畢業(yè)設計----ddos攻擊防范技術研究

1、<p>　　DDOS攻擊防范技術研究</p><p>　　摘要 DDOS是目前最難防御的網(wǎng)絡攻擊之一，它可以瞬間使被攻擊的網(wǎng)絡喪失正常的服務功能，本文通過此研究，力求使更多的網(wǎng)民認識其危害，加強網(wǎng)絡防范意識，降低受害率，更進一步保證國家信息安全。</p><p>　　關鍵詞 DDOS攻擊、DDOS攻擊防范、研究</p><p>　　ABSTRACT

2、</p><p>　　KEY WORDS </p><p><b>　　目錄</b></p><p><b>　　1.前 言4</b></p><p>　　2.DDOS攻擊概述4</p><p>　　2.1 DOS攻擊概述4</p><p>　

3、　2.2 DDOS攻擊概述5</p><p>　　3.DDOS攻擊的表現(xiàn)形式和攻擊方式6</p><p>　　3.1 DDOS表現(xiàn)形式6</p><p>　　3.2 DDOS攻擊方式6</p><p>　　3.2.1 SYN/ACK Flood攻擊6</p><p>　　3.2.2 TCP全連接攻擊7<

4、;/p><p>　　3.2.3 刷Script腳本攻擊7</p><p>　　4.DDOS攻擊的監(jiān)測8</p><p>　　4.1 流量攻擊的檢測8</p><p>　　4.2 資源耗盡攻擊的檢測8</p><p>　　4.3 攻擊檢測8</p><p>　　4.3.1 根據(jù)異常情況分析

5、9</p><p>　　4.3.2使用DDOS檢測工具9</p><p>　　5.DDOS攻擊使用的常用工具9</p><p>　　5.1 Trinoo9</p><p>　　5.2 TFN10</p><p>　　5.3 TFN2K10</p><p>　　5.4 Stacheldr

6、aht10</p><p>　　6.DDOS攻擊的實例分析10</p><p>　　6.1搜集了解目標的情況10</p><p>　　6.2占領傀儡機11</p><p>　　6.3 實際攻擊12</p><p>　　6.4 SYN Flood實例分析14</p><p>　　7.D

7、DOS攻擊防范策略17</p><p>　　7.1 采用高性能的網(wǎng)絡設備17</p><p>　　7.2 盡量避免NAT的使用17</p><p>　　7.3 充足的網(wǎng)絡帶寬保證17</p><p>　　7.4 升級主機服務器硬件18</p><p>　　7.5 把網(wǎng)站做成靜態(tài)頁面18</p>

8、<p>　　7.6 增強操作系統(tǒng)的TCP/IP棧18</p><p>　　7.7 安裝專業(yè)抗DDOS防火墻18</p><p>　　7.8 其他防御措施19</p><p><b>　　8.結論19</b></p><p><b>　　致謝19</b></p>&

9、lt;p><b>　　參考文獻20</b></p><p><b>　　1.前 言</b></p><p>　　DDOS攻擊可以瞬間破壞正常的網(wǎng)絡服務，自出現(xiàn)DDOS攻擊以來，國內外都非常重視，陸續(xù)出現(xiàn)了一些防DDOS攻擊的軟硬件設備，如天網(wǎng)防洪堤等，隨著對DDOS攻擊的深入研究，防御的手段將會越來越多，技術將會越來越強大，但是目前國內外

10、還沒有一種技術或者產品可以徹底防御DDOS攻擊。</p><p>　　本文通過對DDOS攻擊的深入了解和分析，進而找出一種防御DDOS攻擊的最優(yōu)化的方法，進一步使更多的網(wǎng)民認識其危害，加強網(wǎng)絡防范意識，降低受害率，保證網(wǎng)絡服務正常運作，減少國家經(jīng)濟損失。</p><p>　　2.DDOS攻擊概述</p><p>　　2.1 DOS攻擊概述</p>&l

11、t;p>　　在了解DDOS之前，首先我們來看看DOS，DOS的英文全稱是Denial of Service，也就是“拒絕服務”的意思。從網(wǎng)絡攻擊的各種方法和所產生的破壞情況來看，DOS算是一種很簡單但又很有效的進攻方式。它的目的就是拒絕你的服務訪問，破壞組織的正常運行，最終它會使你的部分Internet連接和網(wǎng)絡系統(tǒng)失效。DOS的攻擊方式有很多種，最基本的DOS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到

12、服務。DOS攻擊的原理如圖1所示。</p><p>　　圖1 DOS攻擊原理</p><p>　　從圖1我們可以看出DOS攻擊的基本過程：首先攻擊者向服務器發(fā)送眾多的帶有虛假地址的請求，服務器發(fā)送回復信息后等待回傳信息，由于地址是偽造的，所以服務器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當服務器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種

13、反復發(fā)送偽地址請求的情況下，服務器資源最終會被耗盡。</p><p>　　2.2 DDOS攻擊概述</p><p>　　DDOS（分布式拒絕服務），它的英文全稱為Distributed Denial of Service，它是一種基于DOS的特殊形式的拒絕服務攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比較大的站點，像商業(yè)公司，搜索引擎和政府部門的站點。從圖1我們可以看出DOS攻擊只要

14、一臺單機和一個modem就可實現(xiàn)，與之不同的是DDOS攻擊是利用一批受控制的機器向一臺機器發(fā)起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。DDOS的攻擊原理如圖2所示。</p><p>　　圖2 DDOS攻擊原理</p><p>　　從圖2可以看出，DDOS攻擊分為3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。</p><p>　　1、

15、攻擊者：攻擊者所用的計算機是攻擊主控臺，可以是網(wǎng)絡上的任何一臺主機，甚至可以是一個活動的便攜機。攻擊者操縱整個攻擊過程，它向主控端發(fā)送攻擊命令。</p><p>　　2、主控端：主控端是攻擊者非法侵入并控制的一些主機，這些主機還分別控制大量的代理主機。在主控端主機上安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機上。</p><p>　　3、代理端：

16、代理端同樣也是攻擊者侵入并控制的一批主機，它們上面運行攻擊器程序，接受和運行主控端發(fā)來的命令。代理端主機是攻擊的執(zhí)行者，真正向受害者主機發(fā)起攻擊。</p><p>　　攻擊者發(fā)起DDOS攻擊的第一步，就是尋找在Internet上有漏洞的主機，進入系統(tǒng)后在其上面安裝后門程序，攻擊者入侵的主機越多，他的攻擊隊伍就越壯大。第二步在入侵主機上安裝攻擊程序，其中一部分主機充當攻擊的主控端，一部分主機充當攻擊的代理端。最后各

17、部分主機各施其職，在攻擊者的調遣下對攻擊對象發(fā)起攻擊。由于攻擊者在幕后操縱，所以在攻擊時不會受到監(jiān)控系統(tǒng)的跟蹤，身份不容易被發(fā)現(xiàn)。</p><p>　　3.DDOS攻擊的表現(xiàn)形式和攻擊方式</p><p>　　3.1 DDOS表現(xiàn)形式</p><p>　　DDOS攻擊的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對網(wǎng)絡帶寬的攻擊，即大量攻擊包導致網(wǎng)絡帶寬被阻塞，合法

18、網(wǎng)絡包被虛假的攻擊包淹沒而無法到達主機；另一種為資源耗盡攻擊，主要是針對服務器主機的攻擊，即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網(wǎng)絡服務。</p><p>　　3.2 DDOS攻擊方式</p><p>　　3.2.1 SYN/ACK Flood攻擊</p><p>　　這種攻擊方法是經(jīng)典最有效的DDOS方法，適用于各種系統(tǒng)的網(wǎng)

19、絡服務，主要是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK包，導致主機的緩存資源被耗盡或忙于發(fā)送回應包而造成拒絕服務，由于源都是偽造的，所以追蹤起來比較困難，缺點是實施起來有一定難度，需要高帶寬的僵尸主機支持。少量的這種攻擊會導致主機服務器無法訪問，但卻可以Ping通，在服務器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態(tài)，大量的這種攻擊會導致Ping失敗、TCP/IP棧失效，并會出現(xiàn)系統(tǒng)凝固現(xiàn)

20、象，即不響應鍵盤和鼠標。</p><p>　　3.2.2 TCP全連接攻擊</p><p>　　這種攻擊是為了繞過常規(guī)防火墻的檢查而設計的，一般情況下，常規(guī)防火墻大多具備過濾TearDrop、Land等DOS攻擊的能力，但對于正常的TCP連接是放過的，殊不知很多網(wǎng)絡服務程序（如：IIS、Apache等Web服務器）能接受的TCP連接數(shù)是有限的，一旦有大量的TCP連接，即便是正常的，也會導致

21、網(wǎng)站訪問非常緩慢甚至無法訪問，TCP全連接攻擊就是通過許多僵尸主機不斷地與受害服務器建立大量的TCP連接，直到服務器的內存等資源被耗盡而被拖跨，從而造成拒絕服務，這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的，缺點是需要找很多僵尸主機，并且由于僵尸主機的IP是暴露的，因此容易被追蹤。</p><p>　　3.2.3 刷Script腳本攻擊</p><p>　　這種攻擊主要是針對存在A

22、SP、JSP、PHP、CGI等腳本程序，并調用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設計的，特征是和服務器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費數(shù)據(jù)庫資源的調用，典型的以小博大的攻擊方法。一般來說，提交一個GET或POST指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的，而服務器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的，常見的數(shù)據(jù)

23、庫服務器很少能支持數(shù)百個查詢指令同時執(zhí)行，而這對于客戶端來說卻是輕而易舉的，因此攻擊者只需通過Proxy代理向主機服務器大量遞交查詢指令，只需數(shù)分鐘就會把服務器資源消耗掉而導致拒絕服務，常見的現(xiàn)象就是網(wǎng)站慢如蝸牛、ASP程序失效、PHP連接數(shù)據(jù)庫失敗、數(shù)據(jù)庫主程序占用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火墻防護，輕松找一些Proxy代理就可實施攻擊，缺點是對付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣，并且有些Proxy會暴露攻擊者的

24、IP地址。</p><p>　　4.DDOS攻擊的監(jiān)測</p><p>　　4.1 流量攻擊的檢測</p><p>　　對于流量攻擊，可通過Ping命令來測試，若發(fā)現(xiàn)Ping超時或丟包嚴重(假定平時是正常的)，則可能遭受了流量攻擊，此時若發(fā)現(xiàn)和你的主機接在同一交換機上的服務器也訪問不了了，基本可以確定是遭受了流量攻擊。當然，這樣測試的前提是你到服務器主機之間的ICM

25、P協(xié)議沒有被路由器和防火墻等設備屏蔽，否則可采取Telnet主機服務器的網(wǎng)絡服務端口來測試，效果是一樣的。不過有一點可以肯定，假如平時Ping你的主機服務器和接在同一交換機上的主機服務器都是正常的，突然都Ping不通了或者是嚴重丟包，那么假如可以排除網(wǎng)絡故障因素的話則肯定是遭受了流量攻擊，再一個流量攻擊的典型現(xiàn)象是，一旦遭受流量攻擊，會發(fā)現(xiàn)用遠程終端連接網(wǎng)站服務器會失敗。</p><p>　　4.2 資源耗盡攻擊

26、的檢測</p><p>　　對于資源耗盡攻擊，我們假設平時Ping網(wǎng)站主機和訪問網(wǎng)站都是正常的，發(fā)現(xiàn)突然網(wǎng)站訪問非常緩慢或無法訪問了，而Ping還可以Ping通，則很可能遭受了資源耗盡攻擊，此時若在服務器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài)存在，而ESTABLISHED很少，則可判定肯定是遭受了資源耗盡攻擊。還有一種現(xiàn)象，Ping自己

27、的網(wǎng)站主機Ping不通或者是丟包嚴重，而Ping與自己的主機在同一交換機上的服務器則正常，造成這種原因是網(wǎng)站主機遭受攻擊后導致系統(tǒng)內核或某些應用程序CPU利用率達到100%無法回應Ping命令，其實帶寬還是有的，否則就Ping不通接在同一交換機上的主機了。</p><p><b>　　4.3 攻擊檢測</b></p><p>　　4.3.1 根據(jù)異常情況分析</

28、p><p>　　當網(wǎng)絡的通訊量突然急劇增長，超過平常的極限值時，此時一定要提高警惕，檢測此時的通訊；當網(wǎng)站的某一特定服務總是失敗時，也要多加注意；當發(fā)現(xiàn)有特大型的ICP和UDP數(shù)據(jù)包通過或數(shù)據(jù)包內容可疑時都要留神?？傊?，當主機出現(xiàn)異常情況時，你最好分析這些情況，防患于未然。</p><p>　　4.3.2使用DDOS檢測工具</p><p>　　當攻擊者想使其攻擊陰謀得

29、逞時，他們首先要掃描系統(tǒng)漏洞，我們可以利用一些網(wǎng)絡入侵檢測系統(tǒng)，可以杜絕攻擊者的掃描行為。另外，一些掃描器工具甚至可以發(fā)現(xiàn)攻擊者植入系統(tǒng)的代理程序，并可以把它從系統(tǒng)中刪除。</p><p>　　5.DDOS攻擊使用的常用工具</p><p>　　DDOS攻擊實施起來有一定的難度，它要求攻擊者必須具備入侵他人計算機的能力。但是很不幸的是一些傻瓜式的黑客程序的出現(xiàn)，這些程序可以在幾秒鐘內完成入

30、侵和攻擊程序的安裝，使發(fā)動DDOS攻擊變成一件輕而易舉的事情。</p><p>　　5.1 Trinoo</p><p>　　Trinoo的攻擊方法是向被攻擊目標主機的隨機端口發(fā)出全零的4字節(jié)UDP包，在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過程中，被攻擊主機的網(wǎng)絡性能不斷下降，直到不能提供正常服務，乃至崩潰。它對IP地址不做假，采用的通訊端口是：</p><p>　

31、　攻擊者主機到主控端主機：27665/TCP　　主控端主機到代理端主機：27444/UDP　　代理端主機到主服務器主機：31335/UDP</p><p><b>　　5.2 TFN</b></p><p>　　TFN由主控端程序和代理端程序兩部分組成，它主要采取的攻擊方法為：SYN風暴、Ping風暴、UDP炸彈和SMURF，具有偽造數(shù)據(jù)包的能力。</p&g

32、t;<p><b>　　5.3 TFN2K</b></p><p>　　TFN2K是由TFN發(fā)展而來的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的網(wǎng)絡通訊是經(jīng)過加密的，中間還可能混雜了許多虛假數(shù)據(jù)包，而TFN對ICMP的通訊沒有加密。攻擊方法增加了Mix和Targa3。并且TFN2K可配置的代理端進程端口。</p><p>　

33、　5.4 Stacheldraht</p><p>　　Stacheldraht也是從TFN派生出來的，因此它具有TFN的特性。此外它增加了主控端與代理端的加密通訊能力，它對命令源作假，可以防范一些路由器的RFC2267過濾。Stacheldrah中有一個內嵌的代理升級模塊，可以自動下載并安裝最新的代理程序。</p><p>　　6.DDOS攻擊的實例分析</p><p

34、>　　6.1搜集了解目標的情況</p><p>　　下列情況是黑客非常關心的情報：</p><p>　　●被攻擊目標主機數(shù)目、地址情況 </p><p>　　●目標主機的配置、性能 </p><p><b>　　●目標的帶寬</b></p><p>　　對于DDOS攻擊者來說，攻擊互聯(lián)網(wǎng)上的

35、某個站點，如http://www.WWW.com，有一個重點就是確定到底有多少臺主機在支持這個站點，一個大的網(wǎng)站可能有很多臺主機利用負載均衡技術提供同一個網(wǎng)站的www服務。假設以下地址向http://www.WWW.com提供服務： </p><p>　　66.218.71.87　　66.218.71.88　　66.218.71.89　　66.218.71.80　　66.218.71.81　　66.21

36、8.71.83　　66.218.71.84　　66.218.71.86 </p><p>　　如果要進行DDOS攻擊的話，應該攻擊哪一個地址呢？使66.218.71.87這臺機器癱掉，但其他的主機還是能向外提供www服務，所以想讓別人訪問不到http://www.WWW.com的話，要所有這些IP地址的機器都癱掉才行。在實際的應用中，一個IP地址往往還代表著數(shù)臺機器：網(wǎng)站維護者使用了四層或七層交換機來做負載均

37、衡，把對一個IP地址的訪問以特定的算法分配到下屬的每個主機上去。這時對于DDOS攻擊者來說情況就更復雜了，他面對的任務可能是讓幾十臺主機的服務都不正常。 </p><p>　　所以說事先搜集情報對DDOS攻擊者來說是非常重要的，這關系到使用多少臺傀儡機才能達到效果的問題。簡單地考慮一下，在相同的條件下，攻擊同一站點的2臺主機需要2臺傀儡機的話，攻擊5臺主機可能就需要5臺以上的傀儡機。有人說做攻擊的傀儡機越多越好，

38、不管你有多少臺主機我都用盡量多的傀儡機來攻就是了，反正傀儡機超過了時候效果更好。但在實際過程中，有很多黑客并不進行情報的搜集而直接進行DDOS的攻擊，這時候攻擊的盲目性就很大了，效果如何也要靠運氣。其實做黑客也像網(wǎng)管員一樣，是不能偷懶的。一件事做得好與壞，態(tài)度最重要，水平還在其次。 </p><p><b>　　6.2占領傀儡機</b></p><p>　　黑客最感興

39、趣的是有下列情況的主機： </p><p>　　●鏈路狀態(tài)好的主機 </p><p><b>　　●性能好的主機 </b></p><p>　　●安全管理水平差的主機</p><p>　　這一部分實際上是使用了另一大類的攻擊手段：利用形攻擊。這是和DDOS并列的攻擊方式。簡單地說，就是占領和控制被攻擊的主機：取得最高的管

40、理權限，或者至少得到一個有權限完成DDOS攻擊任務的帳號。對于一個DDOS攻擊者來說，準備好一定數(shù)量的傀儡機是一個必要的條件，下面說一下他是如何攻擊并占領它們的。 </p><p>　　首先，黑客做的工作一般是掃描，隨機地或者是有針對性地利用掃描器去發(fā)現(xiàn)互聯(lián)網(wǎng)上那些有漏洞的機器，像程序的溢出漏洞、cgi、Unicode、ftp、數(shù)據(jù)庫漏洞…，都是黑客希望看到的掃描結果，其次就是嘗試入侵了。假設黑客現(xiàn)在占領了一臺傀

41、儡機，他會把DDOS攻擊用的程序上載過去，一般是利用ftp。在攻擊機上，會有一個DDOS的發(fā)包程序，黑客就是利用它來向受害目標發(fā)送惡意攻擊包的。 </p><p><b>　　6.3 實際攻擊</b></p><p>　　經(jīng)過前2個階段的精心準備之后，黑客就開始瞄準目標準備攻擊了。前面的準備做得好的話，實際攻擊過程反而是比較簡單的。就像圖3所示，黑客登錄到做為控制臺的

42、傀儡機，向所有的攻擊機發(fā)出命令："預備~ ，瞄準~，開火!"。這時候埋伏在攻擊機中的DDOS攻擊程序就會響應控制臺的命令，一起向受害主機以高速度發(fā)送大量的數(shù)據(jù)包，導致它死機或是無法響應正常的請求。黑客一般會以遠遠超出受害方處理能力的速度進行攻擊，絕對不會手軟。</p><p>　　一些攻擊者還會一邊攻擊，一邊用各種手段來監(jiān)視攻擊的效果，在需要的時候進行一些調整。簡單些就是開個窗口不斷地ping

43、目標主機，在能接到回應的時候就再加大一些流量或是再命令更多的傀儡機來加入攻擊。 </p><p>　　下面我們以SYN-Flood為例體驗DDOS攻擊的整個過程。</p><p>　　SYN-Flood是目前最流行的DDOS攻擊手段，早期的DOS的手段在向分布式這一階段發(fā)展的時候也經(jīng)歷了浪里淘沙的過程。SYN-Flood的攻擊效果最好，應該是多數(shù)黑客不約而同選擇它的原因吧。那么我們一起來看

44、看SYN-Flood的詳細情況。</p><p>　　SYN Flood利用了TCP/IP協(xié)議的固有漏洞。面向連接的TCP三次握手是SYN Flood存在的基礎。 </p><p>　　圖4 TCP三次握手</p><p>　　如圖4，在第一步中，客戶端向服務端提出連接請求，這時TCP分段（SYN標志置位），客戶端告訴服務端序列號區(qū)域合法，需要檢查，客戶端在TCP報

45、頭的序列號區(qū)中插入自己的ISN。服務端收到該TCP分段后，在第二步以自己的ISN回應(SYN標志置位)，加上確認收到客戶端的第一個TCP分段(ACK標志置位)發(fā)給客戶端。在第三步中，客戶端確認收到服務端的ISN(ACK標志置位)。到此為止建立完整的TCP連接，開始全雙工模式的數(shù)據(jù)傳輸過程。 </p><p>　　圖5 SYN Flood惡意地不完成三次握手</p><p>　　假設一個用戶

46、向服務器發(fā)送了SYN報文后突然死機或掉線，那么服務器在發(fā)出SYN+ACK應答報文后是無法收到客戶端的ACK報文的（第三次握手無法完成），這種情況下服務器端一般會重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為SYN Timeout，一般來說這個時間是分鐘的數(shù)量級（大約為30秒-2分鐘）；一個用戶出現(xiàn)異常導致服務器的一個線程等待1分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這

47、種情況，服務器端將為了維護一個非常大的半連接列表而消耗非常多的資源――數(shù)以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內存，何況還要不斷對這個列表中的IP進行SYN+ACK的重試。實際上如果服務器的TCP/IP棧不夠強大，最后的結果往往是堆棧溢出崩潰――即使服務器端的系統(tǒng)足夠強大，服務器端也將忙于處理攻擊者偽造的TCP連接請求而沒時間處理客戶的正常請求（畢竟客戶端的正常請求比率非常之?。?，此時從正?？蛻舻慕嵌瓤磥?，服

48、務器失去響應，這種情況我們稱做：服務器端受到了SYN Flood攻擊（SYN洪水攻擊）?！　?lt;/p><p>　　6.4 SYN Flood實例分析</p><p>　　這一個局域網(wǎng)環(huán)境，只有一臺攻擊機（P4 2.4G/256M DDR）pc01，被攻擊的是一臺（P4 2.0/256 M DDR）pc02的主機，網(wǎng)絡設備是Cisco的百兆交換機。這是在攻擊還沒有進行之前，在pc02上進行s

49、noop的記錄，snoop和tcpdump等網(wǎng)絡監(jiān)聽工具一樣，也是一個很好的網(wǎng)絡抓包與分析的工具?？梢钥吹焦糁?，目標主機上接到的基本上都是一些普通的網(wǎng)絡包。</p><p>　　……　　　　 ? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes　　　　 ? -> (broadcast) ETHER Type=886F (U

50、nknown), size = 1510 bytes　　　　 ? -> (multicast) ETHER Type=0000 (LLC/802.3), size = 52 bytes　　　　 ? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes192.168.0.66 -> 192.168.0.255 NBT Datagram Service

51、 Type=17 Source=GU[0]192.168.0.210 -> 192.168.0.255 NBT Datagram Service Type=17 Source=ROOTDC[20]192.168.0.247 -> 192.168.0.255 NBT Datagram Service Type=17 Source=TSC[0]　　　　</p><p>　　接著，攻擊機開始發(fā)包，DD

52、OS開始了…，突然間pc02主機上的snoop窗口開始飛速地翻屏，顯示出接到數(shù)量巨大的SYN請求。這是在SYN Flood攻擊時的snoop輸出結果：</p><p>　　……127.0.0.178 -> lab183.lab.net AUTH C port=1352 127.0.0.178 -> lab183.lab.net TCP D=114 S=1352 SYN Seq=674711609

53、 Len=0 Win=65535127.0.0.178 -> lab183.lab.net TCP D=115 S=1352 SYN Seq=674711609 Len=0 Win=65535127.0.0.178 -> lab183.lab.net UUCP-PATH C port=1352 127.0.0.178 -> lab183.lab.net TCP D=118 S=1352 SYN Seq=67471

54、1609 Len=0 Win=65535127.0.0.178 -> lab183.lab.net NNTP C port=1352 127.0.0.178 -> lab183.lab.net TCP D=121 S=1352 SYN Seq=674711609 Len=0 Win=65535127.0.0.178 -> lab183.l</p><p>　　這時候內容完全不同了，再也收不

55、到剛才那些正常的網(wǎng)絡包，只有DDOS包。大家注意一下，這里所有的SYN Flood攻擊包的源地址都是偽造的，給追查工作帶來很大困難。這時我們用netstat命令來查一下被攻擊主機上積累了多少SYN的半連接： </p><p>　　# netstat -an | grep SYN </p><p>　　……192.168.0.183.9　 　 127.0.0.79.1801　　　　 0　

56、　 0 24656　　 0 SYN_RCVD192.168.0.183.13　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD192.168.0.183.19　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD192.168.0.183.21　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD192.1

57、68.0.183.22　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD192.168.0.183.23　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD192.168.0.183.25　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD192.168.0.183.37　　 127.0.0.79.180

58、1　 　 0 0</p><p>　　其中SYN_RCVD表示當前未完成的TCP SYN隊列，統(tǒng)計一下：　　# netstat -an | grep SYN | wc -l　　5273　　# netstat -an | grep SYN | wc -l　　5154　　# netstat -an | grep SYN | wc -l　　5267　　…..</p><

59、p>　　共有五千多個SYN的半連接存儲在內存中。這時候被攻擊機已經(jīng)不能響應新的服務請求了，系統(tǒng)運行非常慢，也無法ping通。</p><p>　　這是在攻擊發(fā)起后僅僅70秒左右時的情況。</p><p>　　7.DDOS攻擊防范策略</p><p>　　對付DDOS是一個系統(tǒng)工程，僅僅依靠某種系統(tǒng)或產品防范DDOS是不現(xiàn)實的，可以肯定的是，完全杜絕DDOS攻擊

60、，目前是不可能的，但通過適當?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當?shù)霓k法增強了抵御DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄，也就相當于成功的抵御了DDOS攻擊。</p><p>　　7.1 采用高性能的網(wǎng)絡設備</p><p>　　首先要保證網(wǎng)絡設備不能成為瓶頸，因此選擇路由器、交換機、硬件防

61、火墻等設備的時候要盡量選用知名度高、口碑好的產品。再次，假如和網(wǎng)絡提供商有特殊關系或協(xié)議的話就更好了，當大量攻擊發(fā)生的時候請他們在網(wǎng)絡接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。</p><p>　　7.2 盡量避免NAT的使用</p><p>　　無論是路由器還是硬件防護墻設備要盡量避免采用網(wǎng)絡地址轉換NAT的使用，因為采用此技術會較大降低網(wǎng)絡通信能力，其實原因很簡單，

62、因為NAT需要對地址來回轉換，轉換過程中需要對網(wǎng)絡包的校驗和進行計算，因此浪費了很多CPU的時間，但有些時候必須使用NAT，那就沒有好辦法了。</p><p>　　7.3 充足的網(wǎng)絡帶寬保證</p><p>　　網(wǎng)絡帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現(xiàn)在的SYN Flood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的

63、主干上了。但需要注意的是，主機上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因為網(wǎng)絡服務商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。</p><p>　　7.4 升級主機服務器硬件</p><p>　　在有網(wǎng)絡帶寬保證的前提下，請盡量提升硬件配置，要有效

64、對抗每秒10萬個SYN攻擊包，服務器的配置至少應該為：P4 2.4G/DDR512M/SCSI-HD，起關鍵作用的主要是CPU和內存，內存一定要選擇DDR的高速內存，硬盤要盡量選擇SCSI的，別只貪IDE價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網(wǎng)卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。</p><p>　　7.5 把網(wǎng)站做成靜態(tài)頁面</p>

65、<p>　　大量事實證明，把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現(xiàn)在為止關于HTML的溢出還沒有出現(xiàn)，新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面，若你非需要動態(tài)腳本調用，那就把它弄到另外一臺單獨主機去，免的遭受攻擊時連累主服務器，當然，適當放一些不做數(shù)據(jù)庫調用腳本還是可以的，此外，最好在需要調用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問，因為經(jīng)驗表明使用代理訪問你網(wǎng)站的80%屬于惡意行

66、為。</p><p>　　7.6 增強操作系統(tǒng)的TCP/IP棧</p><p>　　Win2000和Win2003作為服務器操作系統(tǒng)，本身就具備一定的抵抗DDOS攻擊的能力，只是默認狀態(tài)下沒有開啟而已，若開啟的話可抵擋約10000個SYN攻擊包，若沒有開啟則僅能抵御數(shù)百個。</p><p>　　7.7 安裝專業(yè)抗DDOS防火墻</p><p>

67、;　　國內有一款可全功能免費試用的“冰盾防火墻”，是專門針對DDOS攻擊和黑客入侵而設計的專業(yè)級防火墻，據(jù)測試可有效對抗每秒數(shù)十萬的SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等DDOS攻擊，而且可識別2000多種黑客行為的入侵檢測模塊，能夠有效防范端口掃描、SQL注入、木馬上傳等攻擊。</p><p>　　7.8 其他防御措施</p><p>　　以上的七條對抗DDOS建議，適合絕大

68、多數(shù)擁有自己主機的用戶，假如采取以上措施后仍然不能解決DDOS問題，就有些麻煩了，可能需要更多投資，增加服務器數(shù)量并采用DNS輪巡或負載均衡技術，甚至需要購買七層交換機設備，從而使得抗DDOS攻擊能力成倍提高，只要投資足夠深入，總有攻擊者會放棄的時候，那時候你就成功了！</p><p><b>　　8.結論</b></p><p>　　對DDoS的原理與應付方法的研究

69、一直在進行中，找到一個既有效又切實可行的方案不是一朝一夕的事情，但目前我們至少可以做到把自己的網(wǎng)絡與主機維護好，首先讓自己的主機不成為別人利用的對象去攻擊別人；其次，在受到攻擊的時候，要盡量地保存證據(jù)，以便事后追查，一個良好的網(wǎng)絡和日志系統(tǒng)是必要的。無論DDoS的防御向何處發(fā)展，這都將是一個社會工程，需要IT界的同行們來一起關注，通力合作。</p><p><b>　　致謝</b></

70、p><p>　　在畢業(yè)論文完成之際，首先，要感謝我的導師***老師在我的畢業(yè)設計與論文撰寫過程中，給了我大量的悉心指導和幫助，在老師的耐心幫助下才能順利的完成論文的寫作，在此向老師表示最誠摯的謝意。</p><p>　　感謝我們專業(yè)的所有老師和在一起朝夕相處四年的同學們，在這四年來，在學習中、研究工作中、在生活上，他們給了我許多鼓勵和幫助。在論文工作中提了許多寶貴的建議意見和指導，真正是我的良

71、師益友。</p><p>　　感謝在大學的四年里始終給了我無盡的支持的父母，正是他們的鞭策、鼓勵、理解和幫助是我克服困難、不斷進步的精神支柱，是我勇往直前的精神動力，我的任何成績都是和他們的支持分不開的。</p><p><b>　　參考文獻</b></p><p>　　[1] 飛思科技產品研發(fā)中心，居安思危－電腦防黑防毒急救，電子工業(yè)出版社