DDOS攻擊與防范技術(shù)原理 課程設(shè)計資料報告材料

《DDOS攻擊與防范技術(shù)原理 課程設(shè)計資料報告材料》由會員分享，可在線閱讀，更多相關(guān)《DDOS攻擊與防范技術(shù)原理 課程設(shè)計資料報告材料（24頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、word 電機學院 課程設(shè)計報告 課程名稱： 計算機網(wǎng)絡(luò)安全 課題名稱： DDOS攻擊與防技術(shù)原理 姓 名：瀚 班 級： BX1009 學 號：1 指導教師： 熊鵬 報告日期： 2013年06月27日 電 子 信 息 學 院 23 / 24 電機學院實訓/課程設(shè)計任務(wù)書 課程名稱 網(wǎng)絡(luò)安全課程設(shè)計 課程代碼 033208C1 實訓

2、/課程設(shè)計 課題清單 1．ARP 協(xié)議原理攻擊與防技術(shù) 2．DHCP 協(xié)議攻擊與防技術(shù) 3．DDOS攻擊與防技術(shù)原理 4．ACL 包過濾技術(shù)應(yīng)用 5. CAM表攻擊與防技術(shù) 6. TCP SYN攻擊與防技術(shù) 7. 網(wǎng)絡(luò)設(shè)備終端登錄原理與安全管理 8. 組建高彈性冗余網(wǎng)絡(luò) 設(shè)計時間 2013年 06 月 24 日—— 2013年 06 月 28 日 一、實訓/課程設(shè)計任務(wù)匯總 1. 課題分配—--2~3人一組。 2. 最終提供的主操作界面應(yīng)該方便用戶的操作。 3. 最后提交的課程設(shè)計成果包括： a) 課程設(shè)計報告打印稿。 b) 課程設(shè)計報告電子稿。 c) 小

3、組課程設(shè)計報告打印稿 d) 小組課程設(shè)計報告電子稿 e) 源程序文件(電子稿)。 f) 可執(zhí)行程序文件?！搽娮痈濉? 二、對實訓/課程設(shè)計成果的要求〔包括實訓/課程設(shè)計報告、圖紙、圖表、實物等軟硬件要求〕 分析課程設(shè)計題目的要求；寫出詳細的需求分析； 根據(jù)功能需求，寫出詳細的設(shè)計說明；〔包括工作原理〕 編寫程序代碼〔有必要的注釋〕，調(diào)試程序使其能正確運行； 設(shè)計完成的軟件要便于操作和使用，有整齊、美觀的使用界面； 設(shè)計完成后提交課程設(shè)計報告〔按學校要求裝訂〕和源代碼文件的電子文檔。 報告需要交電子版和打印版，源程序交電子版。 三、實訓/課程設(shè)計工作進度計劃： 選擇課程設(shè)計

4、題目， 分析課題的要求，確定需求分析；確定設(shè)計方案； 第二天 編寫詳細設(shè)計說明； 繪制程序流程圖；編寫與調(diào)試程序； 第三天 測試系統(tǒng)功能，寫課程設(shè)計報告； 第四天 交課程設(shè)計報告〔打印稿與電子稿〕； 第五天 面試或辯論。 四、主要參考資料： [1] 計算機網(wǎng)絡(luò)安全教程(第二版) 梁亞聲 機械工業(yè) 2008年7月 [2] Cisco Press - CA Security Official Exam Certification Guide 2012 [3] 2011 摘要： 計算機網(wǎng)絡(luò)的開展，特別是Internet的開展和普與

5、應(yīng)用，為人類帶來了新的工作、學習和生活方式，使人們與計算機網(wǎng)絡(luò)的聯(lián)系越來越密切。計算機網(wǎng)絡(luò)系統(tǒng)提供了豐富的資源以便用戶共享，提高了系統(tǒng)的靈活性和便捷性，也正是這個特點，增加了網(wǎng)絡(luò)系統(tǒng)的脆弱性、網(wǎng)絡(luò)受威脅和攻擊的可能性以與網(wǎng)絡(luò)的復(fù)雜性。 分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個偷竊將DDoS主控程序安裝在一個計算機上，在一個設(shè)定的時間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在Internet上的

6、許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘激活成百上千次代理程序的運行。 關(guān)鍵字：DDOS, ICMP Flood, UDP Flood, CAR 目錄 摘要： 2 一、需求分析 4 4 二、DDOS攻擊技術(shù) 5 5 2.1.1 DOS攻擊概述 5 5 2.2 DDOS攻擊原理與表現(xiàn)形式 6 2.3 DDOS攻擊方式 7 2.3.1 ICMP Flood攻擊技術(shù) 7 2.3.2 UDP Flood 攻擊技術(shù) 7 8 2.4 DDOS攻擊工具 9 2.4.1 LOIC 9 2.4.2 engage packetbui

7、lder 9 10 10 10 2.5.2 UDP flood攻擊 11 2.5.3 ICMP flood攻擊 13 三、DDOS防御技術(shù) 16 3.1 簡述DDOS防御技術(shù) 16 3.2 防御原理 17 3.2.1 CAR 17 3.2.2 uRPF 17 3.3 利用CAR進展DDOS防御實驗實際操作與結(jié)果 18 四、遇到的問題與解決 21 五、小結(jié) 22 參考文獻 23 一、需求分析 隨著 Internet 的迅猛開展，網(wǎng)絡(luò)與信息安全問題日益突出。病毒肆虐、網(wǎng)絡(luò)犯罪、黑客攻擊等現(xiàn)象時有發(fā)生，嚴重危與我們正常工作。據(jù)國際權(quán)威機構(gòu)統(tǒng)計，全球每年因網(wǎng)

8、絡(luò)安全問題帶來的損失高達數(shù)百億美元。網(wǎng)絡(luò)上的惡意攻擊實際上就是尋找一 切可能存在的網(wǎng)絡(luò)安全缺陷來達到對系統(tǒng)與資源的 損害，從而達到惡意的目的。分布式拒絕服務(wù)攻擊 (以下稱 DDOS) 就是從1996 年出現(xiàn)，在中國 2002 年開始頻繁出現(xiàn)的一種攻擊方式。 分布式拒絕服務(wù)攻擊(DDOS 全名是 Distribut- ed Denial of service)，DDOS 攻擊手段是在傳統(tǒng)的DoS 攻擊根底之上產(chǎn)生的一類攻擊方式。單一的DOS攻擊一般是采用一對一方式的，當攻擊目標 CPU 速度低、存小或者網(wǎng)絡(luò)帶寬小等等各項性 能指標不高它的效果是明顯的。 隨著計算機與網(wǎng)絡(luò)技術(shù)的開展，計

9、算機的處理能力迅速增長，存 大大增加，同時也出現(xiàn)了千兆級別的網(wǎng)絡(luò)，這使得 DOS 攻擊的困難程度加大了，目標對惡意攻擊包的 " 消化能力 " 加強了不少，例如：你的攻擊軟件 每秒鐘可以發(fā)送4000 個攻擊包，但我的主機與網(wǎng) 絡(luò)帶寬每秒鐘可以處理 20000 個攻擊包，這樣一來 攻擊就不會產(chǎn)生什么效果。 分布式拒絕服務(wù)攻擊使用了分布式客戶服務(wù)器 功能，加密技術(shù)與其它類的功能，它能被用于控制任 意數(shù)量的遠程機器，以產(chǎn)生隨機匿名的拒絕服務(wù)攻 擊和遠程訪問。為了有效防網(wǎng)絡(luò)入侵和攻擊，就必 須熟悉網(wǎng)絡(luò)入侵和攻擊的手段和原理，在此根底上 才能制定行之有效的防對策和防御措施，從而確 保網(wǎng)絡(luò)信息的安全。 本

10、次實驗要先進展DDOS的UDP Flood和ICMP Flood的攻擊，再利用GNS3和虛擬機進展DDOS攻擊的防御， 二、DDOS攻擊技術(shù) 2. DOS攻擊概述 在了解DDOS之前，首先我們來看看DOS，DOS的英文全稱是Denial of Service，也就是“拒絕服務(wù)〞的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看，DOS算是一種很簡單但又很有效的進攻方式。它的目的就是拒絕你的服務(wù)訪問，破壞組織的正常運行，最終它會使你的局部Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。DOS的攻擊方式有很多種，最根本的DOS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)

11、。DOS攻擊的原理如圖1所示。 圖1 DOS攻擊原理 從圖1我們可以看出DOS攻擊的根本過程：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當服務(wù)器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復(fù)發(fā)送偽地址請求的情況下，服務(wù)器資源最終會被耗盡。 DDOS攻擊概述 DDOS〔分布式拒絕服務(wù)〕，它的英文全稱為Distributed Denial of Service，它是一種基于DOS的特殊形式的拒絕服務(wù)攻擊，是

12、一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比擬大的站點，像商業(yè)公司，搜索引擎和政府部門的站點。從圖1我們可以看出DOS攻擊只要一臺單機和一個modem就可實現(xiàn)，與之不同的是DDOS攻擊是利用一批受控制的機器向一臺機器發(fā)起攻擊，這樣來勢迅猛的攻擊令人難以防X，因此具有較大的破壞性。DDOS的攻擊原理如圖2所示。 圖2 DDOS攻擊原理 從圖2可以看出，DDOS攻擊分為3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。 1、攻擊者：攻擊者所用的計算機是攻擊主控臺，可以是網(wǎng)絡(luò)上的任何一臺主機，甚至可以是一個活動的便攜機。攻擊者操縱整個攻擊過程，它向主控端發(fā)送攻擊

13、命令。 2、主控端：主控端是攻擊者非法侵入并控制的一些主機，這些主機還分別控制大量的代理主機。在主控端主機上安裝了特定的程序，因此它們可以承受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機上。 3、代理端：代理端同樣也是攻擊者侵入并控制的一批主機，它們上面運行攻擊器程序，承受和運行主控端發(fā)來的命令。代理端主機是攻擊的執(zhí)行者，真正向受害者主機發(fā)起攻擊。 攻擊者發(fā)起DDOS攻擊的第一步，就是尋找在Internet上有漏洞的主機，進入系統(tǒng)后在其上面安裝后門程序，攻擊者入侵的主機越多，他的攻擊隊伍就越壯大。第二步在入侵主機上安裝攻擊程序，其中一局部主機充當攻擊的主控端，一局部主機充當攻擊

14、的代理端。最后各局部主機各施其職，在攻擊者的調(diào)遣下對攻擊對象發(fā)起攻擊。由于攻擊者在幕后操縱，所以在攻擊時不會受到監(jiān)控系統(tǒng)的跟蹤，身份不容易被發(fā)現(xiàn)。 2.2 DDOS攻擊原理與表現(xiàn)形式 DDOS攻擊的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達主機；另一種為資源耗盡攻擊，主要是針對服務(wù)器主機的攻擊，即通過大量攻擊包導致主機的存被耗盡或CPU被核與應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。 2.3 DDOS攻擊方式 本次實驗利用ICMP Flood和UDP Flood進展攻擊。 2.3.1 ICMP

15、 Flood攻擊技術(shù) ICMP Flood 的攻擊屬于流量型攻擊方式，利用大的流量給服務(wù)器帶來較大的負載，影響服務(wù)器正常運行。ping 使用的是echo應(yīng)答，ping的速度很慢僅為1-5包/秒，事實上ICMP本身并不慢〔由于ICMP是SOCK_RAW產(chǎn)生的原始報文，速度比SOCK_STREAM的SYN和SOCK_DGRAM的UDP要快幾乎 10倍！〕，這樣的速度是ping程序故意延遲的。并且必須等待目標主機返回REPLAY信息，這個過程需要花費大量的時間。而Flood——洪水，是速度極快的，當一個程序發(fā)送數(shù)據(jù)包的速度達到了每秒1000個以上，它的性質(zhì)就成了洪水產(chǎn)生器，洪水數(shù)據(jù)是從洪水產(chǎn)生器里

16、出來的。但這樣還不夠，沒有足夠的帶寬，再猛的洪水也只能像公路塞車那樣慢慢移動，成了雞肋。要做真正的洪水，就需要有一條足夠?qū)挼母咚俟凡趴梢浴? ICMP flood攻擊分為三種方式： 1.直接flood。直接使用自己的機器去攻擊別人，這要求有足夠的帶寬。直接攻擊會暴露自己IP地址，一般不常見。 2.偽造IP的Flood。它隨意偽造一個IP來flood。屬于比擬隱蔽陰險的flood。 3.反射。用采取這種方式的第一個工具的名稱來命名的“Smurf〞洪水攻擊，把隱蔽性又提高了一個檔次，這種攻擊模式里，最終淹沒目標的洪水不是由攻擊者發(fā)出的，也不是偽造IP發(fā)出的，而是正常通訊的服務(wù)器發(fā)出的。S

17、murf方式把源IP設(shè)置為受害者IP，然后向多臺服務(wù)器發(fā)送ICMP報文〔通常是ECHO請求〕，這些接收報文的服務(wù)器被報文欺騙，向受害者返回ECHO應(yīng)答〔Type=0〕，導致垃圾阻塞受害者的門口。 2.3.2 UDP Flood 攻擊技術(shù) UDPFlood是日漸猖厥的流量型DoS攻擊，原理也很簡單。常見的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認證服務(wù)器、流媒體視頻服務(wù)器。100k pps的UDPFlood經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個網(wǎng)段的癱瘓。由于UDP協(xié)議是一種無連接的服務(wù)，在UDPFLOOD攻擊中，攻擊者可發(fā)送大量偽造源IP地址的小UDP包。但是，由

18、于UDP協(xié)議是無連接性的，所以只要開了一個UDP的端口提供相關(guān)服務(wù)的話，那么就可針對相關(guān)的服務(wù)進展攻擊。正常應(yīng)用情況下，UDP包雙向流量會根本相等，而且大小和容都是隨機的，變化很大。出現(xiàn)UDPFlood的情況下，針對同一目標IP的UDP包在一側(cè)大量出現(xiàn)，并且容和大小都比擬固定。 1 SYN/ACK Flood攻擊 這種攻擊方法是經(jīng)典最有效的DDOS方法，適用于各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)，主要是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK包，導致主機的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)，由于源都是偽造的，所以追蹤起來比擬困難，缺點是實施起來有一定難度，需要高帶寬的僵尸主機支

19、持。少量的這種攻擊會導致主機服務(wù)器無法訪問，但卻可以Ping通，在服務(wù)器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態(tài)，大量的這種攻擊會導致Ping失敗、TCP/IP棧失效，并會出現(xiàn)系統(tǒng)凝固現(xiàn)象，即不響應(yīng)鍵盤和鼠標。 2 TCP全連接攻擊 這種攻擊是為了繞過常規(guī)防火墻的檢查而設(shè)計的，一般情況下，常規(guī)防火墻大多具備過濾TearDrop、Land等DOS攻擊的能力，但對于正常的TCP連接是放過的，殊不知很多網(wǎng)絡(luò)服務(wù)程序〔如：IIS、Apache等Web服務(wù)器〕能承受的TCP連接數(shù)是有限的，一旦有大量的TCP連接，即便是正常的，也會導致訪問非常緩慢甚至無法訪問，TC

20、P全連接攻擊就是通過許多僵尸主機不斷地與受害服務(wù)器建立大量的TCP連接，直到服務(wù)器的存等資源被耗盡而被拖跨，從而造成拒絕服務(wù)，這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的，缺點是需要找很多僵尸主機，并且由于僵尸主機的IP是暴露的，因此容易被追蹤。 3 刷Script腳本攻擊 這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的系統(tǒng)而設(shè)計的，特征是和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量消耗數(shù)據(jù)庫資源的調(diào)用，典型的以小博大的攻擊方法。一般來說，提交一個GET或POST指

21、令對客戶端的消耗和帶寬的占用是幾乎可以忽略的，而服務(wù)器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的消耗是很大的，常見的數(shù)據(jù)庫服務(wù)器很少能支持數(shù)百個查詢指令同時執(zhí)行，而這對于客戶端來說卻是輕而易舉的，因此攻擊者只需通過Proxy代理向主機服務(wù)器大量遞交查詢指令，只需數(shù)分鐘就會把服務(wù)器資源消耗掉而導致拒絕服務(wù)，常見的現(xiàn)象就是慢如蝸牛、ASP程序失效、PHP連接數(shù)據(jù)庫失敗、數(shù)據(jù)庫主程序占用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火墻防護，輕松找一些Proxy代理就可實施攻擊，缺點是對付只有靜態(tài)頁面的效果會大打折扣，并且有些Proxy會暴露攻擊者的IP地址。 2

22、.4 DDOS攻擊工具 DDOS攻擊實施起來有一定的難度，它要求攻擊者必須具備入侵他人計算機的能力。但是很不幸的是一些傻瓜式的黑客程序的出現(xiàn)，這些程序可以在幾秒鐘完成入侵和攻擊程序的安裝，使發(fā)動DDOS攻擊變成一件輕而易舉的事情。本次是進展一次簡單的實驗，所有簡單地利用了以下幾個工具。 2.4.1 LOIC 利用傻瓜軟件就可以發(fā)動DDoS攻擊的話，為什么還要付費呢?來自系統(tǒng)管理、網(wǎng)絡(luò)和安全協(xié)會互聯(lián)網(wǎng)風暴中心的消息顯示，在這波針對商業(yè)公司發(fā)起的DDoS攻擊浪潮中，人們開始使用低軌道離子加農(nóng)炮(Low Orbit Ion Cannon，以下簡稱LOIC)，一種開源的DoS攻擊工具來對卡或者維

23、薩卡的端口進展攻擊。使用者要做的事情僅僅就是用鼠標點擊一下，攻擊就正式開始了。 　　LOIC是一個功能非常強大的工具。它可以使用大規(guī)模的垃圾流量對目標實施攻擊，從而耗盡網(wǎng)絡(luò)資源，導致網(wǎng)絡(luò)崩潰，無法提供服務(wù)。本次實驗利用該工具進展UDP Flood攻擊操作。 2.4.2 engage packetbuilder 一個運行在windows下的使用LibNet和LibPcap進展發(fā)報測試的工具，具有一個簡單易用的gui界面，可以完全定制各種類型的數(shù)據(jù)包，并且支持腳本自動發(fā)送。是測試IDS/防火墻的好工具。 本次實驗利用該工具進展 ICMP Flood攻擊操作。 在本次實驗中，為了

24、方便利用DDOS技術(shù)進展的攻擊，我們使用了wireshark 進展流量包的檢測，可以區(qū)別出ICMP Flood和UDP Flood攻擊。 與結(jié)果 本次DDOS攻擊實驗利用了兩種工具進展ICMP Flood和UDP Flood攻擊，實驗中使用四個主機進展攻擊網(wǎng)關(guān) 測試主機PC5 本主機PC45 網(wǎng)關(guān)地址是： 結(jié)構(gòu)圖： 流程圖： 2.5.2 UDPflood攻擊 1.攻擊前，PC5對網(wǎng)關(guān)進展Ping操作，確保成功連接并查看延時狀況 2.四臺主機同時對網(wǎng)關(guān)進展UDP Flood攻擊操作，如下圖是我的主機操作： 3.在進展攻擊時，PC5再進展Pin

25、g網(wǎng)關(guān)操作 4.發(fā)現(xiàn)延遲很高，大局部是請求超時，表現(xiàn)出攻擊成功。 2.5.3 ICMP flood攻擊 1.攻擊前，PC5對網(wǎng)關(guān)進展Ping操作，確保成功連接并查看延時狀況。 2.四臺主機同時對網(wǎng)關(guān)進展ICMP Flood攻擊操作，如下圖是我的主機操作： 3.在進展攻擊時，PC5再進展Ping網(wǎng)關(guān)操作 4.發(fā)現(xiàn)延遲很高，或者干脆請求超時，表現(xiàn)出攻擊成功。 兩次攻擊都很好地完成。 三、DDOS防御技術(shù) 3.1 簡述DDOS防御技術(shù) 對付DDOS是一個系統(tǒng)工程，僅僅依靠某種系統(tǒng)或產(chǎn)品防DDOS是不現(xiàn)實的，可以肯定的是，完全

26、杜絕DDOS攻擊，目前是不可能的，但通過適當?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的，基于攻擊和防御都有本錢開銷的緣故，假如通過適當?shù)姆椒ㄔ鰪娏说钟鵇DOS的能力，也就意味著加大了攻擊者的攻擊本錢，那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄，也就相當于成功的抵御了DDOS攻擊。 本次實訓，教師還向我們介紹了policing and shaping。簡單的說就是 管制和整形： 管制和整形的作用是識別流量違約并做出響應(yīng)。管制和整形使用同樣的算法識別流量違約，但是做出的響應(yīng)不同。 管制工具對流量違約進展即時檢查，發(fā)現(xiàn)違約后立即采取設(shè)定的動作進展處理。例如，管制工具可以確定負載是否超出了定義的流

27、量速率，然后對超出局部的流量進展重新標記或者直接丟棄。管制工具可以應(yīng)用在入接口和出接口上。 整形工具是一個與排隊機制一起工作的流量平滑工具。整形的目的是將所有的流量發(fā)送到同一個接口，并且控制流量永遠不超出指定的速率，使流量平滑地通過該接口發(fā)送出去。整形工具只可以應(yīng)用在出接口上。 管制與整形相比擬，具有以下區(qū)別，參見表22-3。 表22-2：管制與整形比擬 管制policing 整形shaping 由于包被丟棄，引起TCP重傳 通常延遲流量，很少引起TCP重傳 不靈活和不可適應(yīng) 通過排隊機制來適應(yīng)網(wǎng)絡(luò)擁塞 入接口和出接口工具 出接口工具 沒有緩存的速率限制 有緩存的速率

28、限制 如下圖能明顯顯示出2種不同的流量限制。 3.2 防御原理 3.2.1 CAR 使用CAR(Control Access Rate)功能限制流速率。如果管理員發(fā)現(xiàn)網(wǎng)絡(luò)中存在DDoS攻擊，并通過Sniffer或者其它手段得知發(fā)起DDoS攻擊的數(shù)據(jù)流的類型，然后可以給該數(shù)據(jù)流設(shè)置一個上限帶寬，這樣超過了該上限的攻擊流量就被丟棄，可以保證網(wǎng)絡(luò)帶寬不被占滿。 3.2.2 uRPF URPF〔Unicast Reverse Path Forwarding，單播反向路徑轉(zhuǎn)發(fā)〕的主要功能是用于防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。 源地址欺騙攻擊為入侵者構(gòu)造出一系列帶有偽造源地址的

29、報文，對于使用基于 IP地址驗證的應(yīng)用來說，此攻擊方法可以導致未被授權(quán)用戶以他人身份獲得訪問系統(tǒng)的權(quán)限，甚至是以管理員權(quán)限來訪問。即使響應(yīng)報文不能達到攻擊者，同樣也會造成對被攻擊對象的破壞。 如圖 1所示，在Router A上偽造源地址為 2.2.2.1/8的報文，向服務(wù)器Router B發(fā)起請求，Router B響應(yīng)請求時將向真正的“〞發(fā)送報文。這種非法報文對RouterB和Router C都造成了攻擊。 URPF技術(shù)可以應(yīng)用在上述環(huán)境中，阻止基于源地址欺騙的攻擊。 3.3利用CAR進展DDOS防御實驗實際操作與結(jié)果 1.本次CAR防是利用GNS3進展實驗的，首先在GNS3中鋪設(shè)

30、結(jié)構(gòu)，將本地物理網(wǎng)卡配置到C 1，將虛擬網(wǎng)卡VMnet1配置到C2上， 對R1兩個端口進展配置： 配置好后，如如下圖所示， 2.打開虛擬機，選好網(wǎng)卡，運行cmd，ping 192.168.100.144,能夠成功ping通。 Ping 192.168.82.144，也能成功ping通。 3.在GNS3中的路由器上輸入限速命令，并將其應(yīng)用至f0/1端口。 4.配置后在虛擬機中Ping 192.169.82.144 -t未發(fā)現(xiàn)丟包現(xiàn)象，在R1中特權(quán)模式下 show interfaces rate-limit，未出現(xiàn)丟包現(xiàn)象。 4.配置后進展p

31、ing 192.168.82.144 –t –l 3100，由于之前的限速配置時將限制在1500Byte，偶爾允許2000Bype通過。但這里是3100，所以出現(xiàn)大量丟包。 限速后，在GNS3中R1輸入show interfaces rate-limit，出現(xiàn)丟包現(xiàn)象 如如下圖所示。 由上可知，本次防實驗成功完成。 四、遇到的問題與解決 1.在虛擬機中，無法ping到相應(yīng)網(wǎng)關(guān)。 解決：在虛擬機上為選擇相應(yīng)虛擬網(wǎng)卡，之后在教師指導下才知道. 2.剛開始時，由于教師演示過快，我們沒記住怎么進展icmp flood攻擊 解決：在教師再次講解下，我們會使用engag

32、e packetbuilder工具。 3.在防實驗中，使用GNS3時，無法將路由器拖拽進實驗板。 解決：因為在剛剛打開GNS3時沒將相應(yīng)IOS導入gns3中，之后導入后，可以將路由器拖入，但是還是忘記開啟路由器了，經(jīng)過很屢次的操作，終于能正確地使用GNS3。 4.CAR防時，無法導入虛擬機的虛擬網(wǎng)卡 解決：因為虛擬網(wǎng)卡被禁用，之前沒注意。 五、小結(jié) 通過這次課程設(shè)計我們懂得了理論與實際相結(jié)合的重要性，只有理論知識是遠遠不夠的，只有把所學的理論知識與實踐相結(jié)合起來，才能提高自己的實際動手能力和獨立思考的能力。在設(shè)計的過程中遇到問題，可以說得是困難重重，這畢竟第一次做的，難免會

33、遇到過各種各樣的問題，同時在設(shè)計的過程中發(fā)現(xiàn)了自己的不足之處。對所學的知識理解得不夠深刻，掌握得不夠結(jié)實，比如說對engage packetbuilder工具的應(yīng)用，以與Smurf攻擊等邊邊角角的零碎但都很重要的知識??通過這次課程設(shè)計之后，學到了很多新的知識，對DoS與DDoS的區(qū)別有了認識，以與DDoS攻擊的攻擊原理有了非常準確的把握，能夠比擬清楚的對其工作原理進展描述，了解其攻擊工作機制。 網(wǎng)絡(luò)攻擊與防御技術(shù)是我們對所學專業(yè)建立感性認識、鞏固所學理論知識、培養(yǎng)專業(yè)技能和實際工作能力的重要環(huán)節(jié)。通過課程的學習，可加強防對信息資源的非法訪問和抵御黑客的襲擊，提高抗威脅能力，最大限度的減少或防止因信息泄露、破壞等安全問題所造成的經(jīng)濟損失與對其形象的影響。使我們了解本專業(yè)實際的知識，培養(yǎng)我們理論聯(lián)系實際與初步的獨立工作能力，為今后從事信息安全相關(guān)工作打下根底。 參考文獻 [1.] 計算機網(wǎng)絡(luò)安全教程(第二版) 梁亞聲 機械工業(yè) 2008年7月 [2.] Cisco Press - CA Security Official Exam Certification Guide 2012 [3.] 2011