1、 延 边 大 学(本 科 毕 业 论 文本 科 毕 业 设 计题 目 : DDoS 攻击方式及防御方法分析研究学 生 姓 名 : 向 光 跃学 院 : 经 济 管 理 学 院专 业 : 信 息 管 理 与 信 息 系 统班 级 : 2008 级指 导 教 师 : 崔 基 哲 副 教 授学校代码: 10184学 号: 2084030152延边大学本科毕业论文二 一 二 年 五 月延边大学本科毕业论文摘 要近年来,互联网越来越普及,大到公司企业的电子商务,小到普通用户的上网购物,都离不开互联网络的支持。但是,由 Internet 的发展而带来的网络的安全问题,正变得日益突出,并逐步引起了人们的关注
2、。本文从 DoS 的概念入手,对比分析 DoS 与 DDoS 的异同之处,进而引申出 DDoS 攻击的概念,之后分析并介绍 DDoS 攻击的现象与步骤,并着重分析 DDoS 攻击中的几种典型攻击,以及对如何防御 DDoS提出了几点建议,望能够在现实中有效抵御 DDoS 攻击,将损失降到最小。关键词:DoS;DDoS;分布式拒绝服务;傀儡机;SYN;防火墙延边大学本科毕业论文Abstract In recent years, the Internet is becoming increasingly popular. from large to e-commerce of the enterpr
3、ises, and small to ordinary users Internet shopping, are inseparable from the support of the Internet. However, the Internet network security systems brought about by the development of Internet , are becoming increasingly prominent, and gradually attracted attention. In this paper, starting from th
4、e concept of DoS, and comparative analysis of the similarities and differences of DoS and DDoS , and thus gives rise to the concept of DDoS attacks, followed by analysis and describes the phenomenon of DDoS attacks and steps, and focus on analysis of several typical DDoS attack , as well as give som
5、e suggestions about how to defend against these attacks, hope that in reality, its effective against DDoS attacks and make the company the smallest loss.Key word: DoS; DDoS; distributed denial of service; puppet machine; SYN; firewall延边大学本科毕业论文目 录文章目录第一章 绪 论 .11.1研究目的 .11.2文献综述 .11.2.1. DDoS 攻击前序 .1
6、1.2.2. DDoS 攻击现状 .11.3研究内容及方法 .2第二章 基本概念介绍 .32.1DDoS 的前身 DoS .32.2DDoS 概念 .3第三章 DDoS 攻击动机和症状特征 .53.1DDoS 攻击的动机 .53.2DDoS 攻击的症状特征 .5第四章 DDoS 攻击步骤介绍 .64.1DDoS 攻击步骤 .64.1.1. 获取目标信息 .64.1.2. 占领傀儡机 .64.1.3. 实际攻击 .6第五章 DDoS 攻击常见分类 .75.1SYN Flood【1】攻击 .75.2Connection Flood 攻击 .85.3CC 攻击 .95.4反射攻击 .9第六章 防御
7、DDoS 的几点建设性建议 .116.1增强终端设备的容忍性 .116.2提高主机系统或网络安全性 .116.3入口过滤 .126.4将网站做成静态网页 .126.5安装专业抗 DDoS 防火墙 .12延边大学本科毕业论文注 释 .17参考文献 .18图表目录图表 1 DDoS 攻击模型 .4图表 2 TCP 连接的三次握手 .7图表 3 SYN-Flood 攻击模型 .8图表 4 Connection Flood 攻击模型 .9图表 5 反射攻击模型 .10表格 1 防御能力及整体拥有成本 对比 .13表格 2 三类防火墙防御能力对比 .14延边大学本科毕业论文1第一章 绪 论1.1研究目的
8、近年来互联网络越来越普及,也越来越多的企业体系利用互联网络来做商业交易,对于一般使用者来说,电子商务更是方便又省时。但是互联网络与电子商务强力发展的背后,许许多多的安全问题便慢慢的浮现出来。没有安全、稳定的信息平台,所有使用者将对网际网络与电子商务产生疑虑,这对整个互联网络与电子商务将是一大缺憾。1.2文献综述1.2.1. DDoS 攻击前序拒绝服务攻击开始可能只是为了“取乐” ,对系统操作员进行某种报复或是实现各种复杂的攻击,例如对远程服务的隐形欺骗。某人因在某一信道上遭到侮辱后也经常会将 IRC 服务器作为攻击目标。这种情况下的网络和因特网使用是“保密的” ,这些攻击对其造成的影响微乎其微
9、。随着时间的流逝,因特网逐渐成为一种通信渠道,hacktivism(网络激进主义)越来越流行。地理政治形势、战争、宗教问题、生态等任何动机都可能成为对公司、政治组织或甚至国家的 IT 基础架构发动进攻的动机。但是过去一段时间内使用拒绝服务的目的大多数是纯粹的敲诈勒索。越来越多的企业开始依赖他们的 IT 基础架构。邮件、关键数据、甚至电话都通过网络来处理。如果没有这些主要的通信渠道,大多数公司都难以在竞争中幸存。而且,因特网还是一种生产工具。例如,搜索引擎和博彩 web 站点都完全依赖网络连接。因此,随着公司直接或间接地依赖因特网,原有的敲诈勒索逐渐转变成数字形式。首先在短暂而非紧要的时间段内发
10、动攻击。然后受害者就不得不支付“保护费” 。1.2.2. DDoS 攻击现状现今,随着宽带接入、自动化和如今家庭计算机功能的日益强大,许多人认为对拒绝服务攻击的研究有些多余,并认为拒绝服务技术的创新也已经基本定格然而,也正是因为互联网技术的不断壮大,电子商务技术的不断普及,不可否认的给黑客们提供了更广阔的攻击机会,这是其一;其二,伴随着计算机功能的日益强大,带宽技术的不断壮大与普及,拉近了世界人民的距离这是事实,但同时也给网络安全埋下可怕的隐患,黑客们同样可以利用这些先进的带宽技术,CPU 的高处理能力延边大学本科毕业论文2等进行攻击,尤其将这些技术应用于分布式拒绝服务攻击上来则更显其恐怖。技
11、术在更新,同时黑客们的手段也在不断更新,变幻难测,从现今时有发生的网络 DDoS攻击就不难看出这一特点。因此对 DDoS 的认识与研究是非常必要且重要的,我们必须时刻提高警惕,做好相关的防御工作,确保公司网络的正常运行。1.3研究内容及方法研究内容:本文主要探讨当今盛行的 DDoS 攻击,详细介绍黑客所使用的DDoS 攻击方式之原理,并分析其攻击模式。并且提出基本的预防方式。以期望能够达到最快速的防御与回应,将各种损失减到最低。研究方法:1 介绍、2 原理分析、3 实例分析、4 对比分析延边大学本科毕业论文3第二章 基本概念介绍2.1DDoS 的前身 DoSDoS 是 Denial of Se
12、rvice 的缩写,译为拒绝服务。拒绝服务是当前网络攻击手段中最常见的一种。它故意攻击网络协议的缺陷或直接通过某种手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务停止响应甚至崩溃,而最值得注意的是,攻击者在此攻击中并不入侵目标服务器或目标网络设备,单纯利用网络缺陷或者暴力消耗即可达到目的。DoS 攻击方式一般是一对一的方式,即攻击者直接利用一台控制机/或者设备(为躲避追踪,攻击者一般不用自己的计算机)对攻击目标发起 DoS 攻击。在网络还不发达的时候, DoS 攻击对处在硬件性能低下、网络连接情况不好等情况下的攻击目标,其攻击效果非常明显,极有可能
13、一个攻击者就能摧毁一个网站或者服务器。然而,随着计算机和网络技术的发展,硬件设备处理性能的加速度提高,成本也变得非常低廉,带宽、出入口节点宽度等也得到大大提升,这让传统的 DoS 攻击很难凑效。伴随着这种情况的出现,DDoS 产生了。 2.2DDoS 概念DDoS 是 Distributed Denial Of Service 的缩写,即分布式拒绝服务。在 DoS 攻击的基础上,DDoS 攻击指攻击者借助于客户/服务器技术,将多个计算机(攻击者一般将这些被攻陷的多台计算机叫做傀儡机,或者口头被网络安全相关人员称为“肉鸡” )联合起来作为攻击平台,对一个或多个目标发动 DoS 攻击,从而成倍地提高拒绝服务攻击的威力,这样就能极为暴力的将原本处理能力很强的目标服务器攻陷。由此可知,DDoS 与 DoS 的最大区别是数量的关系。 DoS 相对于 DDoS 来说就像是一个个体,而 DDoS 是无数 DoS 的集合。另外,DDoS 攻击方式较为自动化,攻击者把他的攻击程序安装到网络中的多台傀儡机上,所采用的这种攻击方式很难被攻击对象察觉,直到攻击者发下统一的攻击命令,这些机器才同时发起进攻。可以说DDoS 攻击是由黑客集中控制发动的一组 DoS 攻击的集合,这种方式被认为是最有效的攻击形式,并且非常难以抵挡。图表 1 为分布式攻击模型。延边大学本科毕业论文4图表 1 DDoS 攻击模型
