1
(售后服务)分布式拒绝服
务攻击与防范论文
XXXXXXXX学院
专科毕业设计(论文)
题目 拒绝服务攻击和防范
学生姓名
专业班级
学号
系别 计算机系
指导教师(职称)
完成时间
分布式拒绝服务攻击和防范
摘要
随着 Internet的不断发展,人们对它的利用和依赖日益增加,而电子商务的
不断普及和应用,对互联网的安全性提出了更高的要求。但由于各种网络系统包括
有关软件、硬件的缺陷以及系统管理方面的漏洞,导致了许多安全隐患。互联网的
攻击手段层出不穷,分布式拒绝服务(DDoS)攻击就是其中最具破坏力的壹种。分
布式拒绝服务(DDoS)攻击是从拒绝服务攻击(DoS)演变而来的。由于其分布式
的特征,使得攻击比传统的 DoS攻击拥有更多的攻击资源,具有更强的破坏力,而
且更难以防范。加之结构简单、操作方便使它成为了攻击者最青睐的攻击手段。DDoS
攻击已经对 Internet安全构成了极大的威胁,成为最难解决的网络安全问题之壹,
也是目前网络安全界研究的热点。对于分布式拒绝服务攻击而言,目前仍没有比较
完善的解决方案。分布式拒绝服务攻击是和目前使用的网络协议密切关联的,它的
彻底解决即使不是不可能的,至少是极为困难的。最近几年,人们针对 DDoS攻击
从不同角度提出了不少防范措施。
关键词拒绝服务攻击/分布式拒绝服务攻击/防范
DISTRIBUTEDDENIALOFSERVICEATTACKSANDTHEDEFENSE
ABSTRACT
WiththedevelopmentofInternet,itleadstoaffectandimpulsetopeople’sli
ctronicBusinessAffairs,thesecurityofInternetisbecomingmoreandmoreimpo
,includingsoftwaresandhardw
ares’bugs,aswellasholesinmanagement,whichleadtoalotofhiddentroubles.
DistributedDenialofService(DDoS)Attackisthemostdestructiveattackingme
ans,(DoS)Attac
,DDoSattackspossesmoreattackresour
,asaresultofit’ssimplestruc
tureandconvenientoperation,
acksbringmuchgreatthreatstoInternetsecurity,itconstituteoneoftheharde
stsecuretyproblemsintoday’sInternetandresearchonithasbecomeahotspoti
’sInternetclosely,therefor
,defensemeasurestoDDoSarepro
motedfromdifferentangles.
KEYWORDSDenialofService,DistributedDenialofService,Defense
目录
1 分布式拒绝服务的由来及原理 5
分布式拒绝服务的起源 5
分析分布式拒绝服务攻击的原理 5
2 DDOS的表现 8
以及 DDoS的攻击方法 8
被 DDoS攻击时的现象 8
DDOS的表现形式 10
3 DDoS攻击的防御策略 12
几种常用的安全措施:12
防火墙 12
路由器 13
使用专业 DDOS防御设备 15
ISP / ICP管理员 15
骨干网络运营商 15
结束语:17
致 谢 18
参考文献 19
1分布式拒绝服务的由来及原理
分布式拒绝服务的起源
分布式拒绝服务用户对于这个话题似乎已经不再陌生,于当今的网络当中用
户能够经常听见此类事件的发生,比如说唐山黑客事件中,所利用的黑客技术就
是 DDOS攻击。这种攻击方法的可怕之处是会造成用户无法对外进行提供服务,
时间壹长将会影响到网络流量,造成用户经济上的严重损失。造成这种类型攻击
的最主要原因就是商业竞争、打击报复和网络敲诈等多种因素,从实际情况来说
DDOS是不可能完全防范的,不过用户必须要从最大程度上做好防范 DDOS攻击的
措施,使用户于遭受 DDOS攻击后的损失减至最低。英文名 DDOS,是
DistributedDenialofService的缩写,俗称洪水攻击。分布式拒绝服务的起源:
1999年 7月份左右,微软公司的视窗操作系统的壹个 bug被人发现和利用,
且且进行了多次攻击,这种新的攻击方式被称为“分布式拒绝服务攻击”即为
“DDos(DistributedDenialOfServiceAttacks)”。这也是壹种特殊形式的拒绝
服务攻击。单壹的 DoS攻击壹般是采用壹对壹方式的,当攻击目标 CPU速度低、
内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机和
网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千
兆级别的网络,这使得 DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能
力"加强了不少,例如你的攻击软件每秒钟能够发送 3,000个攻击包,但我的主
机和网络带宽每秒钟能够处理 10,000个攻击包,这样壹来攻击就不会产生什么
效果。这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了
DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利
用的主机)向受害主机发送大量见似合法的网络包,从而造成网络阻塞或服务器
资源耗尽而导致拒绝服务,分布式拒绝服务攻击壹旦被实施,攻击网络包就会犹
如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常
访问服务器的网络资源。
分析分布式拒绝服务攻击的原理
DoS(拒绝服务)的英文全称是 DenialofService。它的目的就是拒绝你的服务
访问,破坏组织的正常运行,最终会使你的部分 Internet连接和网络系统失效。
DoS的攻击方式是利用合理的服务请求来占用过多的服务资源,从而使合法用户
无法得到服务。随着网络的迅猛发展以及电子商务的兴起,DoS攻击迅速发展成
为壹种隐蔽性强、破坏性大的黑客攻击手段。拒绝服务攻击分类:
常见的 Dos攻击类型有四种:
壹带宽消耗攻击者消耗掉某个网络的所有可用带宽。攻击者本身有更多的可
用带宽或征用多个站点集中拥塞受害者的网络连接。
二资源衰竭攻击者消耗掉诸如 CPU利用率,内存之类的系统资源。攻击者拥
有壹定数量的系统资源的合法访问权,但滥用其消耗额外的资源。
三编程缺陷是指应用程序或者操作系统于处理异常条件是时的失败。每个程
序、操作系统均有缺陷,攻击者利用这个规律,向目标系统发送非正常格式的分
组让网络协议栈或系统陷入异常。
四路由和 DNS攻击操纵路由表项(利用路由协议认证机制的弱点,变换合法
路径);改变受害者 DNS高速缓存的正确地址信息。
拒绝服务攻击的进壹步发展——分布式 DOS攻击,是壹种基于 DoS的特殊形
式的拒绝服务攻击,是壹种分布、协作的大规模攻击方式,主要瞄准比较大的站
点,像商业公司、搜索引擎和政府部门的站点。DDoS攻击是利用壹批受控制的机
器向某壹台机器发起攻击,攻击者实用的计算机数量和能占用的带宽是没有限制
的,因此具有极大的破坏性。
凡是能导致合法用户不能够访问正常网络服务的行为均算是拒绝服务攻击。
也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的
访问,从而达成攻击者不可告人的目的。
虽然同样是拒绝服务攻击,可是 DDOS和 DOS仍是有所不同,DDOS的攻击策
略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害
主机发送大量见似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒
绝服务,分布式拒绝服务攻击壹旦被实施,攻击网络包就会犹如洪水般涌向受害
主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络
资源,因此,拒绝服务攻击又被称之为“洪水式攻击”,常见的 DDOS攻击手段有
SYNFlood、ACKFlood、UDPFlood、ICMPFlood、TCPFlood、ConnectionsFlood、
ScriptFlood、ProxyFlood等;而 DOS则侧重于通过对主机特定漏洞的利用攻击
导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造
成拒绝服务,常见的 DOS攻击手段有 TearDrop、Land、Jolt、IGMPNuker、
Boink、Smurf、Bonk、OOB等。如果说计算机和网络的处理能力加大了 10倍,用
壹台攻击机来攻击不再能起作用的话,攻击者使用 10台攻击机同时攻击呢?用
100台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻
受害者
图 分布式拒绝服务攻击原理
从图中能够见出,DDoS的攻击分为三层:攻击者、主控端和代理端,三者于
攻击中扮演着不同的角色。
攻击者攻击者所用的计算机是攻击主控台。攻击者操纵整个攻击过程,且向
主控端发送攻击命令。
主控端主控端是攻击者非法侵入且控制的壹些主机,这些主机仍分别控制着
大量的代理主机。主控端主机的上面安装了特定的程序,因此它们能够接受攻击
者发来的特殊指令,且且能够把这些命令发送到代理主机上。设置主控端的目的
是隔离网络联系,保护攻击者于攻击时不受监控系统的跟踪,同时能更好的协调
进攻。
代理端代理端同样是攻击者侵入且控制的壹批主机,于它们的上面运行攻击
器程序,接受和运行主控端发来的命令。代理端主机是攻击的直接执行者。
攻击者发起 DDoS攻击的第壹步就是于 Internet上寻找有漏洞的主机,进入
系统后于其上面安装后门程序,获得对系统的直接访问权。第二步是于入侵主机
上安装攻击程序,让壹部分主机充当攻击的主控端,另壹部分主机充当攻击的代
理端,最后于攻击者的调遣下对攻击对象发起攻击。
由于攻击者的位置灵活,又使用了常见的协议,因此于攻击时不会受到监控
系统的跟踪,身份也不易被发现。
高速广泛连接的网络给大家带来了方便,也为 DDoS攻击创造了极为有利的
条件。于低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标
网络距离近的机器,因为经过路由器的跳数少,效果好。而当下电信骨干节点之
间的连接均是以 G为级别的,大城市之间更能够达到 的连接,这使得攻击
能够从更远的地方或者其他城市发起,攻击者的傀儡机位置能够于分布于更大的
范围,选择起来更灵活了。
2DDOS的表现
以及 DDoS的攻击方法
对 DoS 而言,其攻击方式很多,主要使用的攻击有 3种,分别是
TCP-SYNflood、UDPflood和 ICMPflood。当用户进行壹次标准的 TCP连接时,会
有壹个 3次握手过程。首先是请求服务方发送壹个 SYN消息,服务方收到 SYN后,
会向请求方回送壹个 SYN-ACK表示确认,当请求方收到 SYN-ACK后,再次向服务
方发送壹个 ACK消息,这样,壹次 TCP连接建立成功。可是 TCP-SYNflood 于实
现过程中只进行前 2个步骤:当服务方收到请求方的 SYN-ACK确认消息后,请求
方由于采用源地址欺骗等手段使得服务方收不到 ACK回应,于是,服务方会于壹
定时间处于等待接收请求方 ACK消息的状态。对于某台服务器来说,可用的 TCP
连接是有限的,如果恶意攻击方快速连续地发送此类连接请求,该服务器可用的
TCP连接队列将很快被阻塞,系统可用资源急剧减少,网络可用带宽迅速缩小,
长此下去,网络将无法向用户提供正常的服务。由于 UDP(用户数据包协议)于
网络中的应用比较广泛,基于 UDP攻击种类也较多。如今于 Internet上提供 WWW
和 Mail等服务设备通常是使用 Unix的服务器,它们默认壹些被恶意利用的 UDP
服务,如 echo和 chargen服务,它会显示接收到的每壹个数据包,而原本作为
测试功能的 chargen服务会于收到每壹个数据包时随机反馈壹些字符,如果恶意
攻击者将这 2个 UDP服务互指,则网络可用带宽将很快耗尽。
目前,我们知道的对网络进行 DDoS攻击所使用的工具有:Trinoo、
TribeFloodNetwork(TFN)、TFN2k和 Stacheldraht等。它们的攻击思路基本相近。
1.Trinoo:它是基于 UDPflood的攻击软件,它向被攻击目标主机的随机端
口发出全零的 4字节 UDP包,于处理这些超出其处理能力垃圾数据包的过程中,
被攻击主机的网络性能不断下降,直到不能进行使用。此攻击方法用得不多。
2.TFN:它是利用 ICMP给代理服务器下命令,其来源能够做假。它能够发
动 SYNflood、UDPflood、ICMPflood及 Smurf(利用多台服务器发出海量数据包,
实施 DoS攻击)等攻击。TFN 的升级版 TFN2k的特点是:对命令数据包加密、更
难查询命令内容、命令来源能够做假,仍有壹个后门控制代理服务器
3.Stacheldraht:对命令来源做假,而且能够防范壹些路由器用 RFC2267
过滤。若检查出有过滤现象,它将只做假 IP地址最后 8位,从而让用户无法了
解到底是哪几个网段的哪台机器被攻击。此外,它仍具有自动更新功能,可随软
件的更新而自动更新。
像 Trinoo和 TFN等攻击软件均是能够从网上随意找到的公开软件,所以任
何壹个上网者均可能构成网络安全的潜于威胁。
被 DDoS攻击时的现象
1.被攻击主机上有大量等待的 TCP连接
2.网络中充斥着大量的无用的数据包,源地址为假
3.制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯
4.利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服
务请求,使受害主机无法及时处理所有正常请求
5..系统服务器 CPU利用率极高,处理速度缓慢,甚至宕机
6.被 DDoS攻击后,服务器出现木马、溢出等异常现象
当对壹个 Web站点执行 DDoS攻击时,这个站点的壹个或多个 Web服务会接
到非常多的请求,最终使它无法再正常使用。于壹个 DDoS攻击期间,如果有壹
个不知情的用户发出了正常的页面请求,这个请求会完全失败,或者是页面下载
速度变得极其缓慢,见起来就是站点无法使用。典型的 DDoS攻击利用许多计算
机同时对目标站点发出成千上万个请求。为了避免被追踪,攻击者会闯进网上的
壹些无保护的计算机内,于这些计算机上藏匿 DDoS程序,将它们作为同谋和跳
板,最后联合起来发动匿名攻击。
于我国,DDOS攻击多数来自美国,占 39%,而中国是拒绝服务攻击的主要
目标,占 63%。这是亚太及日本地区互联网安全威胁方案中的壹部分数据。中国
成为 DDoS攻击的主要目标。据介绍,凡是能导致合法用户不能够访问正常网络
服务的行为均属“拒绝服务攻击”。出于商业竞争、打击报复和网络敲诈等多种
因素,导致很多 IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商
长期以来壹直被 DDOS攻击所困扰,随之而来的是客户投诉、同虚拟主机用户受
牵连、法律纠纷、商业损失等壹系列问题,因此,解决 DDOS攻击问题成为网络
服务商必须考虑的头等大事。
图 2-1DDOS攻击演示图
的表现形式
DDOS的表现形式主要有俩种,壹种为流量攻击,主要是针对网络带宽的攻击,
即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达
主机;另壹种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击
包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。
如何判断网站是否遭受了流量攻击呢?可通过Ping命令来测试,若发现Ping
超时或丢包严重(假定平时是正常的),则可能遭受了流量攻击,此时若发现和你
的主机接于同壹交换机上的服务器也访问不了了,基本能够确定是遭受了流量攻
击。当然,这样测试的前提是你到服务器主机之间的 ICMP协议没有被路由器和
防火墙等设备屏蔽,否则可采取 Telnet主机服务器的网络服务端口来测试,效
果是壹样的。不过有壹点能够肯定,假如平时 Ping你的主机服务器和接于同壹
交换机上的主机服务器均是正常的,突然均 Ping不通了或者是严重丢包,那么
假如能够排除网络故障因素的话则肯定是遭受了流量攻击,再壹个流量攻击的典
型现象是,壹旦遭受流量攻击,会发现用远程终端连接网站服务器会失败。
相对于流量攻击而言,资源耗尽攻击要容易判断壹些,假如平时 Ping网站
主机和访问网站均是正常的,发现突然网站访问非常缓慢或无法访问了,而 Ping
仍能够 Ping通,则很可能遭受了资源耗尽攻击,此时若于服务器上用 Netstat-na
命令观察到有大量的 SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存于,而
ESTABLISHED很少,则可判定肯定是遭受了资源耗尽攻击。仍有壹种属于资源耗
尽攻击的现象是,Ping自己的网站主机 Ping不通或者是丢包严重,而 Ping和自
己的主机于同壹交换机上的服务器则正常,造成这种原因是网站主机遭受攻击后
导致系统内核或某些应用程序 CPU利用率达到 100%无法回应 Ping命令,其实带
宽仍是有的,否则就 Ping不通接于同壹交换机上的主机了。
面对凶多吉少的 DDoS险滩,我们该如何对付随时出现的黑客攻击呢?
3DDoS攻击的防御策略
几种常用的安全措施:
由于 DDoS的攻击具有隐蔽性,到目前为止我们仍没有发现防备攻击的行之
有效的方法。首先,这种攻击的特点是它利用了 TCP/IP协议的漏洞,除非你不
用 TCP/IP,才有可能完全抵御住 DDoS攻击。壹位资深的安全专家给了个形象的
比喻:DDoS就好象有 1,000个人同时给你家里打电话,这时候你的朋友仍打得进
来吗?除加强安全防范意识,提高网络系统的安全性外,仍能够采取下面几种安
全措施:
用足够的机器承受黑客攻击。这是壹种较为理想的应对策略。如果用户拥有
足够的容量和足够的资源给黑客攻击,于它不断访问用户、夺取用户资源之时,
自己的能量也于逐渐耗失,或许未等用户被攻死,黑客已无力支招儿。
和你的 ISP协调工作,让他们帮助你实施正确的路由访问控制策略以保护带
宽和内部网络。
于网络管理方面,优化路由和网络结构,经常检测网络安全设备配置信息,
注意查见每天的安全日志。充分利用网络设备保护网络资源。所谓网络设备是指
路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当 Yahoo!被
攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复
正常,而且启动起来仍很快,没有什么损失。若其他服务器死掉,其中的数据会
丢失,而且重启服务器又是壹个漫长的过程,相信没有路由器这道屏障,Yahoo!
会受到无法估量的重创。
关闭不必要的服务,限制同时打开的 Syn半连接数目,缩短 Syn半连接的
timeout时间,及早发现系统存于的攻击漏洞,及时安装系统补丁程序。对壹些
重要的信息建立和完善备份机制,对壹些特权帐号的密码设置要谨慎。
当你发现计算机被攻击者用做主控端或代理端时,要倍加留意。这说明攻击
者已发现你的系统漏洞,要及时清除系统中存于的 DDoS攻击的工具软件。
当你发现自己正遭受 DDoS攻击时,应立即关闭系统,或至少切断和网络的
连接,保存入侵的记录让安全组织来研究分析。
防火墙
防火墙就是壹个位于计算机和它所连接的网络之间的软件。该计算机流入流
出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这
样能够过滤掉壹些攻击,以免其于目标计算机上被执行。防火墙仍能够关闭不使
用的端口。而且它仍能禁止特定端口的流出通信它能够禁止来自特殊站点的访问,
从而防止来自不明入侵者的所有通信。
壹般说来,防火墙能够工作于 TCP层之上或 IP层之下,工作于 TCP层之上
的防火墙称为网关型防火墙,网关型防火墙布局中,客户机和服务器之间且没有
真正的 TCP连接,客户机和服务器之间的所有数据交换均是通过防火墙代理的,
外部的 DNS解析也同样指向防火墙,所以如果网站被攻击,真正受到攻击的是防
火墙,这种防火墙的优点是稳定性好,抗打击能力强,可是因为所有的 TCP报文
均需要经过防火墙转发,所以效率比较低由于客户机且不直接和服务器建立连接,
于 TCP连接没有完成时防火墙不会去向后台的服务器建立新的 TCP连接,所以攻
击者无法越过防火墙直接攻击后台服务器,只要防火墙本身做的足够强壮,这种
架构能够抵抗相当强度的 SYNFlood攻击。可是由于防火墙实际建立的 TCP连接
数为用户连接数的俩倍(防火墙俩端均需要建立 TCP连接),同时又代理了所有
的来自客户端的 TCP请求和数据传送,于系统访问量较大时,防火墙自身的负荷
会比较高,所以这种架构且不能适用于大型网站。
工作于 IP层或 IP层之下的称为路由型防火墙,其工作原理有所不同:客户
机直接和服务器进行 TCP连接,防火墙起的是路由器的作用,它截获所有通过的
包且进行过滤,通过过滤的包被转发给服务器,外部的 DNS解析也直接指向服务
器,这种防火墙的优点是效率高,能够适应 100Mbps-1Gbps的流量,可是这种防
火墙如果配置不当,不仅能够让攻击者越过防火墙直接攻击内部服务器,甚至有
可能放大攻击的强度,导致整个系统崩溃。
于这俩种基本模型之外,有壹种新的防火墙模型,它集中了俩种防火墙的优
势,这种防火墙的工作原理如下所示:第壹阶段,客户机请求和防火墙建立连接
第二阶段,防火墙伪装成客户机和后台的服务器建立连接第三阶段,之后所有从
客户机来的 TCP报文防火墙均直接转发给后台的服务器。这种结构吸取了上俩种
防火墙的优点,既能完全控制所有的 SYN报文,又不需要对所有的 TCP数据报文
进行代理,是壹种俩全其美的方法。近来,国外和国内的壹些防火墙厂商开始研
究带宽控制技术,如果能真正做到严格控制、分配带宽,就能很大程度上防御绝
大多数的 SYN攻击。
路由器
例 如 Cisco路 由 器 我 们 能 够 首 先 于 路 由 器 上 打 开 CEF功 能
( CiscoExpressForwarding) 、 使 用 UnicastRPF
(UnicastReversePathForwarding),然后利用访问控制列表(ACL)过滤且设
置 SYN数据包流量速率或通过升级版本过低的 ISO、为路由器建立 logserver等
措施来建立安全防范。具体的使用方法是:1、使用 ipverfyunicastreverse-path
网络接口命令
这 个 功 能 检 查 每 壹 个 经 过 路 由 器 的 数 据 包 。 于 路 由 器 的 CEF
(CiscoExpressForwarding)表该数据包所到达网络接口的所有路由项中,如果
没有该数据包源 IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到
壹个源 IP地址为 的数据包,如果 CEF路由表中没有为 IP地址
提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。
单壹地址反向传输路径转发(UnicastReversePathForwarding)于 ISP(局
端)实现阻止 SMURF攻击和其它基于 IP地址伪装的攻击。这能够保护网络和客
户免受来自互联网其它地方的侵扰。使用 UnicastRPF需要打开路由器的
"CEFswithing"或"CEFdistributedswitching"选项。不需要将输入接口配置为
CEF交换(switching)。只要该路由器打开了 CEF功能,所有独立的网络接口均
能够配置为其它交换(switching)模式。RPF(反向传输路径转发)属于于壹个
网络接口或子接口上激活的输入端功能,处理路由器接收的数据包。于路由器上
打开 CEF功能是非常重要的,因为 RPF必须依靠 CEF。UnicastRPF包含于支持 CEF
的 及之上版本中,但不支持 或 版本。
2、使用访问控制列表(ACL)过滤 RFC1918中列出的所有地址
如:
interfacexy
ipaccess-group111in
access-list111permitipanyany
3、参照 rfc2267,使用访问控制列表过滤进出报文
如:
{ISP中心}--ISP端边界路由器--客户端边界路由器--{客户端网络}
ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络
则应该只接受源地址未被客户端网络过滤的通信。如果打开了 CEF功能,通过使
用单壹地址反向路径转发(UnicastRPF),能够充分地缩短访问控制列表(ACL)
的长度以提高路由器性能。为了支持 UnicastRPF,只需于路由器完全打开 CEF;
打开这个功能的网络接口且不需要是 CEF交换接口。
4、使用 CAR(ControlAccessRate)限制 ICMP数据包流量速率
如:
interfacexy
rate-limitoutputaccess-group20203000000512000786000conform-action
transmitexceed-actiondrop
access-list2020permiticmpanyanyecho-reply
5、设置 SYN数据包流量速率如:interface{int}
rate-limitoutputaccess-group15345000000100000100000conform-action
transmitexceed-actiondrop
rate-limitoutputaccess-group1521000000100000100000conform-action
transmitexceed-actiondrop
access-list152permittcpanyhosteqwww
access-list153permittcpanyhosteqwwwestablished
注意,于实现应用中需要进行必要的修改,替换:45000000为最大连接带宽
1000000为 SYNflood流量速率的 30%到 50%之间的数值。burstnormal(正常突变)
和 burstmax(最大突变)俩个速率为正确的数值。如果突变速率设置超过 30%,
可能会丢失许多合法的 SYN数据包。使用"showinterfacesrate-limit"命令查见
该网络接口的正常和过度速率,能够帮助确定合适的突变速率。这个 SYN速率限
制数值设置标准是保证正常通信的基础上尽可能地小。
6、搜集证据且联系网络安全部门或机构如果可能,捕获攻击数据包用于分
析。建议使用 SUN工作站或 Linux等高速计算机捕获数据包。常用的数据包捕获
工具包括 TCPDump 和 snoop等。为了防止利用 IPSpoofing手段假冒源地址进行
的 DoS攻击对整个网络造成的冲击。主要配置于边缘路由设备(即直接和终端用
户网络互连的路由设备)上,根据用户网段规划添加源路由检查。针对不同 DDOS
攻击的端口进行过滤,于实施时必须探测到 DDOS攻击的端口。
使用专业 DDOS防御设备
选择壹款优秀的防黑安全产品。即配备监测工具,不断提高对系统的认识。无
论是从网上下载公开源代码的监测工具,仍是购买网络监测工具,均要实时监测
别人是否于扫描自己的端口。若有人扫描端口,意味着有人可能要攻击此网络。
譬如:万网使用的绿盟黑洞系统黑洞目前分百兆、千兆俩款产品,分别能够于相
应网络环境下实现对高强度攻击的有效防护,性能远远超过同类防护产品。其使
用多种算法识别攻击和正常流量,能于高攻击流量环境下保证 95%之上的连接保
持率和 95%之上的新连接发起成功率。
黑洞主要作用:
a.能够对 SYNFlood、UDPFlood、ICMPFlood、HTTPGETFlood 和(M)StreamFlood
等各类 DoS攻击进行防护。
b.能够有效防止连接耗尽,主动清除服务器上的残余连接,提高网络服务的品
质;能够抑制网络蠕虫的扩散。
c.能够防护 DNSQueryFlood,保护 DNS服务器正常运行。
d.能够给各种端口扫描软件反馈迷惑性信息,因此也能够对其它类型的攻击起
到防护作用。
ISP/ICP为很多中小型企业提供了各种规模的主机托管业务,所以于防 DDoS
时,除了和企业网管理员壹样的手段外,仍要特别注意自己管理范围内的客户托
管主机不要成为傀儡机。客观上说,这些托管主机的安全性普遍是很差的,有的
连基本的补丁均没有打就赤膊上阵了,成为黑客最喜欢的"肉鸡",因为不管这台
机器黑客怎么用均不会有被发现的危险,它的安全管理太差了;仍不必说托管的
主机均是高性能、高带宽的-简直就是为 DDoS定制的。而做为 ISP的管理员,对
托管主机是没有直接管理的权力的,只能通知让客户来处理。于实际情况时,有
很多客户和自己的托管主机服务商配合得不是很好,造成 ISP管理员明知自己负
责的壹台托管主机成为了傀儡机,却没有什么办法的局面。而托管业务又是买方
市场,ISP仍不敢得罪客户,怎么办?咱们管理员和客户搞好关系吧,没办法,
谁让人家是上帝呢?客户多配合壹些,ISP的主机更安全壹些,被别人告状的可
能性也小壹些。
骨干网络运营商
他们提供了互联网存于的物理基础。如果骨干网络运营商能够很好地合作的
话,DDoS攻击能够很好地被预防。于 2000年 yahoo等知名网站被攻击后,美国
的网络安全研究机构提出了骨干运营商联手来解决 DDoS攻击的方案。其实方法
很简单,就是每家运营商于自己的出口路由器上进行源 IP地址的验证,如果于
自己的路由表中没有到这个数据包源 IP的路由,就丢掉这个包。这种方法能够
阻止黑客利用伪造的源 IP来进行 DDoS攻击。不过同样,这样做会降低路由器的
效率,这也是骨干运营商非常关注的问题,所以这种做法真正采用起来仍很困难。
对 DDoS的原理和应付方法的研究壹直于进行中,找到壹个既有效又切实可
行的方案不是壹朝壹夕的事情。但目前我们至少能够做到把自己的网络和主机维
护好,首先让自己的主机不成为别人利用的对象去攻击别人;其次,于受到攻击
的时候,要尽量地保存证据,以便事后追查,壹个良好的网络和日志系统是必要
的。无论 DDoS的防御向何处发展,这均将是壹个社会工程,需要 IT界的同行们
来壹起关注,通力合作。
结束语:
之上就是对拒绝服务攻击方式进行了原理分析且提出了防御策略。随着电子商业的发展,
DoS攻击将对我们的电子化社会产生更大的冲击。新的攻击方法必然仍会出现,危害可能更
大,需要我们进壹步的研究。如果能时刻保持着警惕心理,采取必要的措施进行防御,就能
将攻击带来的损失减少到最小,因此各种防御设备的安装也是有必要的。同时,拒绝服务攻
击已经不仅仅是技术问题,也是壹个社会问题,发挥社会和法律方面的作用打击网络犯罪,
将会更加有效。其实,很多攻击方法且不新,存于时间也很长了(就像 DoS),基本上人们
对它们已经有所了解,只是当它被有恶意的人利用,破坏网络安全,人们才意识到问题的严
重性。因此,人们应充分重视建立完善的安全系统,防患于未然。
致谢
从论文的选题到搜集资料,从写稿到反复修改,期间经历了喜悦,聒噪,痛
苦和彷徨,于写论文的过程中心情是如此复杂。如今,伴随着这篇毕业论文的最
终成稿,复杂的心情烟消云散,自己甚至仍有壹点成就感,这篇毕业论文就是我
的舞台,壹下言语便是我想发表的发自肺腑的诚挚谢意和感想:我要感谢,非常
感谢我的导师 XX老师,他为人随和热情,治学严谨、细心。于闲聊中他总是像
知心朋友壹样鼓励你,于论文的写作和措辞等方面也总会壹专业标准严格要求你,
从选题、定题开始,壹直到最后论文的反复修改、润色,XX老师始终认真负责地
给于我深刻而细致的指导,帮助我开拓思路,指出论文中的各种错误。XX老师以
严谨的治学之道,宽厚仁慈的胸怀,积极乐观的生活态度,兢兢业业、孜孜不倦
的工作作风为我树立了学习的典范。正是于 XX老师的无私帮助下,我的毕业论
文才能够得以顺利完成,同时,于这个过程中,我也学习到了许多关于拒绝服务
攻击方面的知识。
我仍要感谢我的室友们,从遥远的家来到这个陌生的城市里,是你们和我共
同维系着寝室那份家的融洽。三年里,我们有着喜和怒,哀和乐,且且于这最后
的时光里,互相帮助搜集论文资料,共同商讨论文中遇到的各种问题,深深的友
情已经于不知不觉中有了壹种亲情的感觉……总之,这是我壹生最值得回忆的时
光。我们马上就要各奔前程了,希望大家珍重。
参考文献
[1]刘昕,吴秋峰等.分布式拒绝服务研究和探讨[J].计算机工程和应用,2008年 06期
[2]李德全.拒绝服务攻击对策及网络追踪的研究[C](学位论文).北京:中国科学院软件研究
所 2008年 02期
[3]吴虎,云超..对 DDOS攻击防范策略的研究及若干实现[J].计算机应用研究,2007年 08期
[4]陈连波,百里梅.分布式拒绝服务攻击研究[J].福建电脑 2009年 02期
[5]徐图,何大可,邓子健.分布式拒绝服务攻击特征分析和检测[J].计算机工程和应用 2007
年 29期
[6]吴伟娇.分布式拒绝服务攻击和防范策略详探[J].中国科技信息 2008年 01期
[7]王耀武,杨亚红.分布式拒绝服务攻击的软防御系统[J].计算机工程和设计 2008年 03期
[8]庄心妍.分布式拒绝服务攻击原理及防范[J].内蒙古科技和经济 2009年 06期
[9]盖凌云,黄树来.分布式拒绝服务攻击和防御机制研究[J].通信技术 2008年 06期