1、上海電力學院計算機安全技術大作業題目:DDo畋擊的原理及防范學號：學生姓名：院系：專業：班級：2012年5月28日摘要：DDoS攻擊手段是在傳統的DoS攻擊基礎之上產生的一類攻擊方式，他借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DoS攻擊，從而成倍的提高拒絕服務攻擊的威力。關鍵字：DDoS攻擊，DoS攻擊，SYN攻擊，Smurf攻擊，攻擊原理，防御辦法，傀儡機引言：DDoS是DistributedDenialofService的簡寫，意為分布式拒絕服務攻擊，是對DoS（DenialofService）拒絕服務攻擊的發展。這里，我們先來了解一下什么是DoS。正

2、文：【DoS攻擊簡介】DoS攻擊的目的是使目標計算機或網絡無法提供正常的服務。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊就是以龐大的通信量沖擊網絡，使所有可用的網絡資源都被耗盡，最后導致合法用戶的請求無法通過；類似于一大群人同時沖向一個安全出口，則會造成安全出口的阻塞，導致其他人都無法通過出口。而連通性攻擊是指使用大量的連接請求沖擊服務器，使所有可用的操作系統資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求；即服務器忙于處理攻擊者的連接請求而無暇理睬合法用戶的正常請求，此時從合法用戶的角度來看就是服務器失去響應。Smurf攻擊（帶寬攻擊）Smurf攻擊并不直接對目標主機發

3、送服務請求包，攻擊者在遠程機器上發送ICMP答應請求ping服務，但這個ping命令的目的地址不是某個主機的IP地址，是某個網絡的廣播地址（即目標IP地址為“FFFFFFFF”），并且這個ping命令的源地址被偽造成了將要攻擊的主機IP地址。這樣，收到廣播ping命令后的主機，都會按數據包中所謂的源IP地址返回請求信息，向被攻擊的主機發送echo響應包作為回答。大量同時返回的echo響應數據包會造成目標網絡嚴重擁塞、丟包，甚至完全崩潰。SYN攻擊（連通性攻擊）SYN攻擊是利用現有TCP/IP協議族的設計弱點和缺陷。在TCP/IP協議的三次握手協議過程如下：（1）第一次握手。客戶端發送SYN包到

4、服務器，向服務端提出連接請求，這時TCPSYN標志置位（SYN=j）,客戶端在TCP包頭的序列號區中插入白己的ISN。（2）第二次握手。服務器收到客戶的請求信息，必須回應一個確認信號，確認客戶的SYN（ACK標志置位為j+1），同時也發送一個白己的SYN包（SYN置位為k）,即SYN+ACK包，此時服務器進入SYN_RECV狀態。（3）第三次握手。客戶端收到服務器的SYN+ACK包,想月居器發送確認包ACK（ACK置位為k+1）,此包發送完畢標志建立了完整的TCP連接，客戶端和服務器進入ESTABLISHED狀態，可以開始全雙工模式的數據傳輸過程。假設一個用戶想服務器發送了SYN報文后突然死機

5、或掉線，那么服務器在發出SYN+ACK應答報文后是無法收到客戶端的ACK報文的（第三次握手無法完成），在這種情況下服務器端一般會重試（再次發送SYN+ACK）給客戶端，并且等待一段時間后丟棄這個未完成的連接，這段時間的長度一般是30秒2分鐘。如果一個用戶出現異常導致服務器的一個線程等待1分鐘并不是大問題，但如果有一個惡意攻擊者大量模擬這種情況，服務器端為了維護一個非常大的半連接列表而消耗非常多的資源一一數以萬計的半連接，即使是簡單的保存及遍歷也會非常消耗很多的CPU時間和內存，何況還要不斷對這個半連接列表中的IP進行SYN+ACK的重試。如果服務器的TCP/IP棧不夠強大，最后的結果往往是堆棧

6、溢出崩潰一一及時服務器的系統足夠強大，服務器端也會忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求。這種情況叫做服務器端收到了SYNFlood攻擊（SYN洪水攻擊）。【DDOS攻擊原理簡介】DDoS攻擊手段是在傳統的DoS攻擊基礎之上產生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的，它的攻擊方法說白了就是單挑，是比誰的機器性能好、速度快。當攻擊目標CPU速度低、內存小或者網絡帶寬小等等各項性能指標不高時，他的效果是明顯的。但隨著計算機處理能力的迅速增長，內存大大增加，CPU運算能力越來越強大，這使得DoS攻擊的困難程度加大了。被攻擊者對惡意攻擊包的抵抗能力加強的不少。這時候

7、分布式的拒絕服務攻擊手段就應運而生了。所謂分布式拒絕服務（DDoS）攻擊是指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DoS攻擊，從而成倍的提高拒絕服務攻擊的威力。如圖，一個比較完善的DDoS攻擊體系分成四大部分。第1部分：由黑客操控的主控計算機；第2部分：由黑客直接控制的控制傀儡機；第3部分：由控制傀儡機控制的攻擊傀儡機；第4部分：受害者。其中第2部分可由多臺控制傀儡機構成。對受害者來說，DDoS的實際攻擊包是從第3部分攻擊傀儡機上發出的，第2部分的控制傀儡及只發命令而不參與實際的攻擊。對第2和第3部分計算機，黑客有控制權或者是部分的控制權，并把相應的DD

8、oS程序傳到這些平臺上，這些程序與正常程序一樣運行，并等待來白黑客的指令，通常這些程序還會利用各種手段隱藏白己不被別人發現。在平時，這些傀儡機器并沒有什么異常，但一旦黑客連接到它們進行控制，并發出指令的時候，攻擊傀儡機就成為打手去對受害者發起攻擊了。一般情況下黑客不直接控制第3部分的攻擊傀儡機，而要從控制傀儡機上中轉一下，這就導致DDoS攻擊難以追查。攻擊者為了反偵察，都會清理日志擦掉腳印。狡猾的攻擊者不會清空日志，這樣容易被人發覺，黑客們會挑有關白己不良行為的日志項目刪掉，讓人看不到異常情況。這樣可以長時間的利用控制傀儡機。在傀儡機上清理日志是一項龐大的工程，所以黑客一般控制少數的控制傀儡機

9、就足夠了，而控制傀儡機一臺就可以控制幾十臺攻擊機。【DDoS的防范】對于Smurf類型DDoS攻擊的防范首先，千萬不能讓白己網絡里的人發起這樣的攻擊。在Smurf攻擊中，有大量的源欺騙的IP數據包離開了第一個網絡。所以我們通過在局域網的邊界路由器上使用輸出過濾，從而阻止白己網絡中其他人向局域網外發送的源欺騙Smurf攻擊。在路由器上增加這類過濾規則的命令是：Access-list100permitIP（你的網絡號（你的網絡子網掩碼any】Access-list100denyIPanyany其次，停止白己的網絡作為中間代理。如果沒有必須要向外發送廣播數據包的情況，就可以在路由器的每個接口上設置禁

10、止直接廣播，命令如下：【noipdirected-broadcast如果白己所在的網絡比較大，具有多個羅尤其，那么可以在邊界路由器上使用以下命令：【ipverifyunicastreverse-path!讓路由器對具有相反路徑的ICMP欺騙數據包進行校驗，丟棄那些沒有路徑存在的包。最好是運行Cisco快速轉發，或者其他相應的軟件。這是因為在路由器的CEF表中，列出了該數據包所到達網絡接口的所有路由項，如果沒有該數據包源IP地址的路由，路由器將丟棄該數據包。例如，路由器接收到一個源IP地址為的數據包，如果CEF路由表中沒有為IP地址提供任何路由（即反向數據包傳輸時所需

11、的路由），則路由器會丟棄它。對于SYN類型DDoS攻擊的防范：到目前為止，進行SYN類型的DDoS攻擊的防御還是比較困難的。這種攻擊的特點是它利用了TCP/IP協議的漏洞，除非你不用TCP/IP,才有可能完全抵御住DDoS攻擊。雖然它難于防范，但防止DDoS并不是絕對不可行的事情。互聯網的使用者是各種各樣的，與DDoS做斗爭，不同的角色有不同的任務：企業網管理員ISP、ICP管理員骨干網絡運營商企業網管理員：網管員做為一個企業內部網的管理者，往往也是安全員、守護神。在他維護的網絡中有一些服務器需要向外提供WWW服務，因而不可避免地成為DDoS的攻擊目標，可以從主機與網絡設備兩個角度去考慮如何防

12、御：1. 主機上的設置幾乎所有主機平臺都有抵御DDoS的設置，總結為以下幾種：1）關閉不必要的服務2）限制同時打開的SYN半連接數目3）縮短SYN半連接的timeout時間4）及時更新系統補丁2. 網絡設備上的設置企業網的網絡設備可以從防火墻和路由器上考慮。這兩個設備是到外界的接口設備，在進行防DDoS設置的同時，要注意一下這是以多大的效率犧牲為代價的，對特定的對象來說是否值得。1）防火墻a）禁止對主機的非開放服務的訪問b）限制同時打開的SYN最大連接數c）限制特定IP地址的訪問d）啟用防火墻的防DDoS的屬性e）嚴格限制對外開放的服務器的向外訪問2）路由器（以Cisco路由器為例）a）使用u

13、nicastreverse-pathb）訪問控制列表（ACL）過濾c）設置SYN數據包流量速率d）升級版本過低的ISOe）為路由器建立logserverISP/ICP管理員ISP/ICP為很多中小型企業提供了各種規模的主機托管業務，所以在防DDoS時，除了與企業網管理員一樣的手段外，還要特別注意白己管理范圍內的客戶托管主機不要成為傀儡機。客觀上說，這些托管主機的安全性普遍是很差的，有的連基本的補丁都沒有打就赤膊上陣了，成為黑客最易控制的傀儡機，托管的主機大都是高性能、高帶寬的，往往適合用做DDos攻擊。所以要加強對托管主機的安全性能的提升骨干網絡運營商骨干網路運營商提供了互聯網存在的物理基礎。

14、如果骨干網絡運營商可以很好地合作的話，DDoS攻擊能很好地被預防。在2000年yahoo等知名網站被攻擊后，美國的網絡安全研究機構提出了骨干運營商聯手來解決DDoS攻擊的方案。方法很簡單，就是每家運營商在白己的出口路由器上進行源IP地址的驗證，如果在白己的路由表中沒有到這個數據包源IP的路由，就丟掉這個包。這種方法可以阻止黑客利用偽造的源IP來進行DDoS攻擊。不過同樣，這樣做會降低路由器的效率，這也是骨干運營商非常關注的問題，所以這種做法真正采用起來還很困難。對DDoS的應付方法的研究一直在進行中，找到一個既有效又切實可行的方案不是一朝一夕的事情。但目前至少可以做到把白己的網絡與主機維護好，

15、首先讓白己的主機不成為別人利用的對象去攻擊別人；其次，在受到攻擊的時候，要盡量地保存證據，以便事后追查，一個良好的網絡和日志系統是必要的。無論DDoS的防御向何處發展，這都將是一個社會工程，需要IT界一起關注，通力合作。總結：在寫論文的過程中，我通過翻看書本，查閱資料，回憶上課內容，對DoS攻擊以及DDoS攻擊的攻擊原理有了非常準確的把握，能夠比較清楚的對其工作原理進行描述，了解其攻擊工作機制；對TCP/IP協議下的網絡安全形勢有了一定了解。而對于DDoS攻擊的防范也進行了一些了解，能做到白己不會成為被控制的傀儡機，保護白己所在局域網不會有人發起Smurf攻擊，以及如果作為網絡管理員該如何應對DDoS攻擊。參考文獻：1 網絡技術