DDoS攻击原理及其防御机制研究.doc

DDoS攻击原理及其防御机制的研究.
DDoS攻击原理及其防御机制的研究.
1 / 18
DDoS攻击原理及其防御机制的研究.
2010年第 04期,第 43卷 通 信 技 术 ,,2010 总第 220期
”同时向目标发动拒绝服务攻击 ,其攻击结构如
图 1 所示。这时攻击者能够很好地隐藏自己 [3]。
图 1 DDoS攻击体系结构
DDoS攻击的攻击过程为 :攻击者首先利用扫描程序和各种渗透技术 ,寻找安全
性差的计算机 ;然后在那些未受保护
收稿日期:2009-02-19。
作者简介:李蓬(1975-,男,硕士,讲师,主要研究方向为网络安全。攻击者
DDoS攻击原理及其防御机制的研究.
DDoS攻击原理及其防御机制的研究.
3 / 18
DDoS攻击原理及其防御机制的研究.
DDoS攻击原理及其防御机制的研究.
DDoS攻击原理及其防御机制的研究.
4 / 18
DDoS攻击原理及其防御机制的研究.
控制僵尸机
被攻击目标
攻击僵尸机
96
的计算机上安装控制软件和攻击软件 ;这样攻击者利用加密后的指令 ,控制这些
控制软件和攻击软件 ,使大量的攻击软件同时向被攻击者发起攻击。此时 ,被攻击目
标由于忙于处理大量的攻击数据包 ,而无法响应正常的服务请求 ,严重的可能导致整
个网络瘫痪。
常见的 DDoS 攻击
DDoS攻击手段有许多种 ,现对最常见的 DoS 攻击进行分析。
(1TCP SYN 攻击
TCP SYN 攻击是多台攻击主机向目的主机发送 SYN 包,在收到被攻击主机的
SYN ACK 后不发送确认 ,这样被攻击主机就在缓存中建立了大量连接队列 ,造成了
系统资源的消耗而无法向正常请求提供服务。
(2Land攻击
Land攻击是攻击者向被攻击主机发送一个经过特殊构造的 TCP 数据报。该数
据报带有 SYN 标志,同时具有相同的源 IP地址和目的 IP地址及相同的源端口号和
目的端口号。 IP 地址和端口号都为被攻击主机的 ,这样当被攻击主机收到这样的
TCP数据报后,就会在本地不断的收发 SYN 包和 ACK 包,从而导致被攻击主机崩
溃。
(3Teardrop攻击
DDoS攻击原理及其防御机制的研究.
DDoS攻击原理及其防御机制的研究.
5 / 18
DDoS攻击原理及其防御机制的研究.
DDoS攻击原理及其防御机制的研究.
DDoS攻击原理及其防御机制的研究.
6 / 18
DDoS攻击原理及其防御机制的研究.
Teardrop攻击是利用数据包分解实现的。攻击者向被攻击目标发送两个连续的
IP 数据报。由于这两个数据包是相互重叠的 ,导致在目的系统发生大量的数据复制 ,
从而耗尽被攻击主机的 CPU 和内存资源 ,导致拒绝服务。
(4Smurf 攻击
Smurf攻击采用发送源地址是被攻击主机的 IP地址,目的地址为广播地址的
ICMP 数据包。目的系统收到 ICMP 数据包后,返回 ICMP 应答包。这样将会向被攻
击主机返回大量的应答包 ,造成被攻击主机资源耗尽。
(5UDP 淹没攻击
由于 UDP 协议是一个面向无连接的传输层协议 ,所以数据传送过程中 ,不需要建
立连接和进行认证。 UDP Flood 攻击正是利用这一点 ,攻击主机向被攻击主机发送
大量的 UDP 数据包,这样一方面会使被攻击主机所在的网络资源被耗尽 ,还会使被攻
击主机忙于处理 UDP 数据包,而使系统崩溃。
DDoS攻击的分类
从攻击方式来看 ,可以把 DDoS攻击分为畸形数据报攻击和淹没攻击 [4]两种形
式。畸形数据报攻击是指利用操作系统、 TCP/IP网络协议、应用程序等的缺陷 ,构
造某种特殊的数据包 ,使系统停止对正常用户的访问请求或使操作系统、应用程序
崩溃。主要的攻击形式有 :Land攻击、TCP SYN 攻击、Ping of Death攻击、
Teardrop攻击等。淹没攻击是指攻击者利用比被攻击网络更大的带宽 ,生成大量发
向被攻击网络的数据包 ,从而耗尽被攻击网络的有效带宽 ,使被攻击网络发生拥塞。
主要的攻击形式有 :Smurf 攻击、UDP 淹没攻击、 ICMP 淹没攻击、 DNS 淹没攻击
等。
2 DDoS攻击的检测与防御
由上面的分析可以看出 ,要实现对 DDoS攻击的检测 ,既要实现对畸形数据报攻
击的检测 ,又要实现对淹没攻击的检测。
DDoS攻击原理及其防御机制的研究.
DDoS攻击原理及其防御机制的研究.
7 / 18
DDoS攻击原理及其防御机制的研究.
总体思想
对于畸形数