Dos ddos 网络攻击原理及其实现.doc

Dos ddos 网络攻击原理及其实现 1. 引言假设这样一种情况, 那就是人类本身已经完全进化以至于具有这种机能——无论 A、B 两者身处时空的何种情况下,都可以在需要沟通的情况下立即相互沟通, 并且这种沟通不会影响其他人; 也不会被其他人影响。此时,网络就不会存在了。因为网络本身就是为了弥补人类在沟通上面的“天生缺陷”而被建立的。比如说电话网络可以使距离较远的两者进行语言交流,移动电话网络更是如此。因此,网络自从出生的那一刻起,就可以被定义为一种管理概念。我们依靠为网络建立的抽象概念( 协议等), 以及为了将这些概念具体化的工具(程序,类库),利用现有资源,尽可能(我们希望如此) 地进行信息交流。但是由于这种管理机制自身存在的许多缺陷, 才会涌现出各式各样的病毒、木马、攻击程序……遗憾的是这种缺陷是永远无法全部弥补的( 就好比人无完人), 任何系统都不可能尽善尽美(即使我们为了弥补漏洞作出巨大努力并且取得相应功效)。在这个基础之上, Dos ddos 攻击作为攻击方式中较为特殊的一种, 它并不依赖与操作系统本身的漏洞(比方所 ms06-001 漏洞的攻击程序没有办法在 Unix 系统上面有任何收获),而是依赖网络本身这个概念的“漏洞”进行攻击的, 因此它不依赖于平台, 并且可以在较长一段时间内发挥作用。 2. dos ddos 原理 Dos 攻击的基本原理是是利用合理的服务请求来占用过多的服务资源, 致使服务超载, 无法响应其他合法用户的请求。服务资源可以是网络带宽、文件系统空间容量、开放的进程或者向内的连接等等。这种攻击会导致资源的匮乏, 所以无论计算机的处理速度多么快、内存容量多么大、互连网的速度多么快都无法避免这种攻击带来的后果。当服务资源匮乏时, 对其他合法用户造成的影响就像是所请求的服务被拒绝一样。 Dos 的攻击流程如下: 首先攻击者向服务器( 被攻击者) 发出带有虚假用户地址的合理请求, 服务器回复请求后等待用户响应消息, 由于用户地址是虚假的, 服务器无法得到相应的用户响应, 在等待一段时间( 数秒) 后该连接和相应的资源才会因超时而释放。在此期间连接会占用一定的服务器和网络资源, 当服务器接收到过多的这种连接时就会耗尽资源而对正常用户的服务请求产生拒绝现象, 由此产生拒绝服务攻击。典型的 Dos 攻击如 Tcp Flooding 等。 Ddos 攻击流程如下: Ddos 是一种基于 Dos 攻击, 采用分布式、 Ddos 攻击体系共分为 4层, 除被攻击者外, 包括攻击者、控制傀儡机a和攻击傀儡机在内的其它 3 层都间接或直接参与了整个攻击过程。首先攻击者通过特定的攻击程序扫描并入侵网络上存在安全漏洞的主机, 在这些主机上植入类似于“木马”的后门程序, 再将被入侵主机分为 Handle 和 zombie 两部分。通常 Handle 较少, 并不直接参与攻击过程,而 zombie 是直接攻击源, 数量巨大。攻击开始后,Zombie 根据 Handler 发出的指令, 这个指令的执行时间往往是 Handler 上的后门程序预先设置好的, 同时向被攻击者发出攻击数据流, 该攻击流为普通 Dos 攻击。这样一来,问题就明朗了,提炼一下信息:所谓的 dos ddos 攻击就是用大量无用信息使被攻击着失去处理有用信息的能力, 达到“拒绝服务”目的。基于这个原则, 我们有许多想法, 可以写出丰富多彩的程序。但是在这些众多的想法中, 有优有劣, 为表明方法优劣, 我们定义每千条指令延迟每千条指令延迟:指攻击端平均发出千条指令时被攻击端延迟情况。延迟情况根据实际分为: 1 )微有些卡,但不影响正常操作 2 )比较卡,打开程序明显变慢 3 )十分卡,打开程序需要较长时间 4 )死机为了取得的数据准确, 我们在本机建立虚拟机。根据取得的数据[1] , 我们进行了数据拟合,并且取得以下图形 Syn-flooding 发送 udp 数据包发送 icmp 数据包(ping) 代理服务器攻击(数据还没有取得, Ethereal 用的不熟练) 根据结果,可以看到: Syn-flooding 早已经成为经典,它采用极小的代宽牺牲对被攻击者产生重创。相比之下, udp tcmp 对己方的带宽牺牲巨大。而代理服务器则上在已经取得大量代理的情况下, 采取分布式攻击攻击。攻击者在攻击过程是可以断开的。因此是较特殊的方法。 3. Dos Ddos 的c 语言实现 1) Syn-flooding 正常的两台机器使用 tcp 协议的通信的时候, 会经过一个三次握手的过程。这样 A、B 之间建立通行通道,可以进行数据传输。如果在建立握手的过程中, A对B 进行欺骗,使其认为握手邀请是 C 发出的。(这个握手请求包就叫 sy