1、 本 科 毕 业 论 文 基于流量分析的 DOS 攻击检测技术的研究 DOS attack detection research based on traffic analysis 姓 名: 学 号: 学 院:软件学院 系: 软件工程 专 业:软件工程 年 级: 指导教师 : 年 月 摘 要 Internet迅速发展的同时,网络 信息 安全 逐渐 成为人们关注的焦点,病毒、恶意攻击、 木马 等都 可 能造成 网络 瘫痪 , 其中 拒绝服务 攻击是极为常见的攻击手法。 多种网络 入侵 防御技术被综合应用到网络安全治理体系中, 网络 流量监控 便是其中一种分析 网络状况的有效方法,它从 网络 流量
2、分析角度,通过实时地收集和 分析 网络数据包信息,来检查是否 有影响网络安全 的行为和网络工作异常的迹象。 本 系统在 Visual C+6.0环境下进行开发,在 TCP/IP协议的原理基础上,综合采用了 Winpcap、注册表编程和 IP助手 API等 VC编程技术, MYSQL作为后台的数据库管理系统,提供友好的用户界面, 实现了数据包捕捉、流量 分析 与统计主要功能 , 从而能对网络中可能存在的拒绝服务攻击(包括 SYN洪水攻击、 Land攻击、Smurf攻击、 UDP洪水攻击、死亡之 PING等常见的攻击方式 )进行实时检测 , 实时报警 , 并 提供了多种方式显示结果,如曲线图、列表
3、等 。 为网络 管理员 了解网络运行状态提供了参考 。 关键词 : 网络监控 ; 流量分析 ; 拒绝服务攻击 Abstract With the rapid development of Internet, network information security has gradually become the focus of attention. Virus, ma licious attack, hobbyhorse etc, all may bring about the network be paralysed, and Denial of Service is the extre
4、mely common attack technique. A variety of network intrusion prevention technology has been applied to a comprehensive network security management system, monitoring network traffic analysis is an effective way to network conditions. it analyses an angle from network rate of flow, through real-time
5、collection and analysis of network packets of information, inspects whether it will affect the conduct of network security and signs of abnormal network. The system in visual c+ 6.0 environment for development, based on the principle of TCP/IP protocol, integrated using Winpcap, registry programming
6、, IP Helper API programming techniques. MYSQL as the background database management system, provides the friendly user interface, achieved packet capture, the flow analysis and the statistics, thus able to detect the DoS(Denial of Service) attack may exist, for example, SYN flood attack, Land attack
7、, UDP flood attack, ping of death and some other common attack methods. Key words: Network monitoring; Flow analysis ; Denial of Service 目录 第一章 绪论 . 1 1.1 网络流量监控研究背景和意义 . 1 1.2 本文研究内容 . 2 1.3 论文组织结构 . 3 第二章 基本概念介绍 . 5 2.1 以太网简介 . 5 2.1.1 以太网的简史 . 5 2.1.2 OSI 参考模 型 . 5 2.1.3 以太网基本网络组成 . 7 2.2 IP/TCP
8、协议 . 7 2.2.1 TCP/IP 整体构架概述 . 8 2.2.2 TCP/IP 中的协议 . 9 2.3 UDP 协议 . 11 2.4 ICMP 协议 . 12 2.5 Winpcap 介绍 . 12 2.5.1 Winpcap 内部结构 . 13 2.5.2 Winpacp 的功能 . 14 2.6 MYSQL 简介 . 14 2.7 拒绝服务攻击 . 15 2.7.1 SYN 洪水攻击 . 16 2.7.2 Land 攻击 . 16 2.7.3 Smurf 攻击 . 17 2.7.4 死亡之 PING. 17 2.7.5 UDP 洪水攻击 . 17 2.7.6 Teardrop
9、攻击 . 17 2.8 本章小结 . 18 第三章 系统详细设计 .19 3.1 系统开发目的及设计目标 . 19 3.2 系统整体设计思想 . 19 3.3 系统数据库的设计 . 20 3.4 网络数据包捕获模块 . 22 3.4.1 网络数据包捕获原理 . 22 3.4.2 Winpcap 进行网络数据包的捕获设计步骤 . 23 3.4.3 数据包捕获的具体实现 . 24 3.5 网络数据包分析模块 . 25 3.5.1 捕获数据包的整体分析 . 25 3.5.2 SYN 洪水攻击分析 . 26 3.5.3 LAND 攻击分析 . 27 3.5.4 SMURF 攻击分析 . 28 3.5.
10、5 死亡之 PING 攻击分析 . 28 3.6 实时监控模块 . 28 3.6.1 图形监控 . 29 3.6.2 数字监控 . 30 3.6.3 流量监控 . 31 3.7 报警模块 . 32 3.7.1 报警设置 . 33 3.7.2 报警数据筛选、报警 . 33 3.8 本章小结 . 34 第四章 系统实现结果 .35 4.1 实时监控 . 36 4.1.1 图形监控 . 36 4.1.2 数字监控 . 38 4.1.3 流量监控 . 39 4.2 历史数据查询 . 41 4.3 报警模块 . 43 4.3.1 报警设置 . 43 4.3.2 报警提示 . 43 4.3.3 报警数据
11、. 44 4.3.4 清空数据 . 47 4.4 本章小结 . 47 第五章 结束语 .48 参考文献 .49 致谢语 .50 Contents Chapter 1 Introduction . 1 1.1 Background and Significance . 1 1.2 The main work . 2 1.3 Structure of this thesis. 3 Chapter 2 Basic concept . 5 2.1 Ethernet synopsis . 5 2.1.1 A brief history of ethernet . 5 2.1.2 OSI referenc
12、e model . 5 2.1.3 Basic network of ethernet . 7 2.2 IP/TCP protocol . 7 2.2.1 TCP/IP overall skeleton outline . 8 2.2.2 TCP/IP agreement . 9 2.3 UDP protocol. 11 2.4 ICMP protocol . 12 2.5 Winpcap. 12 2.5.1 The internal structure of winpcap . 13 2.5.2 Winpacp function . 14 2.6 MYSQL . 14 2.7 Denial
13、of service . 15 2.7.1 SYN flood attack. 16 2.7.2 Land attack . 16 2.7.3 Smurf attack . 17 2.7.4 Ping of death . 17 2.7.5 UDP flood attack . 17 2.7.6 Teardrop attack . 17 2.8 Chapter summary. 18 Chapter 3 Detailed Design.19 3.1 Development goal and project objective. 19 3.2 The overall design concept
14、. 19 3.3 Database design . 20 3.4 Network packet capture module . 22 3.4.1 The principle of network packet capture. 22 3.4.2 Network packet capture design steps . 23 3.4.3 Network packet capture concrete realization . 24 3.5 Network packet analysis module. 25 3.5.1 Overall analysis. 25 3.5.2 Analysi
15、s of SYN flood attack . 26 3.5.3 Analysis of LAND attack . 27 3.5.4 Analysis of SMURF attack . 28 3.5.5 Analysis of Ping of death . 28 3.6 Real-time monitoring module. 28 3.6.1 Graphics monitoring . 29 3.6.2 Digital monitoring. 30 3.6.3 Traffic monitoring . 31 3.7 Alarm module . 32 3.7.1 Alarm settings . 33 3.7.2 Filter alarm data . 33 3.8 Chapter summary. 34 Chapter 4 Achieve results .35 4.1 Real-time monitoring . 36 4.1.1 Graphics monitoring . 36 4.1.2 Digital monitoring. 38 4.1.3 Traffic monitoring . 39 4.2 Historical data query.