dos与ddos攻击与防范措施毕业设计论文(编辑修改稿)

dos与ddos攻击与防范措施毕业设计论文(编辑修改稿)内容摘要：

bat 或 .cmd 文件）。 当命令需要路径作为参数时，请使用绝对路径，也就是从驱动器号开始的整个路径。 如果命令在远程计算机上，请指定服务器和共享名的通 用命名协定 (UNC) 符号，而不是远程驱动器号。 DoS 攻击的防范技术 根据上述 DoS 攻击原理和不断更新的攻击技术，很少有网络可以免受 DoS攻击， DoS 防御存在许多挑战。 主要原因：一是分组、分组头、通信信道等都有可能在攻击过程中改变，导致 DoS 攻击流不存在能用于检测和过滤的共同特性；二是分布资源的协作使 DoS 攻击难以防御和跟踪，同时，资源、目标和中间域之间缺乏合作也不能对攻击做出快速、有效和分布式的响应；三是攻击者紧跟安全技术的进展，不断调节攻击工具逃避安全系统检查。 面对此种情况，可以从以 下几个方面来防范 DoS 攻击。 、 加固操作系统 对各种操作系统参数进行设置以加强系统的稳固性。 重新编译或设置 Linux以及各种 BSD系统、 Solaris 和 Windows 等操作系统内核中的某些参数，可在一定程度上提高系统的抗攻击能力。 、利用防火墙 防火墙是防御 DoS攻击最有效的办法，目前很多厂商的防火墙中都注入了专门针对 DoS 攻击的功能。 现在防火墙中防御 DoS攻击的主流技术主要有两种：连接监控（ TCP Interception）和同步网关（ SYN Gateway）两种。 、利用负载均 衡技术 就是把应用业务分布到几台不同的服务器上，甚至不同的地点。 采用循环DNS服务或者硬件路由器技术，将进入系统的请求分流到多台服务器上。 这种方法要求投资比较大，相应的维护费用也高。 、带宽限制和 QoS 保证 通过对报文种类、来源等各种特性设置阀值参数，保证主要服务，稳定可靠的资源供给，防止有限资源被过度消耗。 以上方法对流量小、针对性强、结构简单的 DoS 攻击进行防范还是很有效的。 而对于 DDoS 攻击、 DRoS 攻击等攻击，则需要能够应对大流量的防范措施和技术，需要能够综合多种算法、集多种网络设备功能 的集成技术。 参考文献 [1] （美） Bruce Schneier．网络信息安全的真 相 [M]．北京：机械工业出版社 .2020 [2] 王忠诚．电子商务安全 [M] 北京：机械工 业出版社 .2020 [3] 肖军模．网络信息安全 [M]．北京：机械 工业出版社 .2020 [4] 蒋汉生．电子商务安全导论 [M]．辽宁： 辽宁教育出版社 .2020 DDOS 的攻击与防范 1 概要 DDOS 是英文“ Distributed Denial of Service”的缩写，意即“分布式拒绝服务”，那么什么又是拒绝服务（ Denial of Service）呢。 可以这么理解，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。 也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。 虽然同样是拒绝服务攻击，但是 DDOS 和 DOS还是有所不同， DDOS 的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致 拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的 DDOS 攻击手段有 SYN Flood、 ACK Flood、 UDP Flood、 ICMP Flood、TCP Flood、 Connections Flood、 Script Flood、 Proxy Flood 等；而 DOS 则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能 ，从而造成拒绝服务，常见的 DOS 攻击手段有TearDrop、 Land、 Jolt、 IGMP Nuker、 Boink、 Smurf、 Bonk、 OOB 等。 就这两种拒绝服务攻击而言，危害较大的主要是 DDOS 攻击，原因是很难防范，至于 DOS攻击，通过给主机服务器打补丁或安装防火墙软件就可以很好地防范，后文会详细介绍怎么对付 DDOS 攻击。 DDOS 的攻击原理 众所周知， DoS(Denial of Service，拒绝服务攻击 ) 是 DDoS 的基础，它利用了 TCP 三次握手过程的空子。 攻 击者首先向服务器发送带有 虚假地址的 Syn连接请求，服 务器接 ~lJSyn 请求信息之后就发送 Syn+ACK 或 RST 回复 信息，然后等待回传信息。 由于地址是虚假的，所以服 务器一直等不到回传的消息分配给这次请求的服务器 资源就始终无法被释放。 当服务器等待一定的时间后， 连接会因超时而被中断。 攻击者会再度传送一批新的请 求，在这种反复不断地、无休止地发送伪地址请求的情 况下，服务器资源在漫长的回应等待中最终被耗尽。 单一的 DoS 攻击是一对一的。 若被攻击目标计算机 的 CPU 速度低、内存小或网络带宽窄等各项性能指标不 高，其攻击效果比较 明显。 然而，随着计算机处理能力 的大大提高和网络技术的高速发展，其对恶意攻击包的 承受能力大为提高，使得攻击者对目标的攻击效果大打 折扣。 于是攻击者们又找到了另一种新的 DoS 攻击方法， RpDDoS。 DDoS 是利用多台计算机，采用分布式对单个或多个目标同时发起 DoS 攻击。 攻击者首先寻找在互联 网上有系统漏洞 (Bug)的计算机，窃取其 IP 地址、用户名 和登录密码等数据，进入系统后安装后门程序，即木马 病毒。 这些被安装了特定程序、受到攻击者控制的各类计算机，充当了傀儡角色。 攻击者发动攻击的时候，通常攻击者本身并不 直接参与，而是利用这些傀儡。 攻击时，攻击者向主控端发送攻击命令，主控端又把这些指令送到代理主 机上，代理端是真正向受害者发起攻击的 直接执行者。 DoS 攻击只需要一台单机和一个调制解调器 (Modem) 就可实现，算是“单打”；而 DDoS 攻击是利用一大批受控制的计算机向目标同时发起攻击，采用狼群战术，属于“群殴”。 这样来势迅猛的、从不同方向不同渠道来 的密集攻击令人难以防备，因此具有较大的破坏性。 现今全球网络广泛连接，给我们的生活带来了方便，同时也为 DDoS 攻击创造了极为有利的条件。 现在，各大城市之间网络带 宽都为 G 级，这使得网络攻击者更容易从远程城市，甚至从其他国家发起攻击，受控制的代理端主机可以分布在更大范围，甚至可以跨越国界遍布全世界，选择和利用它更灵活、更方便，攻击者隐藏起来更难以寻迹。 上面提及的韩国的网络攻击事件充分证明了这一点。 DDoS 防范方法 DDoS 攻击主要分两大类：带宽耗尽型和资源耗尽 型。 ①带宽耗尽型主 要是堵塞目标网络的出口，导致带宽消耗不能提供正常的服务。 例如：常见的 Smurf攻击、 UDP Flood 攻击、 MStream Flood 攻击等，都属于此类型。 针对此类攻击一般采取的措施是 QoS，即在路由器或 防火墙上针对此类数据流进行限制流量，从而保障正常 带宽的使用。 单纯带宽耗尽型攻击较易被识别，并被丢 弃。 ②资源耗尽型是攻击者利用服务器处理缺陷，消耗 目标服务器的关键资源， ~MCPU、内存等，导致无法提供正常服务，常见的有 TCP Syn Flood 攻击等。 资源耗尽型攻击利用系统对正常网络协议处理的缺陷， 使系统难以分辨正常流和攻击流，因此防范难度较大。 根据 DDoS 的攻击原理，对 DDoS 攻击的防范主要分 为三层：攻击源端防范、骨干网防范和目标端防范。 对于第一层攻击源端而言，由于攻击者发动攻击之后，往往删除攻击命令等痕迹，隐藏起来，再加上网络上联网协议的缺陷和无国界性，以目前的国家机制和法律很难追踪和惩罚国外的 DDoS 攻击者。 对于第二层大型电信骨干网来说，他们需满足各种不同用户的服务要求，其认证和授权问题难以解决，所以在节点上实行限制，实现起来难度很大。 因此，第三层的目标端防范技术，作为最实际的防范措施，得到 广泛的应用。 本人写的只是讨论目标端路由器防范。 用户端路由器的 ACL*M~E 流是比较有效的防范措施，例如对特征攻击包 进行访问限制；发现有攻击嫌疑的 IP包就丢弃；或者对 异常流量进行限制等。 过滤广播欺骗 (Broadcast Spoofing) Smurf 攻击通常使用 IP欺骗使网络产生大量的响应 ICMP 回复请求。 路由器上设置 Access list 和 Filtering directed broadcast 可阻断某些 Smurf 攻击。 可滤掉的 IP地址域： 0． 0． 0． 0／ 8： Default／ Broadcastamp。 Other unique IP 127． 0． 0． 0／ 8： Host Loopback IP address 169． 254． 0． 0／ 16： DHCP 中自动生成的 IP 192． 0． 2． 0／ 24： TEST～ NET IP 10． 0． 0． 0／ 8， 172． 16． 0． 0／ 12， 192． 168． 0． 0／ 16： RFC 1918 上定义的 IP Acces list set Router(config)acceslist 101 deny ip 0． 0． 0． 0 0． 255． 255． 255 any Router(config)acceslist 101 deny ip 10． 0． 0． 0 0． 255． 255． 255 any R0uter(confjg)access— list l 0l deny ip 127． 0． 0． 0 0． 255． 255． 255 any Router(config)access— list 1 0 1 deny ip 169． 254． 0． 0 0． 0． 255． 255 any Router(config)accesslist l01 deny ip 192． 0． 2． 0 0． 0． 0． 255 any Router(config)access— list 101 deny ip 172． 16． 0． 0 0． 15． 255． 255 any Router(config)accesslist 1 0 1 deny ip 192． 168． 0． 0 0． 0． 255． 255 any Router(config)access— list 101 deny ip{内部网 IP组 }any Router(config)accesslist l 0 1 permit ip any any Router(config)interface serial 0 Router(config— if)ip acces— group 1 0 1 in Cisco 7000 Series Router Acces list set(Turbo ACL enable) Router(config)acceslist piled Filtering directed broadcast Router(config— if)no ip directed broadcast 利用反向路径转发 (RPF)过滤源 IP 欺骗 Cisco 路由器上使用“ ip verfy unicast reverse～ path”网络接口命令，这个功能检查每一个经过路由器的数据包。 在路由器的 CEF(Cisco Expres Forwarding) 表中，该数据包所到达网络接口的所有路由项中，如果没有该数据包源 IP 地址的路由，该数据包将被丢弃。 RPF Rule Set Router(config)ip cef Router(config—— if)ip verify unicast reversepath 使用 Unicast RPF 需要打开路由器的“＼ CEF swithing＼”或“＼ CEF distributed switching＼”选项， 不需要将输入接口配置为 CEF 交换。 只要该路由器打开 了 CEF 功能，所有独立的网络接口都可以配置为其他交换模式。 DualHomed Routing RPF Rule Set Router(config)ip cef 一 cef enable Router(config— if)ip verify unicast source reachable—— via any 过滤 TCP Syn Flooding(Syn 洪水攻击 ) 如上所述，客户端与服务器建立连接，是 TCP 的三次握手来实现的。 攻击者 利用发送。