返回
分布式拒绝服务攻击及防范研究

分布式拒绝服务攻击及防范研究

ID:20587972

大小:73.00 KB

页数:11页

时间:2018-10-13

分布式拒绝服务攻击及防范研究_第1页
分布式拒绝服务攻击及防范研究_第2页
分布式拒绝服务攻击及防范研究_第3页
分布式拒绝服务攻击及防范研究_第4页
分布式拒绝服务攻击及防范研究_第5页
资源描述:

《分布式拒绝服务攻击及防范研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、分布式拒绝服务攻击及防范研究摘要随着网络应用的日益广泛,网络结构框架已经篆露在众多网络安全的威胁之下,DDoS攻击随处可见,人们为克服DDoS攻击进行了大量研究,提出了多种解决方案。本文系统分析了DDoS攻击的原理和方法,在分析具体的攻击工具的基础上给出防御方法。关键词拒绝服务攻击;分布式拒绝服务攻击;扫描黑客1引言随着网络应用的日益广泛,网络结构框架已经暴露在众多网络安全的威胁之下,其中拒绝服务(DoS)攻击和基于DoS的分布式拒绝服务(DDoS)攻击最为常见。例如,2000年黑客们使用DDoS连续攻击了Yahoo、ebay、Amazon等许多知名网站,致使一些站点中

2、断服务长达数小时甚至几天,国内的新浪、163等站点也遭到类似的攻击。2001年5月对CERTCo-ordinationCenter的攻击,2002年5月对edNET的攻击都造成了很大的损失[1]。在2001年4月的中美黑客大战中,DDoS也被广泛使用。随着高速网络的不断普及,尤其是随着近年来网络蠕虫的不断发展,更大规模DDoS攻击的威胁也越来越大。2分布式拒绝服务(DDoS)攻击DoS是指攻击者在一定时间内向网络发送大量的服务请求,消耗系统资源或网络带宽,占用及超越被攻击主机的处理能力,导致网络或系统不胜负荷,停止对合法用户提供正常的网络服务;DDoS是在DoS的基础上

3、引入了Client/Server机制,使得攻击强度更大,隐藏性更高。DDoS攻击原理DDoS采用多层的客户/服务器模式,一个完整的DDoS攻击体系一般包含四个部分:攻击控制台、攻击服务器、攻击愧儡机和攻击目标,其攻击体系结构如图1所示。♦攻击控制台。攻击者利用它来操纵整个攻击过程,它向攻击服务器下达攻击命令。♦攻击服务器也叫主控端,它是攻击者非法入侵并且安装特定程序的一些主机。它接收从攻击控制台发过来的各种命令。同时,它也控制了大量的攻击傀儡机,并向它们转发攻击控制台的攻击指令。♦攻击傀儡机也叫代理端,它也是攻击者非法入侵并且安装特定程序的一些主机。它们上面运行攻击程序

4、,用于对目标发起攻击。它受控于主控端,从主控端接收攻击命令,是攻击的执行者。DDoS攻击的特点DDoS攻击作为一种特殊的DoS攻击方式,相对于传统的拒绝服务攻击有自己很多的特点:首先,分布式拒绝服务的攻击效果更加明显。使用分布式拒绝服务,可以从多个傀儡主机同时向攻击目标发送攻击数据,可以在很短的时间内发送大量的数据包,使攻击目标的系统无法提供正常的服务。另外,由于采用了多层客户机/服务器模式,减少了由攻击者下迗攻击命令时可能存在的拥塞,也增加了攻击的紧凑性。即使攻击目标探测到攻击,也可能来不及采取有效措施来应对攻击。其次,分布式拒绝服务攻击更加难以防范。因为分布式拒绝服

5、务的攻击数据流来自很多个源且攻击工具多使用随机IP技术,增加了与合法访问数据流的相似性,这使得对攻击更加难以判断和防范。最后,分布式拒绝服务对于攻击者来说更加安全。由于采用了多层客户机/服务器模式,增大了回溯查找攻击者的难度,从而可以更加有效地保护攻击者。另外,采用多层客户机/服务器模式,使得下迗攻击指令的数据流更加分散,不容易被监控系统察觉,从而暴露攻击者的位置与意3攻击策略及防范目前,随着多种DDoS攻击工具如TFN、TFN2K、Stacheldraht、Trinoo等的广泛传播,所面临DDoS攻击的风险更是急剧增长[2]。所以,如何有效的防御DDoS攻击成为当前一

6、个亟待解决的问题。下面,本文针对这几种常用的攻击工具给出具体的防范措施。TFN(TribeFloodNetwork)攻击及防范TFN是德国著名黑客Mixter编写的,与Trinoo相似,都是在互联网的大量UNIX系统中开发和测试的。它由客户端程序和守护程序组成,通过绑定到TCP端口的RootShell控制,实施ICMPFlood,SYNFlood,UDPFlood等多种拒绝服务的分布式网络攻击。TFN客户端、主控端和代理端主机相互间通信时使用IC-MPEcho和IcmpEchoReply数据包。针对TFN攻击的基本特性可采用如下抵御策略:♦发动TFN时,攻击者要访问Ma

7、ster程序并向它发送一个或多个目标IP地址,然后Master程序与所有代理程序通信,指示它们发动攻击。Master程序与代理程序之间的通信使用ICMP回音/应答信息包,实际要执行的指示以二进制形式包含在16位ID域中。ICMP使信息包协议过滤成为可能,通过配置路由器或入侵检测系统,不允许所有的ICMP回音或回音/应答信息包进入网络就可以迗到挫败TFN代理的目的,但是这样会影响所有使用这些功能的Internet程序,如Ping。Master程序读取一个IP地址列表,其中包含代理程序的位置。这个列表可能使用如“Blowfish”的加密程序进

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。