計算機安全技術(shù)大作業(yè)實驗報告-DDoS攻擊的原理及防范

1、上海電力學(xué)院計算機安全技術(shù)大作業(yè)題目:DDo畋擊的原理及防范學(xué)號：學(xué)生姓名：院系：專業(yè)：班級：2012年5月28日摘要：DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式，他借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DoS攻擊，從而成倍的提高拒絕服務(wù)攻擊的威力。關(guān)鍵字：DDoS攻擊，DoS攻擊，SYN攻擊，Smurf攻擊，攻擊原理，防御辦法，傀儡機引言：DDoS是DistributedDenialofService的簡寫，意為分布式拒絕服務(wù)攻擊，是對DoS（DenialofService）拒絕服務(wù)攻擊的發(fā)展。這里，我們先來了解一下什么是DoS。正

2、文：【DoS攻擊簡介】DoS攻擊的目的是使目標(biāo)計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊有計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊就是以龐大的通信量沖擊網(wǎng)絡(luò)，使所有可用的網(wǎng)絡(luò)資源都被耗盡，最后導(dǎo)致合法用戶的請求無法通過；類似于一大群人同時沖向一個安全出口，則會造成安全出口的阻塞，導(dǎo)致其他人都無法通過出口。而連通性攻擊是指使用大量的連接請求沖擊服務(wù)器，使所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求；即服務(wù)器忙于處理攻擊者的連接請求而無暇理睬合法用戶的正常請求，此時從合法用戶的角度來看就是服務(wù)器失去響應(yīng)。Smurf攻擊（帶寬攻擊）Smurf攻擊并不直接對目標(biāo)主機發(fā)

3、送服務(wù)請求包，攻擊者在遠(yuǎn)程機器上發(fā)送ICMP答應(yīng)請求ping服務(wù)，但這個ping命令的目的地址不是某個主機的IP地址，是某個網(wǎng)絡(luò)的廣播地址（即目標(biāo)IP地址為“FFFFFFFF”），并且這個ping命令的源地址被偽造成了將要攻擊的主機IP地址。這樣，收到廣播ping命令后的主機，都會按數(shù)據(jù)包中所謂的源IP地址返回請求信息，向被攻擊的主機發(fā)送echo響應(yīng)包作為回答。大量同時返回的echo響應(yīng)數(shù)據(jù)包會造成目標(biāo)網(wǎng)絡(luò)嚴(yán)重?fù)砣G包，甚至完全崩潰。SYN攻擊（連通性攻擊）SYN攻擊是利用現(xiàn)有TCP/IP協(xié)議族的設(shè)計弱點和缺陷。在TCP/IP協(xié)議的三次握手協(xié)議過程如下：（1）第一次握手。客戶端發(fā)送SYN包到

4、服務(wù)器，向服務(wù)端提出連接請求，這時TCPSYN標(biāo)志置位（SYN=j）,客戶端在TCP包頭的序列號區(qū)中插入白己的ISN。（2）第二次握手。服務(wù)器收到客戶的請求信息，必須回應(yīng)一個確認(rèn)信號，確認(rèn)客戶的SYN（ACK標(biāo)志置位為j+1），同時也發(fā)送一個白己的SYN包（SYN置位為k）,即SYN+ACK包，此時服務(wù)器進入SYN_RECV狀態(tài)。（3）第三次握手?？蛻舳耸盏椒?wù)器的SYN+ACK包,想月居器發(fā)送確認(rèn)包ACK（ACK置位為k+1）,此包發(fā)送完畢標(biāo)志建立了完整的TCP連接，客戶端和服務(wù)器進入ESTABLISHED狀態(tài)，可以開始全雙工模式的數(shù)據(jù)傳輸過程。假設(shè)一個用戶想服務(wù)器發(fā)送了SYN報文后突然死機

5、或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報文后是無法收到客戶端的ACK報文的（第三次握手無法完成），在這種情況下服務(wù)器端一般會重試（再次發(fā)送SYN+ACK）給客戶端，并且等待一段時間后丟棄這個未完成的連接，這段時間的長度一般是30秒2分鐘。如果一個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待1分鐘并不是大問題，但如果有一個惡意攻擊者大量模擬這種情況，服務(wù)器端為了維護一個非常大的半連接列表而消耗非常多的資源一一數(shù)以萬計的半連接，即使是簡單的保存及遍歷也會非常消耗很多的CPU時間和內(nèi)存，何況還要不斷對這個半連接列表中的IP進行SYN+ACK的重試。如果服務(wù)器的TCP/IP棧不夠強大，最后的結(jié)果往往是堆棧

6、溢出崩潰一一及時服務(wù)器的系統(tǒng)足夠強大，服務(wù)器端也會忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求。這種情況叫做服務(wù)器端收到了SYNFlood攻擊（SYN洪水攻擊）?！綝DOS攻擊原理簡介】DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的，它的攻擊方法說白了就是單挑，是比誰的機器性能好、速度快。當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項性能指標(biāo)不高時，他的效果是明顯的。但隨著計算機處理能力的迅速增長，內(nèi)存大大增加，CPU運算能力越來越強大，這使得DoS攻擊的困難程度加大了。被攻擊者對惡意攻擊包的抵抗能力加強的不少。這時候

7、分布式的拒絕服務(wù)攻擊手段就應(yīng)運而生了。所謂分布式拒絕服務(wù)（DDoS）攻擊是指借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DoS攻擊，從而成倍的提高拒絕服務(wù)攻擊的威力。如圖，一個比較完善的DDoS攻擊體系分成四大部分。第1部分：由黑客操控的主控計算機；第2部分：由黑客直接控制的控制傀儡機；第3部分：由控制傀儡機控制的攻擊傀儡機；第4部分：受害者。其中第2部分可由多臺控制傀儡機構(gòu)成。對受害者來說，DDoS的實際攻擊包是從第3部分攻擊傀儡機上發(fā)出的，第2部分的控制傀儡及只發(fā)命令而不參與實際的攻擊。對第2和第3部分計算機，黑客有控制權(quán)或者是部分的控制權(quán)，并把相應(yīng)的DD

8、oS程序傳到這些平臺上，這些程序與正常程序一樣運行，并等待來白黑客的指令，通常這些程序還會利用各種手段隱藏白己不被別人發(fā)現(xiàn)。在平時，這些傀儡機器并沒有什么異常，但一旦黑客連接到它們進行控制，并發(fā)出指令的時候，攻擊傀儡機就成為打手去對受害者發(fā)起攻擊了。一般情況下黑客不直接控制第3部分的攻擊傀儡機，而要從控制傀儡機上中轉(zhuǎn)一下，這就導(dǎo)致DDoS攻擊難以追查。攻擊者為了反偵察，都會清理日志擦掉腳印。狡猾的攻擊者不會清空日志，這樣容易被人發(fā)覺，黑客們會挑有關(guān)白己不良行為的日志項目刪掉，讓人看不到異常情況。這樣可以長時間的利用控制傀儡機。在傀儡機上清理日志是一項龐大的工程，所以黑客一般控制少數(shù)的控制傀儡機

9、就足夠了，而控制傀儡機一臺就可以控制幾十臺攻擊機?！綝DoS的防范】對于Smurf類型DDoS攻擊的防范首先，千萬不能讓白己網(wǎng)絡(luò)里的人發(fā)起這樣的攻擊。在Smurf攻擊中，有大量的源欺騙的IP數(shù)據(jù)包離開了第一個網(wǎng)絡(luò)。所以我們通過在局域網(wǎng)的邊界路由器上使用輸出過濾，從而阻止白己網(wǎng)絡(luò)中其他人向局域網(wǎng)外發(fā)送的源欺騙Smurf攻擊。在路由器上增加這類過濾規(guī)則的命令是：Access-list100permitIP（你的網(wǎng)絡(luò)號（你的網(wǎng)絡(luò)子網(wǎng)掩碼any】Access-list100denyIPanyany其次，停止白己的網(wǎng)絡(luò)作為中間代理。如果沒有必須要向外發(fā)送廣播數(shù)據(jù)包的情況，就可以在路由器的每個接口上設(shè)置禁

10、止直接廣播，命令如下：【noipdirected-broadcast如果白己所在的網(wǎng)絡(luò)比較大，具有多個羅尤其，那么可以在邊界路由器上使用以下命令：【ipverifyunicastreverse-path!讓路由器對具有相反路徑的ICMP欺騙數(shù)據(jù)包進行校驗，丟棄那些沒有路徑存在的包。最好是運行Cisco快速轉(zhuǎn)發(fā)，或者其他相應(yīng)的軟件。這是因為在路由器的CEF表中，列出了該數(shù)據(jù)包所到達網(wǎng)絡(luò)接口的所有路由項，如果沒有該數(shù)據(jù)包源IP地址的路由，路由器將丟棄該數(shù)據(jù)包。例如，路由器接收到一個源IP地址為的數(shù)據(jù)包，如果CEF路由表中沒有為IP地址提供任何路由（即反向數(shù)據(jù)包傳輸時所需

11、的路由），則路由器會丟棄它。對于SYN類型DDoS攻擊的防范：到目前為止，進行SYN類型的DDoS攻擊的防御還是比較困難的。這種攻擊的特點是它利用了TCP/IP協(xié)議的漏洞，除非你不用TCP/IP,才有可能完全抵御住DDoS攻擊。雖然它難于防范，但防止DDoS并不是絕對不可行的事情。互聯(lián)網(wǎng)的使用者是各種各樣的，與DDoS做斗爭，不同的角色有不同的任務(wù)：企業(yè)網(wǎng)管理員ISP、ICP管理員骨干網(wǎng)絡(luò)運營商企業(yè)網(wǎng)管理員：網(wǎng)管員做為一個企業(yè)內(nèi)部網(wǎng)的管理者，往往也是安全員、守護神。在他維護的網(wǎng)絡(luò)中有一些服務(wù)器需要向外提供WWW服務(wù)，因而不可避免地成為DDoS的攻擊目標(biāo)，可以從主機與網(wǎng)絡(luò)設(shè)備兩個角度去考慮如何防

12、御：1. 主機上的設(shè)置幾乎所有主機平臺都有抵御DDoS的設(shè)置，總結(jié)為以下幾種：1）關(guān)閉不必要的服務(wù)2）限制同時打開的SYN半連接數(shù)目3）縮短SYN半連接的timeout時間4）及時更新系統(tǒng)補丁2. 網(wǎng)絡(luò)設(shè)備上的設(shè)置企業(yè)網(wǎng)的網(wǎng)絡(luò)設(shè)備可以從防火墻和路由器上考慮。這兩個設(shè)備是到外界的接口設(shè)備，在進行防DDoS設(shè)置的同時，要注意一下這是以多大的效率犧牲為代價的，對特定的對象來說是否值得。1）防火墻a）禁止對主機的非開放服務(wù)的訪問b）限制同時打開的SYN最大連接數(shù)c）限制特定IP地址的訪問d）啟用防火墻的防DDoS的屬性e）嚴(yán)格限制對外開放的服務(wù)器的向外訪問2）路由器（以Cisco路由器為例）a）使用u

13、nicastreverse-pathb）訪問控制列表（ACL）過濾c）設(shè)置SYN數(shù)據(jù)包流量速率d）升級版本過低的ISOe）為路由器建立logserverISP/ICP管理員ISP/ICP為很多中小型企業(yè)提供了各種規(guī)模的主機托管業(yè)務(wù)，所以在防DDoS時，除了與企業(yè)網(wǎng)管理員一樣的手段外，還要特別注意白己管理范圍內(nèi)的客戶托管主機不要成為傀儡機?？陀^上說，這些托管主機的安全性普遍是很差的，有的連基本的補丁都沒有打就赤膊上陣了，成為黑客最易控制的傀儡機，托管的主機大都是高性能、高帶寬的，往往適合用做DDos攻擊。所以要加強對托管主機的安全性能的提升骨干網(wǎng)絡(luò)運營商骨干網(wǎng)路運營商提供了互聯(lián)網(wǎng)存在的物理基礎(chǔ)。

14、如果骨干網(wǎng)絡(luò)運營商可以很好地合作的話，DDoS攻擊能很好地被預(yù)防。在2000年yahoo等知名網(wǎng)站被攻擊后，美國的網(wǎng)絡(luò)安全研究機構(gòu)提出了骨干運營商聯(lián)手來解決DDoS攻擊的方案。方法很簡單，就是每家運營商在白己的出口路由器上進行源IP地址的驗證，如果在白己的路由表中沒有到這個數(shù)據(jù)包源IP的路由，就丟掉這個包。這種方法可以阻止黑客利用偽造的源IP來進行DDoS攻擊。不過同樣，這樣做會降低路由器的效率，這也是骨干運營商非常關(guān)注的問題，所以這種做法真正采用起來還很困難。對DDoS的應(yīng)付方法的研究一直在進行中，找到一個既有效又切實可行的方案不是一朝一夕的事情。但目前至少可以做到把白己的網(wǎng)絡(luò)與主機維護好，

15、首先讓白己的主機不成為別人利用的對象去攻擊別人；其次，在受到攻擊的時候，要盡量地保存證據(jù)，以便事后追查，一個良好的網(wǎng)絡(luò)和日志系統(tǒng)是必要的。無論DDoS的防御向何處發(fā)展，這都將是一個社會工程，需要IT界一起關(guān)注，通力合作?？偨Y(jié)：在寫論文的過程中，我通過翻看書本，查閱資料，回憶上課內(nèi)容，對DoS攻擊以及DDoS攻擊的攻擊原理有了非常準(zhǔn)確的把握，能夠比較清楚的對其工作原理進行描述，了解其攻擊工作機制；對TCP/IP協(xié)議下的網(wǎng)絡(luò)安全形勢有了一定了解。而對于DDoS攻擊的防范也進行了一些了解，能做到白己不會成為被控制的傀儡機，保護白己所在局域網(wǎng)不會有人發(fā)起Smurf攻擊，以及如果作為網(wǎng)絡(luò)管理員該如何應(yīng)對DDoS攻擊。參考文獻：1 網(wǎng)絡(luò)技術(shù)