ddos攻擊與防范技術(shù)原理課程設(shè)計(jì)報(bào)告

1、<p><b>　　課程設(shè)計(jì)報(bào)告</b></p><p>　　課程名稱： 計(jì)算機(jī)網(wǎng)絡(luò)安全 </p><p>　　課題名稱： DDOS攻擊與防范技術(shù)原理 </p><p>　　姓 名： </p><p

2、>　　班 級(jí)： </p><p>　　學(xué) 號(hào)： </p><p>　　指導(dǎo)老師： </p><p>　　報(bào)告日期： 2013年06月27日 </p><

3、p>　　電 子 信 息 學(xué) 院</p><p>　　實(shí)訓(xùn)/課程設(shè)計(jì)任務(wù)書(shū)</p><p><b>　　摘要：</b></p><p>　　計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，特別是Internet的發(fā)展和普及應(yīng)用，為人類帶來(lái)了新的工作、學(xué)習(xí)和生活方式，使人們與計(jì)算機(jī)網(wǎng)絡(luò)的聯(lián)系越來(lái)越密切。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)提供了豐富的資源以便用戶共享，提高了系統(tǒng)的靈活性和便捷性

4、，也正是這個(gè)特點(diǎn)，增加了網(wǎng)絡(luò)系統(tǒng)的脆弱性、網(wǎng)絡(luò)受威脅和攻擊的可能性以及網(wǎng)絡(luò)的復(fù)雜性。</p><p>　　分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大

5、量代理程序通訊，代理程序已經(jīng)被安裝在Internet上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。</p><p>　　關(guān)鍵字：DDOS, ICMP Flood, UDP Flood, CAR</p><p><b>　　目錄</b></p><p><b>　

6、　摘要：2</b></p><p><b>　　一、需求分析4</b></p><p><b>　　1.1課設(shè)背景4</b></p><p>　　二、DDOS攻擊技術(shù)5</p><p>　　2.1簡(jiǎn)述DDOS攻擊技術(shù)5</p><p>　　2.1.1 D

7、OS攻擊概述5</p><p>　　2.1.2DDOS攻擊概述5</p><p>　　2.2 DDOS攻擊原理與表現(xiàn)形式6</p><p>　　2.3 DDOS攻擊方式7</p><p>　　2.3.1 ICMP Flood攻擊技術(shù)7</p><p>　　2.3.2 UDP Flood 攻擊技術(shù)7</

8、p><p>　　2.3.3其他攻擊技術(shù)8</p><p>　　2.4 DDOS攻擊工具9</p><p>　　2.4.1 LOIC9</p><p>　　2.4.2 engage packetbuilder9</p><p>　　2.4.3其他輔助工具10</p><p>　　2.5具體實(shí)

9、驗(yàn)操作與結(jié)果10</p><p>　　2.5.1實(shí)驗(yàn)結(jié)構(gòu)圖與流程圖10</p><p>　　2.5.2 UDP flood攻擊11</p><p>　　2.5.3 ICMP flood攻擊13</p><p>　　三、DDOS防御技術(shù)16</p><p>　　3.1 簡(jiǎn)述DDOS防御技術(shù)16</p&g

10、t;<p>　　3.2 防御原理17</p><p>　　3.2.1 CAR17</p><p>　　3.2.2 uRPF17</p><p>　　3.3 利用CAR進(jìn)行DDOS防御實(shí)驗(yàn)實(shí)際操作與結(jié)果18</p><p>　　四、遇到的問(wèn)題與解決21</p><p><b>　　五

11、、小結(jié)22</b></p><p><b>　　參考文獻(xiàn)23</b></p><p><b>　　一、需求分析</b></p><p>　　隨著 Internet 的迅猛發(fā)展，網(wǎng)絡(luò)與信息安全問(wèn)題日益突出。病毒肆虐、網(wǎng)絡(luò)犯罪、黑客攻擊等現(xiàn)象時(shí)有發(fā)生，嚴(yán)重危及我們正常工作。據(jù)國(guó)際權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，全球每年因網(wǎng)絡(luò)安全

12、問(wèn)題帶來(lái)的損失高達(dá)數(shù)百億美元。網(wǎng)絡(luò)上的惡意攻擊實(shí)際上就是尋找一 切可能存在的網(wǎng)絡(luò)安全缺陷來(lái)達(dá)到對(duì)系統(tǒng)及資源的 損害，從而達(dá)到惡意的目的。分布式拒絕服務(wù)攻擊 (以下稱 DDOS) 就是從1996 年出現(xiàn)，在中國(guó) 2002 年開(kāi)始頻繁出現(xiàn)的一種攻擊方式。</p><p>　　分布式拒絕服務(wù)攻擊(DDOS 全名是 Distribut- ed Denial of service)，DDOS 攻擊手段是在傳統(tǒng)的DoS 攻擊

13、基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DOS攻擊一般是采用一對(duì)一方式的，當(dāng)攻擊目標(biāo) CPU 速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性 能指標(biāo)不高它的效果是明顯的。</p><p><b>　　1.1課設(shè)背景</b></p><p>　　隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存 大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得 DOS 攻擊的困難程度加大了，目標(biāo)

14、對(duì)惡意攻擊包的 " 消化能力 " 加強(qiáng)了不少，例如：你的攻擊軟件 每秒鐘可以發(fā)送4000 個(gè)攻擊包，但我的主機(jī)與網(wǎng) 絡(luò)帶寬每秒鐘可以處理 20000 個(gè)攻擊包，這樣一來(lái) 攻擊就不會(huì)產(chǎn)生什么效果。 分布式拒絕服務(wù)攻擊使用了分布式客戶服務(wù)器 功能，加密技術(shù)及其它類的功能，它能被用于控制任 意數(shù)量的遠(yuǎn)程機(jī)器，以產(chǎn)生隨機(jī)匿名的拒絕服務(wù)攻 擊和遠(yuǎn)程訪問(wèn)。為了有效防范網(wǎng)絡(luò)入侵和攻擊，就必 須熟悉網(wǎng)絡(luò)入侵和攻擊的手段和原理，在此基

15、礎(chǔ)上 才能制定行之有效的防范對(duì)策和防御措施，從而確 保網(wǎng)絡(luò)信息的安全。</p><p>　　本次實(shí)驗(yàn)要求是先進(jìn)行DDOS的UDP Flood和ICMP Flood的攻擊，再利用GNS3和虛擬機(jī)進(jìn)行DDOS攻擊的防御，</p><p>　　二、DDOS攻擊技術(shù)</p><p>　　2.1簡(jiǎn)述DDOS攻擊技術(shù)</p><p>　　2.1.1 DO

16、S攻擊概述</p><p>　　在了解DDOS之前，首先我們來(lái)看看DOS，DOS的英文全稱是Denial of Service，也就是“拒絕服務(wù)”的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來(lái)看，DOS算是一種很簡(jiǎn)單但又很有效的進(jìn)攻方式。它的目的就是拒絕你的服務(wù)訪問(wèn)，破壞組織的正常運(yùn)行，最終它會(huì)使你的部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。DOS的攻擊方式有很多種，最基本的DOS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用

17、過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)。DOS攻擊的原理如圖1所示。</p><p>　　圖1 DOS攻擊原理</p><p>　　從圖1我們可以看出DOS攻擊的基本過(guò)程：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請(qǐng)求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，分配給這次請(qǐng)求的資源就始終沒(méi)有被釋放。當(dāng)服務(wù)器等待一定的時(shí)間后，連接會(huì)因超時(shí)而被切斷

18、，攻擊者會(huì)再度傳送新的一批請(qǐng)求，在這種反復(fù)發(fā)送偽地址請(qǐng)求的情況下，服務(wù)器資源最終會(huì)被耗盡。</p><p>　　2.1.2DDOS攻擊概述</p><p>　　DDOS（分布式拒絕服務(wù)），它的英文全稱為Distributed Denial of Service，它是一種基于DOS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，像商業(yè)公司，搜索引擎和政府部門(mén)

19、的站點(diǎn)。從圖1我們可以看出DOS攻擊只要一臺(tái)單機(jī)和一個(gè)modem就可實(shí)現(xiàn)，與之不同的是DDOS攻擊是利用一批受控制的機(jī)器向一臺(tái)機(jī)器發(fā)起攻擊，這樣來(lái)勢(shì)迅猛的攻擊令人難以防備，因此具有較大的破壞性。DDOS的攻擊原理如圖2所示。</p><p>　　圖2 DDOS攻擊原理</p><p>　　從圖2可以看出，DDOS攻擊分為3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。</

20、p><p>　　1、攻擊者：攻擊者所用的計(jì)算機(jī)是攻擊主控臺(tái)，可以是網(wǎng)絡(luò)上的任何一臺(tái)主機(jī)，甚至可以是一個(gè)活動(dòng)的便攜機(jī)。攻擊者操縱整個(gè)攻擊過(guò)程，它向主控端發(fā)送攻擊命令。</p><p>　　2、主控端：主控端是攻擊者非法侵入并控制的一些主機(jī)，這些主機(jī)還分別控制大量的代理主機(jī)。在主控端主機(jī)上安裝了特定的程序，因此它們可以接受攻擊者發(fā)來(lái)的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。</p>

21、;<p>　　3、代理端：代理端同樣也是攻擊者侵入并控制的一批主機(jī)，它們上面運(yùn)行攻擊器程序，接受和運(yùn)行主控端發(fā)來(lái)的命令。代理端主機(jī)是攻擊的執(zhí)行者，真正向受害者主機(jī)發(fā)起攻擊。</p><p>　　攻擊者發(fā)起DDOS攻擊的第一步，就是尋找在Internet上有漏洞的主機(jī)，進(jìn)入系統(tǒng)后在其上面安裝后門(mén)程序，攻擊者入侵的主機(jī)越多，他的攻擊隊(duì)伍就越壯大。第二步在入侵主機(jī)上安裝攻擊程序，其中一部分主機(jī)充當(dāng)攻擊的主

22、控端，一部分主機(jī)充當(dāng)攻擊的代理端。最后各部分主機(jī)各施其職，在攻擊者的調(diào)遣下對(duì)攻擊對(duì)象發(fā)起攻擊。由于攻擊者在幕后操縱，所以在攻擊時(shí)不會(huì)受到監(jiān)控系統(tǒng)的跟蹤，身份不容易被發(fā)現(xiàn)。</p><p>　　2.2 DDOS攻擊原理與表現(xiàn)形式</p><p>　　DDOS攻擊的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對(duì)網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒(méi)而無(wú)法到

23、達(dá)主機(jī)；另一種為資源耗盡攻擊，主要是針對(duì)服務(wù)器主機(jī)的攻擊，即通過(guò)大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無(wú)法提供網(wǎng)絡(luò)服務(wù)。</p><p>　　2.3 DDOS攻擊方式</p><p>　　本次實(shí)驗(yàn)利用ICMP Flood和UDP Flood進(jìn)行攻擊。</p><p>　　2.3.1 ICMP Flood攻擊技術(shù)</p><

24、;p>　　ICMP Flood 的攻擊屬于流量型攻擊方式，利用大的流量給服務(wù)器帶來(lái)較大的負(fù)載，影響服務(wù)器正常運(yùn)行。ping 使用的是echo應(yīng)答，ping的速度很慢僅為1-5包/秒，事實(shí)上ICMP本身并不慢（由于ICMP是SOCK_RAW產(chǎn)生的原始報(bào)文，速度比SOCK_STREAM的SYN和SOCK_DGRAM的UDP要快幾乎 10倍?。?，這樣的速度是ping程序故意延遲的。并且必須等待目標(biāo)主機(jī)返回REPLAY信息，這個(gè)過(guò)程需要花

25、費(fèi)大量的時(shí)間。而Flood——洪水，是速度極快的，當(dāng)一個(gè)程序發(fā)送數(shù)據(jù)包的速度達(dá)到了每秒1000個(gè)以上，它的性質(zhì)就成了洪水產(chǎn)生器，洪水?dāng)?shù)據(jù)是從洪水產(chǎn)生器里出來(lái)的。但這樣還不夠，沒(méi)有足夠的帶寬，再猛的洪水也只能像公路塞車那樣慢慢移動(dòng)，成了雞肋。要做真正的洪水，就需要有一條足夠?qū)挼母咚俟凡趴梢浴?lt;/p><p>　　ICMP flood攻擊分為三種方式：</p><p>　　1.直接flood

26、。直接使用自己的機(jī)器去攻擊別人，這要求有足夠的帶寬。直接攻擊會(huì)暴露自己IP地址，一般不常見(jiàn)。</p><p>　　2.偽造IP的Flood。它隨意偽造一個(gè)IP來(lái)flood。屬于比較隱蔽陰險(xiǎn)的flood。</p><p>　　3.反射。用采取這種方式的第一個(gè)工具的名稱來(lái)命名的“Smurf”洪水攻擊，把隱蔽性又提高了一個(gè)檔次，這種攻擊模式里，最終淹沒(méi)目標(biāo)的洪水不是由攻擊者發(fā)出的，也不是偽造IP

27、發(fā)出的，而是正常通訊的服務(wù)器發(fā)出的。Smurf方式把源IP設(shè)置為受害者IP，然后向多臺(tái)服務(wù)器發(fā)送ICMP報(bào)文（通常是ECHO請(qǐng)求），這些接收?qǐng)?bào)文的服務(wù)器被報(bào)文欺騙，向受害者返回ECHO應(yīng)答（Type=0），導(dǎo)致垃圾阻塞受害者的門(mén)口。</p><p>　　2.3.2 UDP Flood 攻擊技術(shù)</p><p>　　UDPFlood是日漸猖厥的流量型DoS攻擊，原理也很簡(jiǎn)單。常見(jiàn)的情況是利用

28、大量UDP小包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。100k pps的UDPFlood經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個(gè)網(wǎng)段的癱瘓。由于UDP協(xié)議是一種無(wú)連接的服務(wù)，在UDPFLOOD攻擊中，攻擊者可發(fā)送大量偽造源IP地址的小UDP包。但是，由于UDP協(xié)議是無(wú)連接性的，所以只要開(kāi)了一個(gè)UDP的端口提供相關(guān)服務(wù)的話，那么就可針對(duì)相關(guān)的服務(wù)進(jìn)行攻擊。正常應(yīng)用情況下，UDP包雙向流量會(huì)基本相等，而且大小和內(nèi)容

29、都是隨機(jī)的，變化很大。出現(xiàn)UDPFlood的情況下，針對(duì)同一目標(biāo)IP的UDP包在一側(cè)大量出現(xiàn)，并且內(nèi)容和大小都比較固定。</p><p>　　2.3.3其他攻擊技術(shù)</p><p>　　1 SYN/ACK Flood攻擊</p><p>　　這種攻擊方法是經(jīng)典最有效的DDOS方法，適用于各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)，主要是通過(guò)向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或AC

30、K包，導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)，由于源都是偽造的，所以追蹤起來(lái)比較困難，缺點(diǎn)是實(shí)施起來(lái)有一定難度，需要高帶寬的僵尸主機(jī)支持。少量的這種攻擊會(huì)導(dǎo)致主機(jī)服務(wù)器無(wú)法訪問(wèn)，但卻可以Ping通，在服務(wù)器上用Netstat -na命令會(huì)觀察到存在大量的SYN_RECEIVED狀態(tài)，大量的這種攻擊會(huì)導(dǎo)致Ping失敗、TCP/IP棧失效，并會(huì)出現(xiàn)系統(tǒng)凝固現(xiàn)象，即不響應(yīng)鍵盤(pán)和鼠標(biāo)。</p><p>　

31、　2 TCP全連接攻擊</p><p>　　這種攻擊是為了繞過(guò)常規(guī)防火墻的檢查而設(shè)計(jì)的，一般情況下，常規(guī)防火墻大多具備過(guò)濾TearDrop、Land等DOS攻擊的能力，但對(duì)于正常的TCP連接是放過(guò)的，殊不知很多網(wǎng)絡(luò)服務(wù)程序（如：IIS、Apache等Web服務(wù)器）能接受的TCP連接數(shù)是有限的，一旦有大量的TCP連接，即便是正常的，也會(huì)導(dǎo)致網(wǎng)站訪問(wèn)非常緩慢甚至無(wú)法訪問(wèn)，TCP全連接攻擊就是通過(guò)許多僵尸主機(jī)不斷地與受

32、害服務(wù)器建立大量的TCP連接，直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨，從而造成拒絕服務(wù)，這種攻擊的特點(diǎn)是可繞過(guò)一般防火墻的防護(hù)而達(dá)到攻擊目的，缺點(diǎn)是需要找很多僵尸主機(jī)，并且由于僵尸主機(jī)的IP是暴露的，因此容易被追蹤。</p><p>　　3 刷Script腳本攻擊</p><p>　　這種攻擊主要是針對(duì)存在ASP、JSP、PHP、CGI等腳本程序，并調(diào)用MSSQLServer、MySQLSe

33、rver、Oracle等數(shù)據(jù)庫(kù)的網(wǎng)站系統(tǒng)而設(shè)計(jì)的，特征是和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費(fèi)數(shù)據(jù)庫(kù)資源的調(diào)用，典型的以小博大的攻擊方法。一般來(lái)說(shuō)，提交一個(gè)GET或POST指令對(duì)客戶端的耗費(fèi)和帶寬的占用是幾乎可以忽略的，而服務(wù)器為處理此請(qǐng)求卻可能要從上萬(wàn)條記錄中去查出某個(gè)記錄，這種處理過(guò)程對(duì)資源的耗費(fèi)是很大的，常見(jiàn)的數(shù)據(jù)庫(kù)服務(wù)器很少能支持?jǐn)?shù)百個(gè)查詢指令同時(shí)執(zhí)行，而這對(duì)于客戶端來(lái)說(shuō)卻是輕而易舉的，因此攻擊

34、者只需通過(guò)Proxy代理向主機(jī)服務(wù)器大量遞交查詢指令，只需數(shù)分鐘就會(huì)把服務(wù)器資源消耗掉而導(dǎo)致拒絕服務(wù)，常見(jiàn)的現(xiàn)象就是網(wǎng)站慢如蝸牛、ASP程序失效、PHP連接數(shù)據(jù)庫(kù)失敗、數(shù)據(jù)庫(kù)主程序占用CPU偏高。這種攻擊的特點(diǎn)是可以完全繞過(guò)普通的防火墻防護(hù)，輕松找一些Proxy代理就可實(shí)施攻擊，缺點(diǎn)是對(duì)付只有靜態(tài)頁(yè)面的網(wǎng)站效果會(huì)大打折扣，并且有些Proxy會(huì)暴露攻擊者的IP地址。</p><p>　　2.4 DDOS攻擊工具&l

35、t;/p><p>　　DDOS攻擊實(shí)施起來(lái)有一定的難度，它要求攻擊者必須具備入侵他人計(jì)算機(jī)的能力。但是很不幸的是一些傻瓜式的黑客程序的出現(xiàn)，這些程序可以在幾秒鐘內(nèi)完成入侵和攻擊程序的安裝，使發(fā)動(dòng)DDOS攻擊變成一件輕而易舉的事情。本次是進(jìn)行一次簡(jiǎn)單的實(shí)驗(yàn)，所有簡(jiǎn)單地利用了以下幾個(gè)工具。</p><p>　　2.4.1 LOIC</p><p>　　利用傻瓜軟件就可以發(fā)動(dòng)

36、DDoS攻擊的話，為什么還要付費(fèi)呢?來(lái)自系統(tǒng)管理、網(wǎng)絡(luò)和安全協(xié)會(huì)互聯(lián)網(wǎng)風(fēng)暴中心的消息顯示，在這波針對(duì)商業(yè)公司發(fā)起的DDoS攻擊浪潮中，人們開(kāi)始使用低軌道離子加農(nóng)炮(Low Orbit Ion Cannon，以下簡(jiǎn)稱LOIC)，一種開(kāi)源的DoS攻擊工具來(lái)對(duì)卡或者維薩卡網(wǎng)站的端口進(jìn)行攻擊。使用者要做的事情僅僅就是用鼠標(biāo)點(diǎn)擊一下，攻擊就正式開(kāi)始了。 </p><p>　　LOIC是一個(gè)功能非常強(qiáng)大的工具。它可以使用大規(guī)

37、模的垃圾流量對(duì)目標(biāo)網(wǎng)站實(shí)施攻擊，從而耗盡網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)崩潰，無(wú)法提供服務(wù)。本次實(shí)驗(yàn)利用該工具進(jìn)行UDP Flood攻擊操作。</p><p>　　2.4.2 engage packetbuilder</p><p>　　一個(gè)運(yùn)行在windows下的使用LibNet和LibPcap進(jìn)行發(fā)報(bào)測(cè)試的工具，具有一個(gè)簡(jiǎn)單易用的gui界面，可以完全定制各種類型的數(shù)據(jù)包，并且支持腳本自動(dòng)發(fā)送。是測(cè)試

38、IDS/防火墻的好工具。</p><p>　　本次實(shí)驗(yàn)利用該工具進(jìn)行 ICMP Flood攻擊操作。</p><p>　　2.4.3其他輔助工具</p><p>　　在本次實(shí)驗(yàn)中，為了方便利用DDOS技術(shù)進(jìn)行的攻擊，我們使用了wireshark 進(jìn)行流量包的檢測(cè)，可以區(qū)別出ICMP Flood和UDP Flood攻擊。</p><p>　　2

39、.5具體實(shí)驗(yàn)操作與結(jié)果</p><p>　　本次DDOS攻擊實(shí)驗(yàn)利用了兩種工具進(jìn)行ICMP Flood和UDP Flood攻擊，實(shí)驗(yàn)中使用四個(gè)主機(jī)進(jìn)行攻擊網(wǎng)關(guān)</p><p>　　測(cè)試主機(jī)PC5地址： 192.168.82.24</p><p>　　本主機(jī)PC4地址： 192.168.82.15</p><p>　　網(wǎng)關(guān)地

40、址是：192.168.82.251</p><p>　　2.5.1實(shí)驗(yàn)結(jié)構(gòu)圖與流程圖</p><p><b>　　結(jié)構(gòu)圖：</b></p><p><b>　　流程圖：</b></p><p>　　2.5.2 UDP flood攻擊</p><p>　　1.攻擊前，PC5對(duì)網(wǎng)

41、關(guān)進(jìn)行Ping操作，確保成功連接并查看延時(shí)狀況</p><p>　　2.四臺(tái)主機(jī)同時(shí)對(duì)網(wǎng)關(guān)進(jìn)行UDP Flood攻擊操作，下圖是我的主機(jī)操作：</p><p>　　3.在進(jìn)行攻擊時(shí)，PC5再進(jìn)行Ping網(wǎng)關(guān)操作</p><p>　　4.發(fā)現(xiàn)延遲很高，大部分是請(qǐng)求超時(shí)，表現(xiàn)出攻擊成功。</p><p>　　2.5.3 ICMP flood攻擊&

42、lt;/p><p>　　1.攻擊前，PC5對(duì)網(wǎng)關(guān)進(jìn)行Ping操作，確保成功連接并查看延時(shí)狀況。</p><p>　　2.四臺(tái)主機(jī)同時(shí)對(duì)網(wǎng)關(guān)進(jìn)行ICMP Flood攻擊操作，下圖是我的主機(jī)操作：</p><p>　　3.在進(jìn)行攻擊時(shí)，PC5再進(jìn)行Ping網(wǎng)關(guān)操作</p><p>　　4.發(fā)現(xiàn)延遲很高，或者干脆請(qǐng)求超時(shí)，表現(xiàn)出攻擊成功。</p&

43、gt;<p>　　兩次攻擊都很好地完成。</p><p>　　三、DDOS防御技術(shù)</p><p>　　3.1 簡(jiǎn)述DDOS防御技術(shù)</p><p>　　對(duì)付DDOS是一個(gè)系統(tǒng)工程，僅僅依靠某種系統(tǒng)或產(chǎn)品防范DDOS是不現(xiàn)實(shí)的，可以肯定的是，完全杜絕DDOS攻擊，目前是不可能的，但通過(guò)適當(dāng)?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的，基于攻擊和防御都有成

44、本開(kāi)銷的緣故，若通過(guò)適當(dāng)?shù)霓k法增強(qiáng)了抵御DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數(shù)攻擊者將無(wú)法繼續(xù)下去而放棄，也就相當(dāng)于成功的抵御了DDOS攻擊。</p><p>　　本次實(shí)訓(xùn)，老師還向我們介紹了policing and shaping。簡(jiǎn)單的說(shuō)就是</p><p><b>　　管制和整形：</b></p><p>　　管制

45、和整形的作用是識(shí)別流量違約并做出響應(yīng)。管制和整形使用同樣的算法識(shí)別流量違約，但是做出的響應(yīng)不同。</p><p>　　管制工具對(duì)流量違約進(jìn)行即時(shí)檢查，發(fā)現(xiàn)違約后立即采取設(shè)定的動(dòng)作進(jìn)行處理。例如，管制工具可以確定負(fù)載是否超出了定義的流量速率，然后對(duì)超出部分的流量進(jìn)行重新標(biāo)記或者直接丟棄。管制工具可以應(yīng)用在入接口和出接口上。</p><p>　　整形工具是一個(gè)與排隊(duì)機(jī)制一起工作的流量平滑工具。

46、整形的目的是將所有的流量發(fā)送到同一個(gè)接口，并且控制流量永遠(yuǎn)不超出指定的速率，使流量平滑地通過(guò)該接口發(fā)送出去。整形工具只可以應(yīng)用在出接口上。</p><p>　　管制與整形相比較，具有以下區(qū)別，參見(jiàn)表22-3。</p><p>　　表22-2：管制與整形比較</p><p>　　下圖能明顯顯示出2種不同的流量限制。</p><p><b&

47、gt;　　3.2 防御原理</b></p><p>　　3.2.1 CAR</p><p>　　使用CAR(Control Access Rate)功能限制流速率。如果管理員發(fā)現(xiàn)網(wǎng)絡(luò)中存在DDoS攻擊，并通過(guò)Sniffer或者其它手段得知發(fā)起DDoS攻擊的數(shù)據(jù)流的類型，然后可以給該數(shù)據(jù)流設(shè)置一個(gè)上限帶寬，這樣超過(guò)了該上限的攻擊流量就被丟棄，可以保證網(wǎng)絡(luò)帶寬不被占滿。</

48、p><p>　　3.2.2 uRPF</p><p>　　URPF（Unicast Reverse Path Forwarding，單播反向路徑轉(zhuǎn)發(fā)）的主要功能是用于防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。</p><p>　　源地址欺騙攻擊為入侵者構(gòu)造出一系列帶有偽造源地址的報(bào)文，對(duì)于使用基于 IP地址驗(yàn)證的應(yīng)用來(lái)說(shuō)，此攻擊方法可以導(dǎo)致未被授權(quán)用戶以他人身份獲得訪問(wèn)系統(tǒng)的

49、權(quán)限，甚至是以管理員權(quán)限來(lái)訪問(wèn)。即使響應(yīng)報(bào)文不能達(dá)到攻擊者，同樣也會(huì)造成對(duì)被攻擊對(duì)象的破壞。</p><p>　　如圖 1所示，在Router A上偽造源地址為 2.2.2.1/8的報(bào)文，向服務(wù)器Router B發(fā)起請(qǐng)求，Router B響應(yīng)請(qǐng)求時(shí)將向真正的“2.2.2.1/8”發(fā)送報(bào)文。這種非法報(bào)文對(duì)RouterB和Router C都造成了攻擊。</p><p>　　URPF技術(shù)可以應(yīng)用

50、在上述環(huán)境中，阻止基于源地址欺騙的攻擊。</p><p>　　3.3 利用CAR進(jìn)行DDOS防御實(shí)驗(yàn)實(shí)際操作與結(jié)果</p><p>　　1.本次CAR防范是利用GNS3進(jìn)行實(shí)驗(yàn)的，首先在GNS3中鋪設(shè)結(jié)構(gòu)，將本地物理網(wǎng)卡配置到C 1，將虛擬網(wǎng)卡VMnet1配置到C2上，</p><p>　　對(duì)R1兩個(gè)端口進(jìn)行配置：</p><p>　　F0/

51、0: 192.168.82.144</p><p>　　F0/1: 192.168.100.144</p><p>　　配置好后，如下圖所示，</p><p>　　2.打開(kāi)虛擬機(jī)，選好網(wǎng)卡，運(yùn)行cmd，ping 192.168.100.144,能夠成功ping通。</p><p>　　Ping 192.168.82.144，也能成功p

52、ing通。</p><p>　　3.在GNS3中的路由器上輸入限速命令，并將其應(yīng)用至f0/1端口。</p><p>　　4.配置后在虛擬機(jī)中Ping 192.169.82.144 -t未發(fā)現(xiàn)丟包現(xiàn)象，在R1中特權(quán)模式下</p><p>　　show interfaces rate-limit，未出現(xiàn)丟包現(xiàn)象。</p><p>　　4.配置后進(jìn)

53、行ping 192.168.82.144 –t –l 3100，由于之前的限速配置時(shí)將限制在1500Byte，偶爾允許2000Bype通過(guò)。但這里是3100，所以出現(xiàn)大量丟包。</p><p>　　限速后，在GNS3中R1輸入show interfaces rate-limit，出現(xiàn)丟包現(xiàn)象</p><p><b>　　如下圖所示。</b></p>&l

54、t;p>　　由上可知，本次防范實(shí)驗(yàn)成功完成。</p><p>　　四、遇到的問(wèn)題與解決</p><p>　　1.在虛擬機(jī)中，無(wú)法ping到相應(yīng)網(wǎng)關(guān)。</p><p>　　解決：在虛擬機(jī)上為選擇相應(yīng)虛擬網(wǎng)卡，之后在老師指導(dǎo)下才知道.</p><p>　　2.剛開(kāi)始時(shí)，由于老師演示過(guò)快，我們沒(méi)記住怎么進(jìn)行icmp flood攻擊</p

55、><p>　　解決：在老師再次講解下，我們會(huì)使用engage packetbuilder工具。</p><p>　　3.在防范實(shí)驗(yàn)中，使用GNS3時(shí)，無(wú)法將路由器拖拽進(jìn)實(shí)驗(yàn)板。</p><p>　　解決：因?yàn)樵趧倓偞蜷_(kāi)GNS3時(shí)沒(méi)將相應(yīng)IOS導(dǎo)入gns3中，之后導(dǎo)入后，可以將路由器拖入，但是還是忘記開(kāi)啟路由器了，經(jīng)過(guò)很多次的操作，終于能正確地使用GNS3。</p&

56、gt;<p>　　4.CAR防范時(shí)，無(wú)法導(dǎo)入虛擬機(jī)的虛擬網(wǎng)卡</p><p>　　解決：因?yàn)樘摂M網(wǎng)卡被禁用，之前沒(méi)注意。</p><p><b>　　五、小結(jié)</b></p><p>　　通過(guò)這次課程設(shè)計(jì)我們懂得了理論與實(shí)際相結(jié)合的重要性，只有理論知識(shí)是遠(yuǎn)遠(yuǎn)不夠的，只有把所學(xué)的理論知識(shí)與實(shí)踐相結(jié)合起來(lái)，才能提高自己的實(shí)際動(dòng)手能力和

57、獨(dú)立思考的能力。在設(shè)計(jì)的過(guò)程中遇到問(wèn)題，可以說(shuō)得是困難重重，這畢竟第一次做的，難免會(huì)遇到過(guò)各種各樣的問(wèn)題，同時(shí)在設(shè)計(jì)的過(guò)程中發(fā)現(xiàn)了自己的不足之處。對(duì)所學(xué)的知識(shí)理解得不夠深刻，掌握得不夠牢固，比如說(shuō)對(duì)engage packetbuilder工具的應(yīng)用，以及Smurf攻擊等邊邊角角的零碎但都很重要的知識(shí)??通過(guò)這次課程設(shè)計(jì)之后，學(xué)到了很多新的知識(shí)，對(duì)DoS與DDoS的區(qū)別有了認(rèn)識(shí)，以及DDoS攻擊的攻擊原理有了非常準(zhǔn)確的把握，能夠比較清楚

58、的對(duì)其工作原理進(jìn)行描述，了解其攻擊工作機(jī)制。</p><p>　　網(wǎng)絡(luò)攻擊與防御技術(shù)是我們對(duì)所學(xué)專業(yè)建立感性認(rèn)識(shí)、鞏固所學(xué)理論知識(shí)、培養(yǎng)專業(yè)技能和實(shí)際工作能力的重要環(huán)節(jié)。通過(guò)課程的學(xué)習(xí)，可加強(qiáng)防范對(duì)信息資源的非法訪問(wèn)和抵御黑客的襲擊，提高抗威脅能力，最大限度的減少或避免因信息泄露、破壞等安全問(wèn)題所造成的經(jīng)濟(jì)損失及對(duì)其形象的影響。使我們了解本專業(yè)實(shí)際的知識(shí)，培養(yǎng)我們理論聯(lián)系實(shí)際及初步的獨(dú)立工作能力，為今后從事信息安

59、全相關(guān)工作打下基礎(chǔ)。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1.] 計(jì)算機(jī)網(wǎng)絡(luò)安全教程(第二版) 梁亞聲 機(jī)械工業(yè)出版社 2008年7月</p><p>　　[2.] Cisco Press - CCNA Security Official Exam Certification Guide 2012</p&