dos与ddos攻击与防范措施Word格式.docx

1、原创性声明本人郑重承诺：所呈交的毕业设计（论文），是我个人在指导教师的指导下进行的研究工作及取得的成果。尽我所知，除文中特别加以标注和致谢的地方外，不包含其他人或组织已经发表或公布过的研究成果，也不包含我为获得 及其它教育机构的学位或学历而使用过的材料。对本研究提供过帮助和做出过贡献的个人或集体，均已在文中作了明确的说明并表示了谢意。作 者 签 名： 日 期： 指导教师签名： 日期：使用授权说明本人完全了解 大学关于收集、保存、使用毕业设计（论文）的规定，即：按照学校要求提交毕业设计（论文）的印刷本和电子版本；学校有权保存毕业设计（论文）的印刷本和电子版，并提供目录检索与阅览服务；学校可以采用

2、影印、缩印、数字化或其它复制手段保存论文；在不以赢利为目的前提下，学校可以公布论文的部分或全部内容。作者签名： 日 期：学位论文原创性声明本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。 日期： 年 月 日学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权

3、大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。涉密论文按学校规定处理。导师签名： 日期：注 意 事 项1.设计（论文）的内容包括：1）封面（按教务处制定的标准封面格式制作）2）原创性声明3）中文摘要（300字左右）、关键词4）外文摘要、关键词 5）目次页（附件不统一编入）6）论文主体部分：引言（或绪论）、正文、结论7）参考文献8）致谢9）附录（对论文支持必要时）2.论文字数要求：理工类设计（论文）正文字数不少于1万字（不包括图纸、程序清单等），文科类论文正文字数不少于1.2万字。3.附件包括：任务书、开题报告、外文译文、译文

4、原文（复印件）。4.文字、图表要求：1）文字通顺，语言流畅，书写字迹工整，打印字体及大小符合要求，无错别字，不准请他人代写2）工程设计类题目的图纸，要求部分用尺规绘制，部分用计算机绘制，所有图纸应符合国家技术标准规范。图表整洁，布局合理，文字注释必须使用工程字书写，不准用徒手画3）毕业论文须用A4单面打印，论文50页以上的双面打印4）图表应绘制于无格子的页面上5）软件工程类课题应有程序清单，并提供电子文档5.装订顺序1）设计（论文）2）附件：按照任务书、开题报告、外文译文、译文原文（复印件）次序装订目录一、概述1二、防火墙4（一）包过滤型51包过滤型产品82包过滤技术的优点14318（二）22

5、124230331（三）33三、36（一）38（二）43四、45五、结论与体会48参考文献50目录格式说明：1、 毕业论文篇幅长的要写出目录，使人一看就可以了解论文的大致内容。目录要标明页数，以便论文审查者阅读方便；2、 除标明处外，均用小四号宋体；3、 页边距：上3.6cm、下3cm，左侧3cm、右侧2.5cm；4、 段落格式：1.5倍行间距；5、 纸张大小：A4。DOS攻击与防范1 概要 随着Internet的应用越来越广泛，随之而来的网络安全问题成了Internet发展的主要障碍，特别是分布式拒绝服务攻击对因特网构成了巨大的威胁。目前，由于黑客采用DDoS攻击成功地攻击了几个著名的网站，

6、如雅虎、微软以及SCO，M、e buy、CNN.com、BUY.com、ZDNet、E等国外知名网站，致使网络服务中断了数小时，造成的经济损失达数百万美元。DDoS攻击由于破坏性大，而且难于防御，因此它已经引起了全世界的广泛关注。阐述的DDoS实时监测模型，能够快速监测出主机或服务器是否在遭受DDoS攻击，如果监测出突然增加的数据流是攻击流的话，能够快速给网络管理员发出警报，采取措施从而减轻DDoS攻击所带来的危害。2 DOS攻击原理2.1 DOS攻击概念 WWW安全FAQ1给DOS攻击下的定义为：有计划的破坏一台计算机或者网络，使得其不能够提供正常服务的攻击。DOS攻击发生在访问一台计算机时

7、，或者网络资源被有意的封锁或者降级时。这类攻击不需要直接或者永久的破坏数据，但是它们故意破坏资源的可用性。最普通的DoS攻击的目标是计算机网络带宽或者是网络的连通性。带宽攻击是用很大的流量来淹没可用的网络资源，从而合法用户的请求得不到响应，导致可用性下降。网络连通性攻击是用大量的连接请求来耗尽计算机可用的操作系统资源，导致计算机不能够再处理正常的用户请求。DoS攻击广义上指任何导致被攻击的服务器不能正常提供服务的攻击方式。具体而言,Dos攻击是指攻击网络协议实现的缺陷或通过各种手段耗尽被攻击对象的资源, 以使得被攻击计算机或网络无法提供正常的服务,直至系统停止响应甚至崩溃的攻击方式。DoS攻击

8、的服务资源包括网络带宽, 文件系统空间容量,开放的进程或者允许的连接等。2.2 DoS攻击的原理与思想 要对服务器实施拒绝服务攻击, 主要有以下两种方法: 迫使服务器的缓冲区满, 不接收新的请求; 使用IP欺骗, 迫使服务器把合法用户的连接复位, 影响合法用户的连接, 这是DoS攻击实施的基本思想。为便于理解,以下介绍一个简单的DoS攻击基本过程。如图1所示, 攻击者先向受害者发送大量带有虚假地址的请求,受害者发送回复信息后等待回传信息。由于是伪造地址,所以受害者一直等不到回传信息,分配给这次请求的资源就始终不被释放。当受害者等待一定时间后, 连接会因超时被切断,此时攻击者会再度传送一批伪地址

9、的新请求,这样反复进行直至受害者资源被耗尽,最终导致受害者系统瘫痪。2.3 DoS攻击分类（ 1） 利用协议中的漏洞 一些传输协议在其制定过程中可能存在着一些漏洞。攻击者可以利用这些漏洞进行攻击致使接受数据端的系统当机、挂起或崩溃。这种攻击较为经典的例子是半连接SYNFlood攻击,如图2所示,该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYNACK后并不回应, 这样,目的主机就为这些源主机建立了大量的连接队列, 而且由于没有收到ACK就一直维护着这些队列, 造成了资源的大量消耗而不能向正常请求提供服务。这种攻击利用的是TCP/IP协议的/ 三次握手0的漏洞完成。由于

10、攻击所针对的是协议中的缺陷,短时无法改变, 因此较难防范。 （ 2） 利用软件实现的缺陷软件实现的缺陷是软件开发过程中对某种特定类型的报文或请求没有处理,导致软件遇到这种类型的报文时运行出现异常,从而导致软件崩溃甚至系统崩溃。这些异常条件通常在用户向脆弱的元素发送非期望的数据时发生。攻击者攻击时是利用这些缺陷发送经过特殊构造的数据包, 从而导致目标主机的瘫痪,如OOB攻击,Teardrop攻击,Land攻击,IGMP碎片包攻击等。（3） 发送大量无用突发数据攻击耗尽资源这种攻击方式凭借手中丰富的资源,发送大量的垃圾数据侵占完资源, 导致DoS。如ICMPFlood, ConnectionFlo

11、od等。为了获得比目标系统更多资源, 通常攻击者会发动DDoS攻击,从而控制多个攻击傀儡发动攻击,这样能产生更大破坏。（4） 欺骗型攻击这类攻击通常是以伪造自身的方式来取得对方的信任从而达到迷惑对方瘫痪其服务的目的。最常见的是伪造自己的IP或目的IP（通常是一个不可到达的目标或受害者的地址） ,或伪造路由项目、或伪造DNS解析地址等,受攻击的服务器因为无法辨别这些请求或无法正常响应这些请求就会造成缓冲区阻塞或死机。如IPSpoofing DoS攻击。2.4 DoS攻击的危害性及其难以防范的原因DoS攻击的危害性主要在于使被攻击主机系统的网络速度变慢甚至无法访问无法正常地提供服务; 最终目的是使

12、被攻击主机系统瘫痪、停止服务。该网络上DoS攻击工具种类繁多,攻击者往往不需要掌握复杂技术, 利用这些工具进行攻击就能够奏效。尽管可以通过增加带宽来减少DoS攻击的威胁,但攻击者总是可以利用更大强度的攻击以耗尽增加的资源。使得DoS攻击成为一种当前难以防范的攻击方式。3 DoS攻击技术发展随着对DoS攻击进行防范的技术的不断加强, DoS攻击技术也在不断发展。迄今, DoS攻击主要有DDoS, DRDoS（ Dis-tributedReflectionDenial of Service Attack, 分布式反射拒绝服务攻击） 、TCP DoS, UDP DoS以及ICMP DoS等攻击技术。

13、其中DDoS由于破坏性大,难以防范, 也难以追查攻击源, 被认为是当前最有效的主流攻击技术。而DRDoS作为DDoS的变体,是一种新出现的攻击技术,其破坏力更大, 更具隐蔽性。3.1 DDoS攻击DDoS是在传统的DoS攻击基础之上产生的一种分布、协作的大规模攻击方式,主要目标是较大的站点,像商业公司、搜索引擎和政府部门的站点。DDoS攻击是利用一批受控制的机器向一台机器发起攻击,这种攻击来势迅猛、令人难以防备, 且具有较大的破坏性。DDoS的攻击原理如图3所示。 从图3可以看出, 一个比较完善的DDoS攻击体系包括以下四种角色: （1） 攻击者。它所用的主机, 也称为攻击主控台。它操纵整个攻击过程,向主控端发送攻击命令。（2）主控端。是攻击者非法侵入并控制的一些主机, 这些主机分别控制大量的代理攻击主机。其上面安装特定的程序,不仅可以接收攻击者发来的特殊指令,还可以把这些命令发送到代理攻击端主机上。（ 3）代理