DDOS攻擊與防范技術(shù)原理 課程設(shè)計(jì)資料報(bào)告材料

《DDOS攻擊與防范技術(shù)原理 課程設(shè)計(jì)資料報(bào)告材料》由會(huì)員分享，可在線閱讀，更多相關(guān)《DDOS攻擊與防范技術(shù)原理 課程設(shè)計(jì)資料報(bào)告材料（24頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、word 電機(jī)學(xué)院 課程設(shè)計(jì)報(bào)告 課程名稱： 計(jì)算機(jī)網(wǎng)絡(luò)安全 課題名稱： DDOS攻擊與防技術(shù)原理 姓 名：瀚 班 級(jí)： BX1009 學(xué) 號(hào)：1 指導(dǎo)教師： 熊鵬 報(bào)告日期： 2013年06月27日 電 子 信 息 學(xué) 院 23 / 24 電機(jī)學(xué)院實(shí)訓(xùn)/課程設(shè)計(jì)任務(wù)書 課程名稱 網(wǎng)絡(luò)安全課程設(shè)計(jì) 課程代碼 033208C1 實(shí)訓(xùn)

2、/課程設(shè)計(jì) 課題清單 1．ARP 協(xié)議原理攻擊與防技術(shù) 2．DHCP 協(xié)議攻擊與防技術(shù) 3．DDOS攻擊與防技術(shù)原理 4．ACL 包過濾技術(shù)應(yīng)用 5. CAM表攻擊與防技術(shù) 6. TCP SYN攻擊與防技術(shù) 7. 網(wǎng)絡(luò)設(shè)備終端登錄原理與安全管理 8. 組建高彈性冗余網(wǎng)絡(luò) 設(shè)計(jì)時(shí)間 2013年 06 月 24 日—— 2013年 06 月 28 日 一、實(shí)訓(xùn)/課程設(shè)計(jì)任務(wù)匯總 1. 課題分配—--2~3人一組。 2. 最終提供的主操作界面應(yīng)該方便用戶的操作。 3. 最后提交的課程設(shè)計(jì)成果包括： a) 課程設(shè)計(jì)報(bào)告打印稿。 b) 課程設(shè)計(jì)報(bào)告電子稿。 c) 小

3、組課程設(shè)計(jì)報(bào)告打印稿 d) 小組課程設(shè)計(jì)報(bào)告電子稿 e) 源程序文件(電子稿)。 f) 可執(zhí)行程序文件?！搽娮痈濉? 二、對(duì)實(shí)訓(xùn)/課程設(shè)計(jì)成果的要求〔包括實(shí)訓(xùn)/課程設(shè)計(jì)報(bào)告、圖紙、圖表、實(shí)物等軟硬件要求〕 分析課程設(shè)計(jì)題目的要求；寫出詳細(xì)的需求分析； 根據(jù)功能需求，寫出詳細(xì)的設(shè)計(jì)說明；〔包括工作原理〕 編寫程序代碼〔有必要的注釋〕，調(diào)試程序使其能正確運(yùn)行； 設(shè)計(jì)完成的軟件要便于操作和使用，有整齊、美觀的使用界面； 設(shè)計(jì)完成后提交課程設(shè)計(jì)報(bào)告〔按學(xué)校要求裝訂〕和源代碼文件的電子文檔。 報(bào)告需要交電子版和打印版，源程序交電子版。 三、實(shí)訓(xùn)/課程設(shè)計(jì)工作進(jìn)度計(jì)劃： 選擇課程設(shè)計(jì)

4、題目， 分析課題的要求，確定需求分析；確定設(shè)計(jì)方案； 第二天 編寫詳細(xì)設(shè)計(jì)說明； 繪制程序流程圖；編寫與調(diào)試程序； 第三天 測(cè)試系統(tǒng)功能，寫課程設(shè)計(jì)報(bào)告； 第四天 交課程設(shè)計(jì)報(bào)告〔打印稿與電子稿〕； 第五天 面試或辯論。 四、主要參考資料： [1] 計(jì)算機(jī)網(wǎng)絡(luò)安全教程(第二版) 梁亞聲 機(jī)械工業(yè) 2008年7月 [2] Cisco Press - CA Security Official Exam Certification Guide 2012 [3] 2011 摘要： 計(jì)算機(jī)網(wǎng)絡(luò)的開展，特別是Internet的開展和普與

5、應(yīng)用，為人類帶來了新的工作、學(xué)習(xí)和生活方式，使人們與計(jì)算機(jī)網(wǎng)絡(luò)的聯(lián)系越來越密切。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)提供了豐富的資源以便用戶共享，提高了系統(tǒng)的靈活性和便捷性，也正是這個(gè)特點(diǎn)，增加了網(wǎng)絡(luò)系統(tǒng)的脆弱性、網(wǎng)絡(luò)受威脅和攻擊的可能性以與網(wǎng)絡(luò)的復(fù)雜性。 分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在Internet上的

6、許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘激活成百上千次代理程序的運(yùn)行。 關(guān)鍵字：DDOS, ICMP Flood, UDP Flood, CAR 目錄 摘要： 2 一、需求分析 4 4 二、DDOS攻擊技術(shù) 5 5 2.1.1 DOS攻擊概述 5 5 2.2 DDOS攻擊原理與表現(xiàn)形式 6 2.3 DDOS攻擊方式 7 2.3.1 ICMP Flood攻擊技術(shù) 7 2.3.2 UDP Flood 攻擊技術(shù) 7 8 2.4 DDOS攻擊工具 9 2.4.1 LOIC 9 2.4.2 engage packetbui

7、lder 9 10 10 10 2.5.2 UDP flood攻擊 11 2.5.3 ICMP flood攻擊 13 三、DDOS防御技術(shù) 16 3.1 簡(jiǎn)述DDOS防御技術(shù) 16 3.2 防御原理 17 3.2.1 CAR 17 3.2.2 uRPF 17 3.3 利用CAR進(jìn)展DDOS防御實(shí)驗(yàn)實(shí)際操作與結(jié)果 18 四、遇到的問題與解決 21 五、小結(jié) 22 參考文獻(xiàn) 23 一、需求分析 隨著 Internet 的迅猛開展，網(wǎng)絡(luò)與信息安全問題日益突出。病毒肆虐、網(wǎng)絡(luò)犯罪、黑客攻擊等現(xiàn)象時(shí)有發(fā)生，嚴(yán)重危與我們正常工作。據(jù)國際權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，全球每年因網(wǎng)

8、絡(luò)安全問題帶來的損失高達(dá)數(shù)百億美元。網(wǎng)絡(luò)上的惡意攻擊實(shí)際上就是尋找一 切可能存在的網(wǎng)絡(luò)安全缺陷來達(dá)到對(duì)系統(tǒng)與資源的 損害，從而達(dá)到惡意的目的。分布式拒絕服務(wù)攻擊 (以下稱 DDOS) 就是從1996 年出現(xiàn)，在中國 2002 年開始頻繁出現(xiàn)的一種攻擊方式。 分布式拒絕服務(wù)攻擊(DDOS 全名是 Distribut- ed Denial of service)，DDOS 攻擊手段是在傳統(tǒng)的DoS 攻擊根底之上產(chǎn)生的一類攻擊方式。單一的DOS攻擊一般是采用一對(duì)一方式的，當(dāng)攻擊目標(biāo) CPU 速度低、存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性 能指標(biāo)不高它的效果是明顯的。 隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的開展，計(jì)

9、算機(jī)的處理能力迅速增長，存 大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得 DOS 攻擊的困難程度加大了，目標(biāo)對(duì)惡意攻擊包的 " 消化能力 " 加強(qiáng)了不少，例如：你的攻擊軟件 每秒鐘可以發(fā)送4000 個(gè)攻擊包，但我的主機(jī)與網(wǎng) 絡(luò)帶寬每秒鐘可以處理 20000 個(gè)攻擊包，這樣一來 攻擊就不會(huì)產(chǎn)生什么效果。 分布式拒絕服務(wù)攻擊使用了分布式客戶服務(wù)器 功能，加密技術(shù)與其它類的功能，它能被用于控制任 意數(shù)量的遠(yuǎn)程機(jī)器，以產(chǎn)生隨機(jī)匿名的拒絕服務(wù)攻 擊和遠(yuǎn)程訪問。為了有效防網(wǎng)絡(luò)入侵和攻擊，就必 須熟悉網(wǎng)絡(luò)入侵和攻擊的手段和原理，在此根底上 才能制定行之有效的防對(duì)策和防御措施，從而確 保網(wǎng)絡(luò)信息的安全。 本

10、次實(shí)驗(yàn)要先進(jìn)展DDOS的UDP Flood和ICMP Flood的攻擊，再利用GNS3和虛擬機(jī)進(jìn)展DDOS攻擊的防御， 二、DDOS攻擊技術(shù) 2. DOS攻擊概述 在了解DDOS之前，首先我們來看看DOS，DOS的英文全稱是Denial of Service，也就是“拒絕服務(wù)〞的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看，DOS算是一種很簡(jiǎn)單但又很有效的進(jìn)攻方式。它的目的就是拒絕你的服務(wù)訪問，破壞組織的正常運(yùn)行，最終它會(huì)使你的局部Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。DOS的攻擊方式有很多種，最根本的DOS攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)

11、。DOS攻擊的原理如圖1所示。 圖1 DOS攻擊原理 從圖1我們可以看出DOS攻擊的根本過程：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請(qǐng)求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，分配給這次請(qǐng)求的資源就始終沒有被釋放。當(dāng)服務(wù)器等待一定的時(shí)間后，連接會(huì)因超時(shí)而被切斷，攻擊者會(huì)再度傳送新的一批請(qǐng)求，在這種反復(fù)發(fā)送偽地址請(qǐng)求的情況下，服務(wù)器資源最終會(huì)被耗盡。 DDOS攻擊概述 DDOS〔分布式拒絕服務(wù)〕，它的英文全稱為Distributed Denial of Service，它是一種基于DOS的特殊形式的拒絕服務(wù)攻擊，是

12、一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比擬大的站點(diǎn)，像商業(yè)公司，搜索引擎和政府部門的站點(diǎn)。從圖1我們可以看出DOS攻擊只要一臺(tái)單機(jī)和一個(gè)modem就可實(shí)現(xiàn)，與之不同的是DDOS攻擊是利用一批受控制的機(jī)器向一臺(tái)機(jī)器發(fā)起攻擊，這樣來勢(shì)迅猛的攻擊令人難以防X，因此具有較大的破壞性。DDOS的攻擊原理如圖2所示。 圖2 DDOS攻擊原理 從圖2可以看出，DDOS攻擊分為3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。 1、攻擊者：攻擊者所用的計(jì)算機(jī)是攻擊主控臺(tái)，可以是網(wǎng)絡(luò)上的任何一臺(tái)主機(jī)，甚至可以是一個(gè)活動(dòng)的便攜機(jī)。攻擊者操縱整個(gè)攻擊過程，它向主控端發(fā)送攻擊

13、命令。 2、主控端：主控端是攻擊者非法侵入并控制的一些主機(jī)，這些主機(jī)還分別控制大量的代理主機(jī)。在主控端主機(jī)上安裝了特定的程序，因此它們可以承受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。 3、代理端：代理端同樣也是攻擊者侵入并控制的一批主機(jī)，它們上面運(yùn)行攻擊器程序，承受和運(yùn)行主控端發(fā)來的命令。代理端主機(jī)是攻擊的執(zhí)行者，真正向受害者主機(jī)發(fā)起攻擊。 攻擊者發(fā)起DDOS攻擊的第一步，就是尋找在Internet上有漏洞的主機(jī)，進(jìn)入系統(tǒng)后在其上面安裝后門程序，攻擊者入侵的主機(jī)越多，他的攻擊隊(duì)伍就越壯大。第二步在入侵主機(jī)上安裝攻擊程序，其中一局部主機(jī)充當(dāng)攻擊的主控端，一局部主機(jī)充當(dāng)攻擊

14、的代理端。最后各局部主機(jī)各施其職，在攻擊者的調(diào)遣下對(duì)攻擊對(duì)象發(fā)起攻擊。由于攻擊者在幕后操縱，所以在攻擊時(shí)不會(huì)受到監(jiān)控系統(tǒng)的跟蹤，身份不容易被發(fā)現(xiàn)。 2.2 DDOS攻擊原理與表現(xiàn)形式 DDOS攻擊的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對(duì)網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達(dá)主機(jī)；另一種為資源耗盡攻擊，主要是針對(duì)服務(wù)器主機(jī)的攻擊，即通過大量攻擊包導(dǎo)致主機(jī)的存被耗盡或CPU被核與應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。 2.3 DDOS攻擊方式 本次實(shí)驗(yàn)利用ICMP Flood和UDP Flood進(jìn)展攻擊。 2.3.1 ICMP

15、 Flood攻擊技術(shù) ICMP Flood 的攻擊屬于流量型攻擊方式，利用大的流量給服務(wù)器帶來較大的負(fù)載，影響服務(wù)器正常運(yùn)行。ping 使用的是echo應(yīng)答，ping的速度很慢僅為1-5包/秒，事實(shí)上ICMP本身并不慢〔由于ICMP是SOCK_RAW產(chǎn)生的原始報(bào)文，速度比SOCK_STREAM的SYN和SOCK_DGRAM的UDP要快幾乎 10倍！〕，這樣的速度是ping程序故意延遲的。并且必須等待目標(biāo)主機(jī)返回REPLAY信息，這個(gè)過程需要花費(fèi)大量的時(shí)間。而Flood——洪水，是速度極快的，當(dāng)一個(gè)程序發(fā)送數(shù)據(jù)包的速度達(dá)到了每秒1000個(gè)以上，它的性質(zhì)就成了洪水產(chǎn)生器，洪水?dāng)?shù)據(jù)是從洪水產(chǎn)生器里

16、出來的。但這樣還不夠，沒有足夠的帶寬，再猛的洪水也只能像公路塞車那樣慢慢移動(dòng)，成了雞肋。要做真正的洪水，就需要有一條足夠?qū)挼母咚俟凡趴梢浴? ICMP flood攻擊分為三種方式： 1.直接flood。直接使用自己的機(jī)器去攻擊別人，這要求有足夠的帶寬。直接攻擊會(huì)暴露自己IP地址，一般不常見。 2.偽造IP的Flood。它隨意偽造一個(gè)IP來flood。屬于比擬隱蔽陰險(xiǎn)的flood。 3.反射。用采取這種方式的第一個(gè)工具的名稱來命名的“Smurf〞洪水攻擊，把隱蔽性又提高了一個(gè)檔次，這種攻擊模式里，最終淹沒目標(biāo)的洪水不是由攻擊者發(fā)出的，也不是偽造IP發(fā)出的，而是正常通訊的服務(wù)器發(fā)出的。S

17、murf方式把源IP設(shè)置為受害者IP，然后向多臺(tái)服務(wù)器發(fā)送ICMP報(bào)文〔通常是ECHO請(qǐng)求〕，這些接收?qǐng)?bào)文的服務(wù)器被報(bào)文欺騙，向受害者返回ECHO應(yīng)答〔Type=0〕，導(dǎo)致垃圾阻塞受害者的門口。 2.3.2 UDP Flood 攻擊技術(shù) UDPFlood是日漸猖厥的流量型DoS攻擊，原理也很簡(jiǎn)單。常見的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。100k pps的UDPFlood經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個(gè)網(wǎng)段的癱瘓。由于UDP協(xié)議是一種無連接的服務(wù)，在UDPFLOOD攻擊中，攻擊者可發(fā)送大量偽造源IP地址的小UDP包。但是，由

18、于UDP協(xié)議是無連接性的，所以只要開了一個(gè)UDP的端口提供相關(guān)服務(wù)的話，那么就可針對(duì)相關(guān)的服務(wù)進(jìn)展攻擊。正常應(yīng)用情況下，UDP包雙向流量會(huì)根本相等，而且大小和容都是隨機(jī)的，變化很大。出現(xiàn)UDPFlood的情況下，針對(duì)同一目標(biāo)IP的UDP包在一側(cè)大量出現(xiàn)，并且容和大小都比擬固定。 1 SYN/ACK Flood攻擊 這種攻擊方法是經(jīng)典最有效的DDOS方法，適用于各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)，主要是通過向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或ACK包，導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)，由于源都是偽造的，所以追蹤起來比擬困難，缺點(diǎn)是實(shí)施起來有一定難度，需要高帶寬的僵尸主機(jī)支

19、持。少量的這種攻擊會(huì)導(dǎo)致主機(jī)服務(wù)器無法訪問，但卻可以Ping通，在服務(wù)器上用Netstat -na命令會(huì)觀察到存在大量的SYN_RECEIVED狀態(tài)，大量的這種攻擊會(huì)導(dǎo)致Ping失敗、TCP/IP棧失效，并會(huì)出現(xiàn)系統(tǒng)凝固現(xiàn)象，即不響應(yīng)鍵盤和鼠標(biāo)。 2 TCP全連接攻擊 這種攻擊是為了繞過常規(guī)防火墻的檢查而設(shè)計(jì)的，一般情況下，常規(guī)防火墻大多具備過濾TearDrop、Land等DOS攻擊的能力，但對(duì)于正常的TCP連接是放過的，殊不知很多網(wǎng)絡(luò)服務(wù)程序〔如：IIS、Apache等Web服務(wù)器〕能承受的TCP連接數(shù)是有限的，一旦有大量的TCP連接，即便是正常的，也會(huì)導(dǎo)致訪問非常緩慢甚至無法訪問，TC

20、P全連接攻擊就是通過許多僵尸主機(jī)不斷地與受害服務(wù)器建立大量的TCP連接，直到服務(wù)器的存等資源被耗盡而被拖跨，從而造成拒絕服務(wù)，這種攻擊的特點(diǎn)是可繞過一般防火墻的防護(hù)而達(dá)到攻擊目的，缺點(diǎn)是需要找很多僵尸主機(jī)，并且由于僵尸主機(jī)的IP是暴露的，因此容易被追蹤。 3 刷Script腳本攻擊 這種攻擊主要是針對(duì)存在ASP、JSP、PHP、CGI等腳本程序，并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的系統(tǒng)而設(shè)計(jì)的，特征是和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量消耗數(shù)據(jù)庫資源的調(diào)用，典型的以小博大的攻擊方法。一般來說，提交一個(gè)GET或POST指

21、令對(duì)客戶端的消耗和帶寬的占用是幾乎可以忽略的，而服務(wù)器為處理此請(qǐng)求卻可能要從上萬條記錄中去查出某個(gè)記錄，這種處理過程對(duì)資源的消耗是很大的，常見的數(shù)據(jù)庫服務(wù)器很少能支持?jǐn)?shù)百個(gè)查詢指令同時(shí)執(zhí)行，而這對(duì)于客戶端來說卻是輕而易舉的，因此攻擊者只需通過Proxy代理向主機(jī)服務(wù)器大量遞交查詢指令，只需數(shù)分鐘就會(huì)把服務(wù)器資源消耗掉而導(dǎo)致拒絕服務(wù)，常見的現(xiàn)象就是慢如蝸牛、ASP程序失效、PHP連接數(shù)據(jù)庫失敗、數(shù)據(jù)庫主程序占用CPU偏高。這種攻擊的特點(diǎn)是可以完全繞過普通的防火墻防護(hù)，輕松找一些Proxy代理就可實(shí)施攻擊，缺點(diǎn)是對(duì)付只有靜態(tài)頁面的效果會(huì)大打折扣，并且有些Proxy會(huì)暴露攻擊者的IP地址。 2

22、.4 DDOS攻擊工具 DDOS攻擊實(shí)施起來有一定的難度，它要求攻擊者必須具備入侵他人計(jì)算機(jī)的能力。但是很不幸的是一些傻瓜式的黑客程序的出現(xiàn)，這些程序可以在幾秒鐘完成入侵和攻擊程序的安裝，使發(fā)動(dòng)DDOS攻擊變成一件輕而易舉的事情。本次是進(jìn)展一次簡(jiǎn)單的實(shí)驗(yàn)，所有簡(jiǎn)單地利用了以下幾個(gè)工具。 2.4.1 LOIC 利用傻瓜軟件就可以發(fā)動(dòng)DDoS攻擊的話，為什么還要付費(fèi)呢?來自系統(tǒng)管理、網(wǎng)絡(luò)和安全協(xié)會(huì)互聯(lián)網(wǎng)風(fēng)暴中心的消息顯示，在這波針對(duì)商業(yè)公司發(fā)起的DDoS攻擊浪潮中，人們開始使用低軌道離子加農(nóng)炮(Low Orbit Ion Cannon，以下簡(jiǎn)稱LOIC)，一種開源的DoS攻擊工具來對(duì)卡或者維

23、薩卡的端口進(jìn)展攻擊。使用者要做的事情僅僅就是用鼠標(biāo)點(diǎn)擊一下，攻擊就正式開始了。 　　LOIC是一個(gè)功能非常強(qiáng)大的工具。它可以使用大規(guī)模的垃圾流量對(duì)目標(biāo)實(shí)施攻擊，從而耗盡網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)崩潰，無法提供服務(wù)。本次實(shí)驗(yàn)利用該工具進(jìn)展UDP Flood攻擊操作。 2.4.2 engage packetbuilder 一個(gè)運(yùn)行在windows下的使用LibNet和LibPcap進(jìn)展發(fā)報(bào)測(cè)試的工具，具有一個(gè)簡(jiǎn)單易用的gui界面，可以完全定制各種類型的數(shù)據(jù)包，并且支持腳本自動(dòng)發(fā)送。是測(cè)試IDS/防火墻的好工具。 本次實(shí)驗(yàn)利用該工具進(jìn)展 ICMP Flood攻擊操作。 在本次實(shí)驗(yàn)中，為了

24、方便利用DDOS技術(shù)進(jìn)展的攻擊，我們使用了wireshark 進(jìn)展流量包的檢測(cè)，可以區(qū)別出ICMP Flood和UDP Flood攻擊。 與結(jié)果 本次DDOS攻擊實(shí)驗(yàn)利用了兩種工具進(jìn)展ICMP Flood和UDP Flood攻擊，實(shí)驗(yàn)中使用四個(gè)主機(jī)進(jìn)展攻擊網(wǎng)關(guān) 測(cè)試主機(jī)PC5 本主機(jī)PC45 網(wǎng)關(guān)地址是： 結(jié)構(gòu)圖： 流程圖： 2.5.2 UDPflood攻擊 1.攻擊前，PC5對(duì)網(wǎng)關(guān)進(jìn)展Ping操作，確保成功連接并查看延時(shí)狀況 2.四臺(tái)主機(jī)同時(shí)對(duì)網(wǎng)關(guān)進(jìn)展UDP Flood攻擊操作，如下圖是我的主機(jī)操作： 3.在進(jìn)展攻擊時(shí)，PC5再進(jìn)展Pin

25、g網(wǎng)關(guān)操作 4.發(fā)現(xiàn)延遲很高，大局部是請(qǐng)求超時(shí)，表現(xiàn)出攻擊成功。 2.5.3 ICMP flood攻擊 1.攻擊前，PC5對(duì)網(wǎng)關(guān)進(jìn)展Ping操作，確保成功連接并查看延時(shí)狀況。 2.四臺(tái)主機(jī)同時(shí)對(duì)網(wǎng)關(guān)進(jìn)展ICMP Flood攻擊操作，如下圖是我的主機(jī)操作： 3.在進(jìn)展攻擊時(shí)，PC5再進(jìn)展Ping網(wǎng)關(guān)操作 4.發(fā)現(xiàn)延遲很高，或者干脆請(qǐng)求超時(shí)，表現(xiàn)出攻擊成功。 兩次攻擊都很好地完成。 三、DDOS防御技術(shù) 3.1 簡(jiǎn)述DDOS防御技術(shù) 對(duì)付DDOS是一個(gè)系統(tǒng)工程，僅僅依靠某種系統(tǒng)或產(chǎn)品防DDOS是不現(xiàn)實(shí)的，可以肯定的是，完全

26、杜絕DDOS攻擊，目前是不可能的，但通過適當(dāng)?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的，基于攻擊和防御都有本錢開銷的緣故，假如通過適當(dāng)?shù)姆椒ㄔ鰪?qiáng)了抵御DDOS的能力，也就意味著加大了攻擊者的攻擊本錢，那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄，也就相當(dāng)于成功的抵御了DDOS攻擊。 本次實(shí)訓(xùn)，教師還向我們介紹了policing and shaping。簡(jiǎn)單的說就是 管制和整形： 管制和整形的作用是識(shí)別流量違約并做出響應(yīng)。管制和整形使用同樣的算法識(shí)別流量違約，但是做出的響應(yīng)不同。 管制工具對(duì)流量違約進(jìn)展即時(shí)檢查，發(fā)現(xiàn)違約后立即采取設(shè)定的動(dòng)作進(jìn)展處理。例如，管制工具可以確定負(fù)載是否超出了定義的流

27、量速率，然后對(duì)超出局部的流量進(jìn)展重新標(biāo)記或者直接丟棄。管制工具可以應(yīng)用在入接口和出接口上。 整形工具是一個(gè)與排隊(duì)機(jī)制一起工作的流量平滑工具。整形的目的是將所有的流量發(fā)送到同一個(gè)接口，并且控制流量永遠(yuǎn)不超出指定的速率，使流量平滑地通過該接口發(fā)送出去。整形工具只可以應(yīng)用在出接口上。 管制與整形相比擬，具有以下區(qū)別，參見表22-3。 表22-2：管制與整形比擬 管制policing 整形shaping 由于包被丟棄，引起TCP重傳 通常延遲流量，很少引起TCP重傳 不靈活和不可適應(yīng) 通過排隊(duì)機(jī)制來適應(yīng)網(wǎng)絡(luò)擁塞 入接口和出接口工具 出接口工具 沒有緩存的速率限制 有緩存的速率

28、限制 如下圖能明顯顯示出2種不同的流量限制。 3.2 防御原理 3.2.1 CAR 使用CAR(Control Access Rate)功能限制流速率。如果管理員發(fā)現(xiàn)網(wǎng)絡(luò)中存在DDoS攻擊，并通過Sniffer或者其它手段得知發(fā)起DDoS攻擊的數(shù)據(jù)流的類型，然后可以給該數(shù)據(jù)流設(shè)置一個(gè)上限帶寬，這樣超過了該上限的攻擊流量就被丟棄，可以保證網(wǎng)絡(luò)帶寬不被占滿。 3.2.2 uRPF URPF〔Unicast Reverse Path Forwarding，單播反向路徑轉(zhuǎn)發(fā)〕的主要功能是用于防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。 源地址欺騙攻擊為入侵者構(gòu)造出一系列帶有偽造源地址的

29、報(bào)文，對(duì)于使用基于 IP地址驗(yàn)證的應(yīng)用來說，此攻擊方法可以導(dǎo)致未被授權(quán)用戶以他人身份獲得訪問系統(tǒng)的權(quán)限，甚至是以管理員權(quán)限來訪問。即使響應(yīng)報(bào)文不能達(dá)到攻擊者，同樣也會(huì)造成對(duì)被攻擊對(duì)象的破壞。 如圖 1所示，在Router A上偽造源地址為 2.2.2.1/8的報(bào)文，向服務(wù)器Router B發(fā)起請(qǐng)求，Router B響應(yīng)請(qǐng)求時(shí)將向真正的“〞發(fā)送報(bào)文。這種非法報(bào)文對(duì)RouterB和Router C都造成了攻擊。 URPF技術(shù)可以應(yīng)用在上述環(huán)境中，阻止基于源地址欺騙的攻擊。 3.3利用CAR進(jìn)展DDOS防御實(shí)驗(yàn)實(shí)際操作與結(jié)果 1.本次CAR防是利用GNS3進(jìn)展實(shí)驗(yàn)的，首先在GNS3中鋪設(shè)

30、結(jié)構(gòu)，將本地物理網(wǎng)卡配置到C 1，將虛擬網(wǎng)卡VMnet1配置到C2上， 對(duì)R1兩個(gè)端口進(jìn)展配置： 配置好后，如如下圖所示， 2.打開虛擬機(jī)，選好網(wǎng)卡，運(yùn)行cmd，ping 192.168.100.144,能夠成功ping通。 Ping 192.168.82.144，也能成功ping通。 3.在GNS3中的路由器上輸入限速命令，并將其應(yīng)用至f0/1端口。 4.配置后在虛擬機(jī)中Ping 192.169.82.144 -t未發(fā)現(xiàn)丟包現(xiàn)象，在R1中特權(quán)模式下 show interfaces rate-limit，未出現(xiàn)丟包現(xiàn)象。 4.配置后進(jìn)展p

31、ing 192.168.82.144 –t –l 3100，由于之前的限速配置時(shí)將限制在1500Byte，偶爾允許2000Bype通過。但這里是3100，所以出現(xiàn)大量丟包。 限速后，在GNS3中R1輸入show interfaces rate-limit，出現(xiàn)丟包現(xiàn)象 如如下圖所示。 由上可知，本次防實(shí)驗(yàn)成功完成。 四、遇到的問題與解決 1.在虛擬機(jī)中，無法ping到相應(yīng)網(wǎng)關(guān)。 解決：在虛擬機(jī)上為選擇相應(yīng)虛擬網(wǎng)卡，之后在教師指導(dǎo)下才知道. 2.剛開始時(shí)，由于教師演示過快，我們沒記住怎么進(jìn)展icmp flood攻擊 解決：在教師再次講解下，我們會(huì)使用engag

32、e packetbuilder工具。 3.在防實(shí)驗(yàn)中，使用GNS3時(shí)，無法將路由器拖拽進(jìn)實(shí)驗(yàn)板。 解決：因?yàn)樵趧倓偞蜷_GNS3時(shí)沒將相應(yīng)IOS導(dǎo)入gns3中，之后導(dǎo)入后，可以將路由器拖入，但是還是忘記開啟路由器了，經(jīng)過很屢次的操作，終于能正確地使用GNS3。 4.CAR防時(shí)，無法導(dǎo)入虛擬機(jī)的虛擬網(wǎng)卡 解決：因?yàn)樘摂M網(wǎng)卡被禁用，之前沒注意。 五、小結(jié) 通過這次課程設(shè)計(jì)我們懂得了理論與實(shí)際相結(jié)合的重要性，只有理論知識(shí)是遠(yuǎn)遠(yuǎn)不夠的，只有把所學(xué)的理論知識(shí)與實(shí)踐相結(jié)合起來，才能提高自己的實(shí)際動(dòng)手能力和獨(dú)立思考的能力。在設(shè)計(jì)的過程中遇到問題，可以說得是困難重重，這畢竟第一次做的，難免會(huì)

33、遇到過各種各樣的問題，同時(shí)在設(shè)計(jì)的過程中發(fā)現(xiàn)了自己的不足之處。對(duì)所學(xué)的知識(shí)理解得不夠深刻，掌握得不夠結(jié)實(shí)，比如說對(duì)engage packetbuilder工具的應(yīng)用，以與Smurf攻擊等邊邊角角的零碎但都很重要的知識(shí)??通過這次課程設(shè)計(jì)之后，學(xué)到了很多新的知識(shí)，對(duì)DoS與DDoS的區(qū)別有了認(rèn)識(shí)，以與DDoS攻擊的攻擊原理有了非常準(zhǔn)確的把握，能夠比擬清楚的對(duì)其工作原理進(jìn)展描述，了解其攻擊工作機(jī)制。 網(wǎng)絡(luò)攻擊與防御技術(shù)是我們對(duì)所學(xué)專業(yè)建立感性認(rèn)識(shí)、鞏固所學(xué)理論知識(shí)、培養(yǎng)專業(yè)技能和實(shí)際工作能力的重要環(huán)節(jié)。通過課程的學(xué)習(xí)，可加強(qiáng)防對(duì)信息資源的非法訪問和抵御黑客的襲擊，提高抗威脅能力，最大限度的減少或防止因信息泄露、破壞等安全問題所造成的經(jīng)濟(jì)損失與對(duì)其形象的影響。使我們了解本專業(yè)實(shí)際的知識(shí)，培養(yǎng)我們理論聯(lián)系實(shí)際與初步的獨(dú)立工作能力，為今后從事信息安全相關(guān)工作打下根底。 參考文獻(xiàn) [1.] 計(jì)算機(jī)網(wǎng)絡(luò)安全教程(第二版) 梁亞聲 機(jī)械工業(yè) 2008年7月 [2.] Cisco Press - CA Security Official Exam Certification Guide 2012 [3.] 2011