ddos攻击方式及防御方法分析研究本科毕业设计(编辑修改稿)

ddos攻击方式及防御方法分析研究本科毕业设计(编辑修改稿)内容摘要：

的前身，翻译为拒绝服务。 拒绝服务是如今网络攻击手段中最常见的一种。 它故意的攻击网络协议中的缺陷或直接通过一些手段耗尽被攻击对象的资源， 阻止客户访问网络服务，从而使网络服务无法正常运作甚至于关闭。 目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务停止响应甚至崩溃，而最值得注意的一点是，攻击者在此攻击中并不会入侵目标服务器或目标的网络设备，只是单纯利用网络缺陷或者暴力消耗就可以达到其破坏目的。 DoS 的攻击方式一般都是一对一方式，而且攻击者 一般都不用自己的计算机，其目的是为躲避追踪。 攻击者直接利用一台控制机 /或者设备，对攻击目标发起 DoS 攻击。 在网络还不发达的时代， DoS 攻击对处在硬件性能偏低、网络连接状况不好等情况下的攻击目标，其攻击效果十分的明显，一个攻击者就极有可能摧毁一整个网站或者服务器。 在当代随着计算机和网络技术的发展，硬件设备处理性能的加速度提高，成本也变得十分低廉，带宽、出入口节点宽度等也得到了极大的提升，这使得传统的DoS 攻击很难产生效果。 DDOS 伴随着这种情况的发生，诞生了。 ． DDoS 概念 DDoS（ Distributed Denial Of Service），分布式拒绝服务。 是在 DoS 攻击的基础上，攻击者借助于客户 /服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动 DoS 攻击，从而成倍地提高拒绝服务攻击的威力，这样就能极为暴力的将原本处理能力很强的目标服务器攻陷。 由此可知， DDoS 与 DoS 的最大区别是数量的关系。 DoS 相对于 DDoS 来说就像是一个个体，而 DDoS 是无数 DoS 的集合。 另外， DDoS 攻击方式较为自动化，攻击者把他的攻击程序安装到网络中的多台傀儡机上，所采用的这种攻击方式很难被攻击对象 察觉，直到攻击者发下统一的攻击命令，这些机器才同时发起进攻。 可以说 DDoS 攻击是由黑客集中控制发动的一组 DoS 攻击的集合，这种方式被认为是最有效的攻击形式，并且非常难以抵挡。 图表 1 为分布式攻击模型。 延边大学本科毕业论文 4 图表 1 DDoS 攻击模型 延边大学本科毕业论文 5 第三章 DDoS 攻击动机和症状特征 ． DDoS 攻击的动机 黑客采用这种具有极强破坏力的攻击方式，一般有以下几点动机： 仇恨或报复。 攻击者由于对公司或者组织的不满而发起报复性攻击； 经济原因。 由于 DDoS 攻击会造成大型服务器瘫痪，导致 很大的经济损失，因此一些攻击者以此作为敲诈勒索的手段； 政治原因或信息战。 一些组织或个人通过此手段发动信息战争，震慑敌人等。 ． DDoS 攻击的症状特征 遭到 DDoS 攻击后，常见的症状特征有以下几种： 被攻击主机上有大批 等待 的 TCP 连接； 数据流 中 充 满 着 大 批 的 无用 的 数据 包 ， 源 地址 为假 ； 服务器处理能力满负荷，或频繁死机或重启动； 链路中存在大量 高流量无用数据，造成 数据链路 拥塞，使受害主机无法正常和外界通信 ； 利用 受害主机 可以提供 服务 或传输协定 这一 缺点，重复高速的发出特定的 服务 请求 ，使受害主机无法实时处置全部正常 请求。 延边大学本科毕业论文 6 第四章 DDoS 攻击步骤介绍 ． DDoS 攻击步骤 DDoS 攻击，并非像 DoS 攻击那样简单，攻击者想要进行 DDoS 攻击，一般需要经历以下 3 个步骤： . 获取目标信息 黑客非常关心的情报有：被攻击目标主机数目、地址情况；目标主机的配置、性能；目标的带宽。 对于 DDoS 攻击者来说，攻击互联网上的某个站点，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站一般有很多台主机利用负载均衡技术提供同一个网站的 服务。 攻击者想要 彻底使目标站点拒绝服务，就必须使支持该站点的所有主机都拒绝服务。 所以，事先搜集目标主机（或者主机群）的信息对 DDoS 攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。 . 占领傀儡机 黑客最感兴趣的主机有三个基本条件：链路状态好；性能好；安全管理水平差。 攻击者占领傀儡机的方法有多种，如扫描端口、安置后门程序、网站恶意链接等等。 目前，获得大量傀儡机最有效的方法是通过携带后门程序的蠕虫，通过蠕虫的传播，后门程序就被安装到受蠕虫感染的傀儡机上。 因此，这些傀儡机被攻击者侵占并安装上了攻击程序，随时等待攻击者的命令。 . 实际攻击 经过前 2 个阶段的精心准备之后，黑客就开始瞄准目标准备攻击了。 具体步骤为：黑客首先登录到作为控制台的傀儡机，并向所有的攻击机发出攻击命令，这时候存于攻击机中的 DDoS 攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数 据包，导致目标主机死机或是无法响应正常的请求，达到攻击效果。 延边大学本科毕业论文 7 第五章 DDoS 攻击常见分类 ． SYN Flood【 1】攻击 SYNFlood 攻击是当前网络上最为常见的 DDoS 攻击，也是最为经典的拒绝服务攻击，它利用了 TCP 协议实现上的一个缺陷，通过向网络服务所在端口发送大量的伪造源地址的攻击数据包，造成目标服务器中的 半开连接 【 2】 队列被占满，从而阻止其他合法用户进行访问。 正常的 TCP 请求如 图表 2，客户机与服务器通过三次握手的方式建立可靠连接，然后实现数据传输。 SYNFlood 攻击则不会完成 TCP 三次握手的第三步（如 图表 3），也就是不发送确认连接的信息 ACK 给服务器。 这样，服务器无法完成第三次握手，但服务器不会立即放弃，服务器会不停的重试并等待一定的时间后放弃这个未完成的连接，这段时间叫做 SYN timeout，这段时间大约 75 秒左右。 由于半开连接的数量是有限的（很多操作系统的半开连接数的默认值为 1024），如果攻击者大量发送这种伪造源地址的 SYN 请求，服务器端将会消耗非常多的资源来处理这种半开连接而不会有空余去处理普通用户的正常请求 (因为客户的正常请求比率很小 )，最终该服务器便无法正常工作，从 而达到攻击者的目的。 图表 2 TCP 连接的三次握手 延边大学本科毕业论文 8 图表 3 SYNFlood 攻击模型 ． Connection Flood 攻击 Connection Flood 即 TCP 连接耗尽攻击（或叫着空连接攻击），是一种典型的、非常有效的躲避防火墙阻挡的攻击方式。 这种攻击的原理是攻击者操控大量的具有真实的 IP 地址的傀儡主机或者代理服务器对目标服务器发起大规模的连接，并且在建立连接之后不发送数据，迫使服务器一直保 持连接状态，占用服务器的资源，当连接数达到一定规模，超过了服务器的能力时，正常的连接请求将无法建立，从而达到拒绝服务的攻击目的。 Connection Flood 攻击模型如 图表 4。 值得一提的是， Connection Flood 攻击不同于 SYN Flood 攻击， SYN Flood 攻击需要持续发送数据，而这种攻击无需不停地向受害者发起连接，只要连接数达到一定水平以后，攻击者就可以停止发送，而受害者系统将一直保持拒绝服务状态。 通常这可以在防火墙上限制每个源 IP地址每秒钟的连接数来达到防护目的。 延边大学本科毕业论文 9 图表 4 Connection Flood 攻击模型 ． CC 攻击 CC 是 Challenge Collapsar 的缩写，译为向黑洞发起挑战。 CC 攻击是最著名的基于脚本页面的 DDoS 攻击，也是最典型的以小博大的攻击方式。 CC 攻击的原理是攻击者借助代理服务器或者利用自己控制的大量傀儡机向目标服务器发起基于 HTTP协议的正常的连接请求，迫使目标服务器忙于处理这些请求而无暇处理正常用户的请求，从而达到拒绝服务的攻击目的。 CC 攻击主要是针对存在 A。