通常这些程序还会利用各种手段隐藏白己不被别人发现。在平时，这些傀儡机器并没有什么异常，但一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为打手去对受害者发起攻击了。一般情况下黑客不直接控制第3部分的攻击傀儡机，而要从控制傀儡机上中转一下，这就导致DDoS攻击难以追查。攻击者为了反侦察，都会清理日志擦掉脚印。狡猾的攻击者不会清空日志，这样容易被人发觉，黑客们会挑有关白己不良行为的日志项目删掉，让人看不到异常情况。这样可以长时间的利用控制傀儡机。在傀儡机上清理日志是一项庞大的工程，所以黑客一般控制少数的控制傀儡机

9、就足够了，而控制傀儡机一台就可以控制几十台攻击机。【DDoS的防范】对于Smurf类型DDoS攻击的防范首先，千万不能让白己网络里的人发起这样的攻击。在Smurf攻击中，有大量的源欺骗的IP数据包离开了第一个网络。所以我们通过在局域网的边界路由器上使用输出过滤，从而阻止白己网络中其他人向局域网外发送的源欺骗Smurf攻击。在路由器上增加这类过滤规则的命令是：Access-list100permitIP（你的网络号（你的网络子网掩码any】Access-list100denyIPanyany其次，停止白己的网络作为中间代理。如果没有必须要向外发送广播数据包的情况，就可以在路由器的每个接口上设置禁

10、止直接广播，命令如下：【noipdirected-broadcast如果白己所在的网络比较大，具有多个罗尤其，那么可以在边界路由器上使用以下命令：【ipverifyunicastreverse-path!让路由器对具有相反路径的ICMP欺骗数据包进行校验，丢弃那些没有路径存在的包。最好是运行Cisco快速转发，或者其他相应的软件。这是因为在路由器的CEF表中，列出了该数据包所到达网络接口的所有路由项，如果没有该数据包源IP地址的路由，路由器将丢弃该数据包。例如，路由器接收到一个源IP地址为的数据包，如果CEF路由表中没有为IP地址提供任何路由（即反向数据包传输时所需

11、的路由），则路由器会丢弃它。对于SYN类型DDoS攻击的防范：到目前为止，进行SYN类型的DDoS攻击的防御还是比较困难的。这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP,才有可能完全抵御住DDoS攻击。虽然它难于防范，但防止DDoS并不是绝对不可行的事情。互联网的使用者是各种各样的，与DDoS做斗争，不同的角色有不同的任务：企业网管理员ISP、ICP管理员骨干网络运营商企业网管理员：网管员做为一个企业内部网的管理者，往往也是安全员、守护神。在他维护的网络中有一些服务器需要向外提供WWW服务，因而不可避免地成为DDoS的攻击目标，可以从主机与网络设备两个角度去考虑如何防

12、御：1. 主机上的设置几乎所有主机平台都有抵御DDoS的设置，总结为以下几种：1）关闭不必要的服务2）限制同时打开的SYN半连接数目3）缩短SYN半连接的timeout时间4）及时更新系统补丁2. 网络设备上的设置企业网的网络设备可以从防火墙和路由器上考虑。这两个设备是到外界的接口设备，在进行防DDoS设置的同时，要注意一下这是以多大的效率牺牲为代价的，对特定的对象来说是否值得。1）防火墙a）禁止对主机的非开放服务的访问b）限制同时打开的SYN最大连接数c）限制特定IP地址的访问d）启用防火墙的防DDoS的属性e）严格限制对外开放的服务器的向外访问2）路由器（以Cisco路由器为例）a）使用u

13、nicastreverse-pathb）访问控制列表（ACL）过滤c）设置SYN数据包流量速率d）升级版本过低的ISOe）为路由器建立logserverISP/ICP管理员ISP/ICP为很多中小型企业提供了各种规模的主机托管业务，所以在防DDoS时，除了与企业网管理员一样的手段外，还要特别注意白己管理范围内的客户托管主机不要成为傀儡机。客观上说，这些托管主机的安全性普遍是很差的，有的连基本的补丁都没有打就赤膊上阵了，成为黑客最易控制的傀儡机，托管的主机大都是高性能、高带宽的，往往适合用做DDos攻击。所以要加强对托管主机的安全性能的提升骨干网络运营商骨干网路运营商提供了互联网存在的物理基础。

14、如果骨干网络运营商可以很好地合作的话，DDoS攻击能很好地被预防。在2000年yahoo等知名网站被攻击后，美国的网络安全研究机构提出了骨干运营商联手来解决DDoS攻击的方案。方法很简单，就是每家运营商在白己的出口路由器上进行源IP地址的验证，如果在白己的路由表中没有到这个数据包源IP的路由，就丢掉这个包。这种方法可以阻止黑客利用伪造的源IP来进行DDoS攻击。不过同样，这样做会降低路由器的效率，这也是骨干运营商非常关注的问题，所以这种做法真正采用起来还很困难。对DDoS的应付方法的研究一直在进行中，找到一个既有效又切实可行的方案不是一朝一夕的事情。但目前至少可以做到把白己的网络与主机维护好，

15、首先让白己的主机不成为别人利用的对象去攻击别人；其次，在受到攻击的时候，要尽量地保存证据，以便事后追查，一个良好的网络和日志系统是必要的。无论DDoS的防御向何处发展，这都将是一个社会工程，需要IT界一起关注，通力合作。总结：在写论文的过程中，我通过翻看书本，查阅资料，回忆上课内容，对DoS攻击以及DDoS攻击的攻击原理有了非常准确的把握，能够比较清楚的对其工作原理进行描述，了解其攻击工作机制；对TCP/IP协议下的网络安全形势有了一定了解。而对于DDoS攻击的防范也进行了一些了解，能做到白己不会成为被控制的傀儡机，保护白己所在局域网不会有人发起Smurf攻击，以及如果作为网络管理员该如何应对DDoS攻击。参考文献：1 网络技术