浅析DDOS攻击原理与防范(论文).doc

摘要: 在今天的信息时代, 计算机网络的应用已经涉及到了社会的方方面面, 人们的生活与网络密不可分,从而网络系统的安全、可靠性也成为用户最为关注的焦点。这里我们浅析 ddos( 分布式拒绝服务攻击) 的原理· 起源和防范, 从而对分布式拒绝服务攻击手段进行了较为全面地剖析,并提出了防范 ddos 攻击的一些可行性措施。 DDoS 攻击概念 DoS 的攻击方式有很多种, 最基本的 DoS 攻击就是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。 DDoS 攻击手段是在传统的 DoS 攻击基础之上产生的一类攻击方式。单一的 Do S 攻击一般是采用一对一方式的,当被攻击目标 CPU 速度低、内存小或者网络带宽小等等各项性能指标不高, 它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得 Do S 攻击的困难程度加大了- 目标对恶意攻击包的" 消化能力" 加强了不少, 例如你的攻击软件每秒钟可以发送 3,000 个攻击包, 但我的主机与网络带宽每秒钟可以处理 10,00 0 个攻击包,这样一来攻击就不会产生什么效果。这时候分布式的拒绝服务攻击手段( DDoS )就应运而生了。你理解了 DoS 攻击的话,它的原理就很简单。如果说计算机与网络的处理能力加大了 10 倍,用一台攻击机来攻击不再能起作用的话,攻击者使用 10 台攻击机同时攻击呢?用 100 台呢? DDoS 就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。高速广泛连接的网络给大家带来了方便, 也为 DDoS 攻击创造了极为有利的条件。在低速网络时代时, 黑客占领攻击用的傀儡机时, 总是会优先考虑离目标网络距离近的机器, 因为经过路由器的跳数少, 效果好。而现在电信骨干节点之间的连接都是以 G 为级别的,大城市之间更可以达到 的连接,这使得攻击可以从更远的地方或者其他城市发起, 攻击者的傀儡机位置可以在分布在更大的范围, 选择起来更灵活了。 DDOS 的表现形式主要有两种, 一种为流量攻击, 主要是针对网络带宽的攻击, 即大量攻击包导致网络带宽被阻塞, 合法网络包被虚假的攻击包淹没而无法到达主机; 另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或 CPU 被内核及应用程序占完而造成无法提供网络服务。 DDOS 的主要几个攻击 SYN 变种攻击发送伪造源IP的 SY N 数据包但是数据包不是64 字节而是上千字节这种攻击会造成一些防火墙处理错误锁死,消耗服务器 CPU 内存的同时还会堵塞带宽。 TCP 混乱数据包攻击发送伪造源 IP的 TCP 数据包, TCP 头的 TCP Flags 部分是混乱的可能是 syn ,ack ,syn+ack ,syn+rst 等等,会造成一些防火墙处理错误锁死,消耗服务器 CPU 内存的同时还会堵塞带宽。针对用 UDP 协议的攻击很多聊天室,视频音频软件,都是通过 UDP 数据包传输的,攻击者针对分析要攻击的网络软件协议, 发送和正常数据一样的数据包, 这种攻击非常难防护, 一般防护墙通过拦截攻击数据包的特征码防护,但是这样会造成正常的数据包也会被拦截, 针对 WEB Server 的多连接攻击通过控制大量肉