《DDOS攻擊與防范技術(shù)原理 課程設(shè)計(jì)報(bào)告》由會(huì)員分享，可在線閱讀，更多相關(guān)《DDOS攻擊與防范技術(shù)原理 課程設(shè)計(jì)報(bào)告（38頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、 上海電機(jī)學(xué)院 課程設(shè)計(jì)報(bào)告 課程名稱： 計(jì)算機(jī)網(wǎng)絡(luò)安全 課題名稱： DDOS攻擊與防范技術(shù)原理 姓 名： 班級(jí)： BX1009 學(xué)號(hào)： 指導(dǎo)老師： nnid 報(bào)告日期： 2013年06月27日 電子信息學(xué)院 上海電機(jī)學(xué)院實(shí)訓(xùn)/課程設(shè)計(jì)任務(wù)書 課程名稱 網(wǎng)絡(luò)安全課程設(shè)計(jì) 課程代碼 033208C1 實(shí)訓(xùn)/課 程設(shè)計(jì) 課題清單 1. ARP協(xié)議原理攻擊及防范技術(shù) 2. DHCP協(xié)議攻擊及防范技術(shù) 3. DDOS攻擊與防范技術(shù)原理 4. ACL包過濾技術(shù)應(yīng)用 5. CAM表攻擊與防

2、范技術(shù) 6. TCP SYN攻擊與防范技術(shù) 7. 網(wǎng)絡(luò)設(shè)備終端登錄原理與安全管理 8?組建高彈性冗余網(wǎng)絡(luò) 設(shè)計(jì)時(shí)間 2013年06月24日一一2013年06月28日 一、實(shí)訓(xùn)/課程設(shè)計(jì)任務(wù)匯總 1. 課題分配一--2~3人一組。 2. 最終提供的主操作界面應(yīng)該方便用戶的操作。 3. 最后提交的課程設(shè)計(jì)成果包括： a） 課程設(shè)計(jì)報(bào)告打印稿。 b） 課程設(shè)計(jì)報(bào)告電子稿。 c） 小組課程設(shè)計(jì)報(bào)告打印稿 d） 小組課程設(shè)計(jì)報(bào)告電子稿 e） 源程序文件（電子稿）。 f） 可執(zhí)行程序文件。（電子稿） 二、對(duì)實(shí)訓(xùn)/課程設(shè)計(jì)成果的要求（包括實(shí)訓(xùn)/課程設(shè)計(jì)報(bào)告、圖紙、圖表、實(shí) 物

3、等軟硬件要求） 分析課程設(shè)計(jì)題目的要求；寫出詳細(xì)的需求分析； 根據(jù)功能需求，寫出詳細(xì)的設(shè)計(jì)說明；（包括工作原理） 編寫程序代碼（有必要的注釋），調(diào)試程序使其能正確運(yùn)行； 設(shè)計(jì)完成的軟件要便于操作和使用，有整齊、美觀的使用界面； 設(shè)計(jì)完成后提交課程設(shè)計(jì)報(bào)告（按學(xué)校要求裝訂）和源代碼文件的電子文檔。 報(bào)告需要交電子版和打印版，源程序交電子版。 三、 實(shí)訓(xùn)/課程設(shè)計(jì)工作進(jìn)度計(jì)劃： 選擇課程設(shè)計(jì)題目， 分析課題的要求，確定需求分析；確定設(shè)計(jì)方案； 第二天編寫詳細(xì)設(shè)計(jì)說明； 繪制程序流程圖；編寫與調(diào)試程序； 第三天測(cè)試系統(tǒng)功能，寫課程設(shè)計(jì)報(bào)告； 第四天 交課程設(shè)計(jì)報(bào)告（打印稿及

4、電子稿）； 第五天面試或答辯。 四、 主要參考資料： 【11計(jì)算機(jī)網(wǎng)絡(luò)安全教程（第二版）梁亞聲機(jī)械工業(yè)出版社2008年7月 ⑵ Cisco Press - CCNA Security Official Exam Certification Guide 2012 [31 CCNP?Security .Secure .642-637.Official .Cert .Guide）. Sean .Wilkins& Trey .Smith 2011 摘要： 計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，特別是Internet的發(fā)展和普及應(yīng)用，為人類帶來了新的工作、 學(xué)習(xí)和生活方式，使人們與計(jì)算機(jī)網(wǎng)絡(luò)的聯(lián)系越來越密切。

5、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)提供 了豐富的資源以便用戶共享，提高了系統(tǒng)的靈活性和便捷性，也正是這個(gè)特點(diǎn)， 增加了網(wǎng)絡(luò)系統(tǒng)的脆弱性、網(wǎng)絡(luò)受威脅和攻擊的可能性以及網(wǎng)絡(luò)的復(fù)雜性。 分布式拒絕服務(wù)(DDoS：Distributed Denial of Service )攻擊借助于客戶/服務(wù)器技術(shù)， 將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成 倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程 序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代 理程序已經(jīng)被安裝在Internet上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻 擊。利用客戶/服務(wù)器

6、技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的 運(yùn)行。 關(guān)鍵字：DDOS, ICMP Flood, UDP Flood, CAR 目錄 摘要： 2 一、 需求分析 5 1.1課設(shè)背景 6 二、 DDOS攻擊技術(shù) 6 2.1簡(jiǎn)述DDOS攻擊技術(shù) 6 2?1?1 DOS攻擊概述 6 2?12 DDOS攻擊概述 7 2?2 DDOS攻擊原理與表現(xiàn)形式 9 2?3 DDOS攻擊方式 9 2?3?1 ICMP Flood攻擊技術(shù) 9 2?3?2 UDP Flood攻擊技術(shù) 10 2?3?3其他攻擊技術(shù)?????????????????????????????????

7、????????????????????????????????????????????????? 11 2?4 DDOS攻擊工具 12 2?4?1 LOIC??????????????????????????????????????????????????????????????????????????????????????????????????? 12 2?4?2 engage packetbuilder ???????????????????????????????????????????????????????????????????????? 13 2?4?3其他輔助工具

8、?????????????????????????????????????????????????????????????????????????????????? 13 2?5具體實(shí)驗(yàn)操作與結(jié)果????????????????????????????????????????????????????????????????????????????????? 13 2?5?1實(shí)驗(yàn)結(jié)構(gòu)圖與流程圖??????????????????????????????????????????????????????????????????????? 14 2?5?2 UDP flood 攻擊 15 2?5

9、?3 ICMP flood 攻擊 17 三、DDOS防御技術(shù) 21 3?1簡(jiǎn)述DDOS防御技術(shù) 21 3?2 防御原理 ???????????????????????????????????????????????????????????????????????????????????????????????????23 3.2.1 CAR 23 3.2.2 uRPF 23 3?3利用CAR進(jìn)行DDOS防御實(shí)驗(yàn)實(shí)際操作與結(jié)果 24 四、 遇到的問題與解決 28 五、 小結(jié) ???????????????????????????????????????????????????

10、??????????????????????????????????????????????????????????????29 參考文獻(xiàn) ?????????????????????????????????????????????????????????????????????????????????????????????????????????????????30 一、需求分析 隨著 Internet 的迅猛發(fā)展，網(wǎng)絡(luò)與信息安全問題日益突出。病毒肆虐、網(wǎng)絡(luò) 犯罪、黑客攻擊等現(xiàn)象時(shí)有發(fā)生，嚴(yán)重危及我們正常工作。據(jù)國(guó)際權(quán)威機(jī)構(gòu)統(tǒng)計(jì)， 全球每年因網(wǎng)絡(luò)安全問題帶來的損失高達(dá)數(shù)百億美元。網(wǎng)絡(luò)上

11、的惡意攻擊實(shí)際上 就是尋找一 切可能存在的網(wǎng)絡(luò)安全缺陷來達(dá)到對(duì)系統(tǒng)及資源的 損害，從而達(dá)到 惡意的目的。分布式拒絕服務(wù)攻擊 （以下稱 DDOS） 就是從 1996 年出現(xiàn)，在中國(guó) 2002 年開始頻繁出現(xiàn)的一種攻擊方式。 分布式拒絕服務(wù)攻擊（DDOS全名是Distribut- ed Denial of service） DDOS攻擊手段是 在傳統(tǒng)的DOS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DOS攻擊一般是采用一 對(duì)一方式的，當(dāng)攻擊目標(biāo) CPU 速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性 能指 標(biāo)不高它的效果是明顯的。 1.1課設(shè)背景 隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，

12、內(nèi)存 大大增加， 同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得 DOS 攻擊的困難程度加大了，目標(biāo)對(duì)惡 意攻擊包的 " 消化能力 " 加強(qiáng)了不少，例如：你的攻擊軟件 每秒鐘可以發(fā)送 4000 個(gè)攻擊包，但我的主機(jī)與網(wǎng) 絡(luò)帶寬每秒鐘可以處理 20000 個(gè)攻擊包，這樣 一來 攻擊就不會(huì)產(chǎn)生什么效果。 分布式拒絕服務(wù)攻擊使用了分布式客戶服務(wù)器 功能，加密技術(shù)及其它類的功能，它能被用于控制任 意數(shù)量的遠(yuǎn)程機(jī)器，以產(chǎn) 生隨機(jī)匿名的拒絕服務(wù)攻 擊和遠(yuǎn)程訪問。為了有效防范網(wǎng)絡(luò)入侵和攻擊，就必 須熟悉網(wǎng)絡(luò)入侵和攻擊的手段和原理，在此基礎(chǔ)上 才能制定行之有效的防范對(duì) 策和防御措施，從而確 保網(wǎng)絡(luò)信息的安全。 本次實(shí)驗(yàn)

13、要求是先進(jìn)行DDOS的UDP Flood和ICMP Flood的攻擊，再利用GNS3和虛 擬機(jī)進(jìn)行DDOS攻擊的防御， 二DDOS攻擊技術(shù) 2?1簡(jiǎn)述DDOS攻擊技術(shù) 2.1.1 DOS 攻擊概述 在了解DDOS之前，首先我們來看看DOS，DOS的英文全稱是Denial of Service， 也就是“拒絕服務(wù)”的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看， DOS算是一種很簡(jiǎn)單但又很有效的進(jìn)攻方式。它的目的就是拒絕你的服務(wù)訪問， 破壞組織的正常運(yùn)行，最終它會(huì)使你的部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。DOS 的攻擊方式有很多種，最基本的DOS攻擊就是利用合理的服務(wù)請(qǐng)求來占用

14、過多的 服務(wù)資源，從而使合法用戶無法得到服務(wù)。DOS攻擊的原理如圖1所示。 圖1 DOS攻擊原理 從圖1我們可以看出DOS攻擊的基本過程：首先攻擊者向服務(wù)器發(fā)送眾多的 帶有虛假地址的請(qǐng)求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的， 所以服務(wù)器一直等不到回傳的消息，分配給這次請(qǐng)求的資源就始終沒有被釋放。 當(dāng)服務(wù)器等待一定的時(shí)間后，連接會(huì)因超時(shí)而被切斷，攻擊者會(huì)再度傳送新的一 批請(qǐng)求，在這種反復(fù)發(fā)送偽地址請(qǐng)求的情況下，服務(wù)器資源最終會(huì)被耗盡。 2?1?2 DDOS攻擊概述 DDOS （分布式拒絕服務(wù)），它的英文全稱為Distributed Denial of Servi

15、ce，它是 一種基于DOS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式, 主要瞄準(zhǔn)比較大的站點(diǎn)，像商業(yè)公司，搜索引擎和政府部門的站點(diǎn)。從圖1我們 可以看出DOS攻擊只要一臺(tái)單機(jī)和一個(gè)modem就可實(shí)現(xiàn)，與之不同的是DDOS攻 擊是利用一批受控制的機(jī)器向一臺(tái)機(jī)器發(fā)起攻擊，這樣來勢(shì)迅猛的攻擊令人難以 防備，因此具有較大的破壞性。DDOS的攻擊原理如圖2所示。 I a 圖 2 DDOS 攻擊原理 從圖2可以看出，DDOS攻擊分為3層：攻擊者、主控端、代理端，三者在攻 擊中扮演著不同的角色。 1、攻擊者：攻擊者所用的計(jì)算機(jī)是攻擊主控臺(tái)，可以是網(wǎng)絡(luò)上的任何一臺(tái)主 機(jī)，甚至

16、可以是一個(gè)活動(dòng)的便攜機(jī)。攻擊者操縱整個(gè)攻擊過程，它向主控端發(fā)送 攻擊命令。 2、 主控端：主控端是攻擊者非法侵入并控制的一些主機(jī)，這些主機(jī)還分別 控制大量的代理主機(jī)。在主控端主機(jī)上安裝了特定的程序，因此它們可以接受攻 擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。 3、 代理端：代理端同樣也是攻擊者侵入并控制的一批主機(jī)，它們上面運(yùn)行 攻擊器程序，接受和運(yùn)行主控端發(fā)來的命令。代理端主機(jī)是攻擊的執(zhí)行者，真正 向受害者主機(jī)發(fā)起攻擊。 攻擊者發(fā)起DDOS攻擊的第一步，就是尋找在Internet上有漏洞的主機(jī)，進(jìn)入 系統(tǒng)后在其上面安裝后門程序，攻擊者入侵的主機(jī)越多，他的攻擊隊(duì)伍就越壯大。

17、 第二步在入侵主機(jī)上安裝攻擊程序，其中一部分主機(jī)充當(dāng)攻擊的主控端，一部分 主機(jī)充當(dāng)攻擊的代理端。最后各部分主機(jī)各施其職，在攻擊者的調(diào)遣下對(duì)攻擊對(duì) 象發(fā)起攻擊。由于攻擊者在幕后操縱，所以在攻擊時(shí)不會(huì)受到監(jiān)控系統(tǒng)的跟蹤， 身份不容易被發(fā)現(xiàn)。 2?2 DDOS攻擊原理與表現(xiàn)形式 DDOS 攻擊的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對(duì)網(wǎng)絡(luò)帶寬的 攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無 法到達(dá)主機(jī)；另一種為資源耗盡攻擊，主要是針對(duì)服務(wù)器主機(jī)的攻擊，即通過大 量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng) 絡(luò)服務(wù)。 2?3 DDOS攻

18、擊方式 本次實(shí)驗(yàn)利用ICMP Flood和UDP Flood進(jìn)行攻擊。 2?3?1 ICMP Flood攻擊技術(shù) ICMP Flood的攻擊屬于流量型攻擊方式，利用大的流量給服務(wù)器帶來較大的負(fù)載, 影響服務(wù)器正常運(yùn)行。ping使用的是echo應(yīng)答，ping的速度很慢僅為1-5包/秒， 事實(shí)上ICMP本身并不慢（由于ICMP是SOCK_RAW產(chǎn)生的原始報(bào)文，速度比 SOCK_STREAM的SYN和SOCK_DGRAM的UDP要快幾乎10倍?。@樣的速度是ping 程序故意延遲的。并且必須等待目標(biāo)主機(jī)返回REPLAY信息，這個(gè)過程需要花費(fèi) 大量的時(shí)間。而Flood—洪水，是速度極快的，當(dāng)

19、一個(gè)程序發(fā)送數(shù)據(jù)包的速度 達(dá)到了每秒 1000個(gè)以上，它的性質(zhì)就成了洪水產(chǎn)生器，洪水?dāng)?shù)據(jù)是從洪水產(chǎn)生 器里出來的。但這樣還不夠，沒有足夠的帶寬，再猛的洪水也只能像公路塞車那 樣慢慢移動(dòng)，成了雞肋。要做真正的洪水，就需要有一條足夠?qū)挼母咚俟凡趴?以。 ICMP flood攻擊分為三種方式： 1?直接flood。直接使用自己的機(jī)器去攻擊別人，這要求有足夠的帶寬。直接攻擊 會(huì)暴露自己IP地址，一般不常見。 2?偽造IP的Flood。它隨意偽造一個(gè)IP來flood。屬于比較隱蔽陰險(xiǎn)的flood。 3?反射。用采取這種方式的第一個(gè)工具的名稱來命名的“Smurf”洪水攻擊，把隱蔽 性又提高了一個(gè)

20、檔次，這種攻擊模式里，最終淹沒目標(biāo)的洪水不是由攻擊者發(fā)出 的，也不是偽造IP發(fā)出的，而是正常通訊的服務(wù)器發(fā)出的。Smurf方式把源IP設(shè) 置為受害者IP,然后向多臺(tái)服務(wù)器發(fā)送ICMP報(bào)文（通常是ECHO請(qǐng)求），這些接 收?qǐng)?bào)文的服務(wù)器被報(bào)文欺騙，向受害者返回echo應(yīng)答（Type=0）,導(dǎo)致垃圾阻塞 受害者的門口。 2?3?2 UDP Flood攻擊技術(shù) UDPFlood是日漸猖厥的流量型DoS攻擊，原理也很簡(jiǎn)單。常見的情況是利用大 量UDP小包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。100k pps 的 UDPFlood 經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個(gè)網(wǎng)

21、段的癱瘓。由 于UDP協(xié)議是一種無連接的服務(wù)，在UDPFLOOD攻擊中，攻擊者可發(fā)送大量偽造 源IP地址的小UDP包。但是，由于UDP協(xié)議是無連接性的，所以只要開了一個(gè) UDP的端口提供相關(guān)服務(wù)的話，那么就可針對(duì)相關(guān)的服務(wù)進(jìn)行攻擊。正常應(yīng)用情 況下，UDP包雙向流量會(huì)基本相等，而且大小和內(nèi)容都是隨機(jī)的，變化很大。出 現(xiàn)UDPFlood的情況下，針對(duì)同一目標(biāo)IP的UDP包在一側(cè)大量出現(xiàn)，并且內(nèi)容和 大小都比較固定。 其他攻擊技術(shù) 1 SYN/ACK Flood 攻擊 這種攻擊方法是經(jīng)典最有效的DDOS方法，適用于各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)，主要 是通過向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或

22、ACK包，導(dǎo)致主機(jī)的緩存 資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)，由于源都是偽造的，所以追蹤起 來比較困難，缺點(diǎn)是實(shí)施起來有一定難度，需要高帶寬的僵尸主機(jī)支持。少量的 這種攻擊會(huì)導(dǎo)致主機(jī)服務(wù)器無法訪問，但卻可以Ping 通,在服務(wù)器上用Netstat -na 命令會(huì)觀察到存在大量的SYN_RECEIVED狀態(tài)，大量的這種攻擊會(huì)導(dǎo)致Ping失敗、 TCP/IP棧失效，并會(huì)出現(xiàn)系統(tǒng)凝固現(xiàn)象，即不響應(yīng)鍵盤和鼠標(biāo)。 2 TCP全連接攻擊 這種攻擊是為了繞過常規(guī)防火墻的檢查而設(shè)計(jì)的，一般情況下，常規(guī)防火墻 大多具備過濾TearDrop、Land等DOS攻擊的能力，但對(duì)于正常的TCP連接是放過 的，

23、殊不知很多網(wǎng)絡(luò)服務(wù)程序（如：IIS、Apache等Web服務(wù)器）能接受的TCP連 接數(shù)是有限的，一旦有大量的TCP連接，即便是正常的，也會(huì)導(dǎo)致網(wǎng)站訪問非常 緩慢甚至無法訪問，TCP全連接攻擊就是通過許多僵尸主機(jī)不斷地與受害服務(wù)器 建立大量的TCP連接，直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨，從而造成拒絕 服務(wù)，這種攻擊的特點(diǎn)是可繞過一般防火墻的防護(hù)而達(dá)到攻擊目的，缺點(diǎn)是需要 找很多僵尸主機(jī)，并且由于僵尸主機(jī)的IP是暴露的，因此容易被追蹤。 3 刷 Script 腳本攻擊 這種攻擊主要是針對(duì)存在ASP、JSP、PHP、CGI等腳本程序，并調(diào)用MSSQLServer、 MySQLServer、O

24、racle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計(jì)的，特征是和服務(wù)器建立正常的 TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費(fèi)數(shù)據(jù)庫資源的調(diào)用， 典型的以小博大的攻擊方法。一般來說，提交一個(gè)GET或POST指令對(duì)客戶端的 耗費(fèi)和帶寬的占用是幾乎可以忽略的，而服務(wù)器為處理此請(qǐng)求卻可能要從上萬條 記錄中去查出某個(gè)記錄，這種處理過程對(duì)資源的耗費(fèi)是很大的，常見的數(shù)據(jù)庫服 務(wù)器很少能支持?jǐn)?shù)百個(gè)查詢指令同時(shí)執(zhí)行，而這對(duì)于客戶端來說卻是輕而易舉 的，因此攻擊者只需通過Proxy代理向主機(jī)服務(wù)器大量遞交查詢指令，只需數(shù)分 鐘就會(huì)把服務(wù)器資源消耗掉而導(dǎo)致拒絕服務(wù)，常見的現(xiàn)象就是網(wǎng)站慢如蝸牛、ASP 程序失效、PHP連

25、接數(shù)據(jù)庫失敗、數(shù)據(jù)庫主程序占用CPU偏高。這種攻擊的特點(diǎn) 是可以完全繞過普通的防火墻防護(hù)，輕松找一些Proxy代理就可實(shí)施攻擊，缺點(diǎn) 是對(duì)付只有靜態(tài)頁面的網(wǎng)站效果會(huì)大打折扣，并且有些Proxy會(huì)暴露攻擊者的IP 地址。 2?4 DDOS攻擊工具 DDOS攻擊實(shí)施起來有一定的難度，它要求攻擊者必須具備入侵他人計(jì)算機(jī)的 能力。但是很不幸的是一些傻瓜式的黑客程序的出現(xiàn)，這些程序可以在幾秒鐘內(nèi) 完成入侵和攻擊程序的安裝，使發(fā)動(dòng)DDOS攻擊變成一件輕而易舉的事情。本次 是進(jìn)行一次簡(jiǎn)單的實(shí)驗(yàn)，所有簡(jiǎn)單地利用了以下幾個(gè)工具。 2?4?1 LOIC 利用傻瓜軟件就可以發(fā)動(dòng)DDOS攻擊的話，為什么還要付

26、費(fèi)呢?來自系統(tǒng)管理、 網(wǎng)絡(luò)和安全協(xié)會(huì)互聯(lián)網(wǎng)風(fēng)暴中心的消息顯示，在這波針對(duì)商業(yè)公司發(fā)起的 DDoS 攻擊浪潮中，人們開始使用低軌道離子加農(nóng)炮（Low Orbit Ion Cannon，以下簡(jiǎn)稱 LOIC）, —種開源的DoS攻擊工具來對(duì)卡或者維薩卡網(wǎng)站的端口進(jìn)行攻擊。使用者 頁腳內(nèi)容12 要做的事情僅僅就是用鼠標(biāo)點(diǎn)擊一下，攻擊就正式開始了。 LOIC是一個(gè)功能非常強(qiáng)大的工具。它可以使用大規(guī)模的垃圾流量對(duì)目標(biāo)網(wǎng)站 實(shí)施攻擊，從而耗盡網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)崩潰，無法提供服務(wù)。本次實(shí)驗(yàn)利用該 工具進(jìn)行UDP Flood攻擊操作。 2.4.2 engage packetbuilder 一個(gè)運(yùn)行在wi

27、ndows下的使用LibNet和LibPcap進(jìn)行發(fā)報(bào)測(cè)試的工具，具有一個(gè)簡(jiǎn) 單易用的gui界面，可以完全定制各種類型的數(shù)據(jù)包，并且支持腳本自動(dòng)發(fā)送。 是測(cè)試IDS/防火墻的好工具。 本次實(shí)驗(yàn)利用該工具進(jìn)行ICMP Flood攻擊操作。 其他輔助工具 在本次實(shí)驗(yàn)中，為了方便利用DDOS技術(shù)進(jìn)行的攻擊，我們使用了 wireshark 進(jìn)行流量包的檢測(cè)，可以區(qū)別出ICMP Flood和UDP Flood攻擊。 2.5具體實(shí)驗(yàn)操作與結(jié)果 本次DDOS攻擊實(shí)驗(yàn)利用了兩種工具進(jìn)行ICMP Flood和UDP Flood攻擊，實(shí)驗(yàn)中使 用四個(gè)主機(jī)進(jìn)行攻擊網(wǎng)關(guān) 測(cè)試主機(jī)PC5地址： 192?16

28、8?82?24 本主機(jī) PC4 地址： 網(wǎng)關(guān)地址是： 192?168?82?251 實(shí)驗(yàn)結(jié)構(gòu)圖與流程圖 結(jié)構(gòu)圖： FaD PCI F：±i t aO PC-PT 、F：M T4TT FaD/5 ?_?l 2 攻擊主機(jī) PC-FT PC： Fc.3/0 1841 KouterO 跨 PC-PT PC3 JaO 才 PC-FT PC4 —'則試主機(jī) PC-PT PC5 流程圖： 甘:璉拱

29、 2?5?2 UDP flood攻擊 1?攻擊前，PC5對(duì)網(wǎng)關(guān)進(jìn)行Ping操作，確保成功連接并查看延時(shí)狀況 IP Address : Subnet Mask : 25S-25S,2SS,0 Default Cateuasi 192_ 16S_82 _251 C： \DoDumentE mnd Sett \ftdninieti*atci'>pinsf 192_1&B_82-251 Pinning 192.1GS .62 ?2!石丄 w±t：｝i 32 IbiFtes cf data ： Reply

30、 Reply Reply Reply fi^orn from from frcn 192■丄石8■&畫■畫 192?丄68二 192?丄68?82.畫51： 192?：LE8?82?25丄： bytes-32 tline^2rn^ TTL-30 b(;tes-32 tiFie=iris TTL=30 Jji/tes-32 time=lris TTL=30 bytes=32 tine=lns TTL=30 Pincj stat ist ics for 192.168 JB2.251： Packets： 8ent = 4, Receiued = 4, Lost = Q

31、<0X lass>, Approxinate round trip tines in nilli-seconds- MinimLini = Ins, Maximum = 2ms, Average = Ins C： XDocunents and Sett ingsXfldninistpatciOping 192.168 .82.251 Pinging 192.168.82,251 with 32 hijtes of data : ReBly fron 192.168.82.251 : Haply fpon 192.E2.251: Reply ￡i'am 192altH_H2?25

32、1 = bytes=32 bytes=32 by1:es=32 bytes =32 t ime=l ms t：ine=l ns t. ivne =liTtffi t inte =lms TTL=30 TTL=30 TTL=30 TTL=30 Pin^ stat ist ics fop 192.1GB.B2.251" Pachcts = Sent - 4, Recciued — 4, Lost — 0 <0K Idss>, Appt'uxirriat：& rauikd trip 七 iri rriilli-sfecurids ? 2?四臺(tái)主機(jī)同時(shí)對(duì)網(wǎng)關(guān)進(jìn)行UDP Floo

33、d攻擊操作，下圖是我的主機(jī)操作: I n*Od￡ DifeET 1H4C1 OH ROTT hCCp :nwdZ DtrilmHnn port- http ;nssdZ ['Estlnjfcl on pcr-r - http :D?ii^nxfc'l un port z htrtp ffi Ffmic 1 (?4 on w1res 74 bM? captured) m FrtwFnsr tt. me:朋箭1賂!專-恥！寶巴出(。氛汕吋gW 煌門中O, det :址om_2軋r比06 (00:dli:-a>!r:25 ■ fd j Proto-zol. sres L'M.as

34、a.82.15 <19?. 163.02_1§：1, “口 1W.i€S_ fl：. ?5i Ci9?.iws.￡2.2a：! Hi Use Datdgr^n Prrrncol i SrgT^BBrlnwjp^WWWwWiHWWnWwgwwTWTM! m bycesj SiDp TlaaM 閣 .I'lKdi DKT 1HJE：1 lii'i jKfT- top I B4 Dei-Tiri-STlfflH pC-'T |TCTp ;nssdZ ['Estlnjfcl on pcr-r - http ;nsxlZ ['EStinjtlon peri” http :rr*od2 un po

35、rt:: iTirfep .I'lKdi DHT 1HAE：1 Qfi 商I” IT!□: p .I'lKdZ DHT 1HAT：1 Oft jKf T? iTrE p 481977 JL6O4 爼 * 491-573 4.?$4%5 Pr-^h: L?l?Jc Q(A.^.J-. i6JIU^?? Cilwi^. kk VKtwci:詁iEJ>Sipkyad: i創(chuàng)迅:i Elui Q b fftil| 日甜 QJ 旳 空XJ^Ewwbl.sp . M.. || ■ IwCrbftlWlCBffiDnl ... lie* Rm皿 1... a * ;!■ :蘭 ￡■ :a a

36、 =■ : 55SSE 5 555SS 5 S 5 5 5 ￡ -o.u oo.u 而 1 ?-> J. le-aooa l-ll-a 990 D1K1 N.CjXXI 4filu82 4,w4'Ma 4B1>_S3 4.6MK5 島Ri?期 切疋曰缶些黑農(nóng)日 :...--:.—■- 4B1QW& 4R1W 4.605007 IBl'Kl t.^QSQLZ iei'392 4.?QSQL4 1 Q1>?1 1.<1C>5C>1Q W2.168-82.15 L^.IGB.BZ.LE 192.149 92.IS 92.13 142.16D_D2.15 W2.i6e.BM 5 W2

37、.166-62.15 1^2.160.02.15 192.16B 92.IS 192.149 92.IS 142.16D_D2.15 W2.iba_a2.i5 W2.i6e.BM 5 LK.16B-B2.L5 192.149 92.IS 192.16B 92.IS 193.1&Q-R3.15 1^2.1^.92.251 1^2.1$$.32.251 192.1HlBZ.E31 193.1^*8. 9E-Z31 ZD1.3JU.D2-Z9L 15>2.1^.S2.251 15l2.ieS.Bi.251 1^2.168.32.2:51 192.LHlBZ.Z3L 192.1HlBZ.E31 ZD

38、1.3JU.D2-Z9L 1a2.1es.a2.251 15>2.1^.S2.251 192.168.H2_251 192.LHlBZ.Z3L 192.LHlBZ.Z3L IQZ.l^S .□ 7_?51 ?1 337 I- V -—-5r3 n:u o R- 4. M:u ■—■f-.u^ STofliM _■ -1 efl d OS 42 o?.h o -I- V5￡? -1 ■? 賈5:界 UDP i』W UDF UDP iiDP UDP UDP IJDP UDP UDP iiDP UDP UDP UDP UDP UDP UDP pars: jactrc part part p

39、u廠圧 pan: pare ptarc port part fiurt: .i'i?d2 DHT iFilEl Qfi jKFT .. ITCE p :-M E>iii±i:1i'iai：1on pd'T. Keep ? *irt : Irfc-rp KP.'IJDPrHEEKI 3?在進(jìn)行攻擊時(shí)，PC5再進(jìn)行Ping網(wǎng)關(guān)操作

40、 C= SDucuricnts and Sett iriigrs \Adriin istrdturi>pingr 192 .168 .82.251 Pingring 192 -1G8.82.251 v/ith 32 Jjytes of delta - Request tlined out - IltqLiie等七 timed out - Request tlined out - IltqLiie等七 timed out - Ping statistics fop 192 .16B.82.251 = Pac

41、kets = Sent 一 4, Receiued 一 8, Lost 一 4 ClGSz loss), G= \Docunients and Sett lugs Sftdn in is tracer >ping 192 .168 .82.251 Finding 192.丄68?箭2：?2：5丄 with 32 Jjytes of data = Request timed out. Reply from 192 ■丄68?82.251 - bytes =32 tiine=235iis TTL=3B Request timed out. Request tlined out - P

42、incj statistics fop 192 .168 .82.251 - Packets- Sent = 4, Receiued = 1, Lost = 3 C75z loss? Approximate round trip tines in mllli-seconds- lllnimLini = 235ms, McixinLin = 235ms, Auepage = 235ms 4. 發(fā)現(xiàn)延遲很高，大部分是請(qǐng)求超時(shí)，表現(xiàn)出攻擊成功。 2?5?3 ICMP flood攻擊 1?攻擊前，PC5對(duì)網(wǎng)關(guān)進(jìn)行Ping操作，確保成功連接并查看延時(shí)狀況。 C:\Docurients an

43、d SettingsSfldministi*ator>ping 192,168,82.251 Pinging 192.168.82.251 with 32 bytes of data： Ke ply f rom .251： bytes=32 tine=2ns TTL=30 Reply from lVZ.lbB.BZ. .251： bytes=32 tine=lns TTL=J0 Reply f ron 192■丄E8.&2, .251 = b9tes-32 t±ne=lns TTL-38 Rcplv f rum .251 = bytes

44、 =32 t ±Fie -Ins TTL-38 Ping stat is tics Foi' 192.163.32.251" Packets - Gent = 4^ Rece iued = 4, Los：t = 8 (0^ loss) Ajppyoximate round trip times in milli-seconds: Min imun = Ins. Maximum = 2ns. fiuei'Asre = Ins C： Pinging 192.168.82.251 with 32 bytes of data： Keply from Hep丄y from Rep

45、lSF f rom Reply from ： ： ； bytes=32 bytes=3Z bytes=32 b9tes-32 tine=lns TTL=3U tine=lns tine=lns TTL=3B TTL=3B tine=lns TTL-30 Ping stat is tics Foi* 192.168.92.251" Packets - Sent = 4尸 Rece ii*ed = 4> Lost = 0 <(0北 loss > A]ppFniM±nia.1：￡! pound ti*ip timBS ±n rmilli.—±econdjt -

46、 Minimum = lnts- Naximmin = Ims. Average = Ims 2?四臺(tái)主機(jī)同時(shí)對(duì)網(wǎng)關(guān)進(jìn)行ICMP Flood攻擊操作，下圖是我的主機(jī)操作: - 創(chuàng) Fdri: |1 fMt p ' ■: iDMWiUOW 自I j_Ha 4令直B Q I Q（^ □鼻回&一.”|題 Hfcv: 1mwif kk . ?五1?.1：3血 3宀“.3血01?」.?：1 士肝御 H 日 w rn?:J^jrawcrti.dp ”WL.. | 也 10|?1.4 -Nowafc冒…]|爭(zhēng) Er?#>K* P.、X t?."kk*> ■ C^fartig

47、fraiRmiA 1... J W: g* SffUI'RV E^ajniE Sails $ 網(wǎng)上]M>eBSHT ID000 ■：■：■ Ob ac 25 tij 06 (■? ?*? ic 3t m OF jLULl 1C L10 00 ij(l LIU U1 粘臨 E 迪聰 90ZD 32 ffe DB QQ f7 fF i? g 00 g 3；3!d5O SI. 42L4T4 VULWRABIMTE?M Ekifu-M iJLi&J：x? . affui TrttEB&c*], 3?53 =?.fl27BZ7 工禹仙q.”puwn L53il6e 日; 1

48、92.149 B： is.in口 n- U? PCTlaJ dw HJiDWEFE de 町 StG^mhi d-s sysleras tfirfarmaliCTX [ir ]―— rmETKa ：IF : |m 3K31 D.42U23 32^32 D.4215Gb 3?33 9.4ZHBZ1 [■EELujLr3?ri I lU.lh8_82.2 5i i*述.i￡白-銳.15 3ZW& &.4L5?6 EffiputHT bHFOUr 芽 ,119! KU HNS! SECUPEDM 田 Ff airi- 1 (42 b>T*S afi Alrsi, 42 byl酒

49、C^pCuf- 田 Etiwndt Up 9-c; Pe-slr^-SJaiafsM Q1D;eD Hi Imwnet Prnto-zo% Src- 192.109..13 (19E ?■> ifrtsrriii: conrfol mhss^ RpffEacol 32*27 9.42034 B 3ZUS 3ZH9 9.^214*5 L?ilCEI.B2i2 3L L^Zil^e 日2,211 L9Zil?e B2.L3 1^.168-82.15 占旳L 9.4LUB7 3ZH2気牡剛3 3Z?Z3 92L肢0 3ZU4 D. 413TUB 蚩曲 5 Q.41'j5Q0 W2.

50、16H- Hi CH l^tr^n g?ii t>lp L?：idS^I a 汗出 t L92ili>e 92.2 31 :..■ ■ -.1 [rg 応? ”| [ EF 2：?￡-5y ^.426247 3K5L 9. ^2^74 7 3?5Z 気 4272M FrR^suVrLiwi if : | 叮 f2:「"?.加? 丁1 Gut皿蘆n:創(chuàng) TTL I-3 3?34 B.JZZCGn 192.16B R 3Z433 9.422195 L92.16B 日 工絆3召

51、S.-422 9^5 1-?2.1GEI_D 金曲7* fi>.422^B M曲宜a.碇M前 i*2.iba-u 9.42312：B l^.lhSnS 3ZM0 9.4Z33m 192.16B R 3Z1ML 9.^23*75 192.16B R 3^>M2 5.423727 142.16D-D 3：>^3 OdJMOfilj 梵&4隊(duì)硅比川 3￡MS i^.ieBnS 3ZM0 9.flZ475G 192.169 R 3ZW7 9. ^2^? 192.16B R 3S>MH Bi. 42 52^5 1?2.14D_D 金矽中0.^2

52、57$4 W2.iba_a; ifi2.ieS.B2.15 1 ￡12.1^.92-251 I-3MP ICHP e^u Qi1 nq3 reply Ed'iO tjiinQj Ffi<|LrifT 192. LCA. 02-13 KHP EE tF］叩？ reply ICHP EE reply ICHP Ed-O r?F±5t L'DMP EiJ-'iQ ；I；6P Ed'iu :■■: i ■SQuJST： T6P ElI'C 〔屮町 192.1^,02：. ￡]1 1OHP Ed-K3

53、 5叩7 r?F*55T： IOMP Ectw 5叩 >*raRKKKi |E”? Irtjii ? [Jml ■ (*■?■ |- □Sjsci^ If t ￡：!■■ c klA* 3?在進(jìn)行攻擊時(shí)，PC5再進(jìn)行Ping網(wǎng)關(guān)操作 Replij Reply Replij Reply Reply from f pen from f pen from ： fcytes ： bytes ：

54、 fcytes ： bytes ： fcvtes 11 mfiri nut . ；1 : 11卯七丹盤=?戈 Request t imed out. Pcquest t imed out. ： l)

55、 : : hytes=32 Recruest t imed out. : hytes=32 fiAqiiRRt t i mpfl nut . Peplii flpplu Repl^j Rcpl^ Rcpl^ f rein f Vflfl ￡ van f van f vain ；1 : 192.16S.B2.2R1 : >!卯七日￡=27 ：: : fcytcc-32 bytes =32 hytes =32 Requite I I lined out . RuquuwL I lined uuL- : bytes=32 Eeplij from 11?2 .lbtt .H2

56、.^bl: fcytes=32 Bequest t imed out. Request t imed out. Reply Replij Reply Reply f pen from f pen from ： bytes=32 ： fcytes=32 ：： hytes=32 t inie=l[iE t Lme=liis t inie=l[iE t Lme=liis TTL TTL TTL TTL t inie=225nis 36 36 36 36 TIL=3B TTL=2fl 11 mfiri nut . PspliJ Replu Rcpl^

57、Rcpl^ Repl^ ￡i*oni f I'CITt from front f i^orri biotas =32 hs^tes =32 hytcE _22 ： ： 192.1GS .S3.251: fc

58、=3B t line =22Gniis： TIL=30 t. IiTiB =228mcs： TTL=m t ime =22Gims TIL=20 t inc-22Bm3 TIL-30 t ine —225ihfb TIL-30 time =2 2 J ms TIL=3B t i_m 已=^2Sms UL=30 time =2 31 ms TIL=3B t im 已=230ins TIL=3B time =2 33 ms TIL=3B t im 已=2 33 ms TIL=3B t line =220mis TTL=3H t ine =22Bns

59、 TIL=20 t inc-22?m? TIL-30 t ine-232ns TIL-30 t irne -228mts TIL-3B t line =225mis ReLLues I I lined uut . Request t imed oul. 4.發(fā)現(xiàn)延遲很高，或者干脆請(qǐng)求超時(shí)，表現(xiàn)出攻擊成功。 兩次攻擊都很好地完成。 三、DDOS防御技術(shù) 3?1簡(jiǎn)述DDOS防御技術(shù) 對(duì)付DDOS是

60、一個(gè)系統(tǒng)工程，僅僅依靠某種系統(tǒng)或產(chǎn)品防范DDOS是不現(xiàn)實(shí)的，可 以肯定的是，完全杜絕DDOS攻擊，目前是不可能的，但通過適當(dāng)?shù)拇胧┑钟?0% 的DDOS攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當(dāng) 的辦法增強(qiáng)了抵御DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那么絕 大多數(shù)攻擊者將無法繼續(xù)下去而放棄，也就相當(dāng)于成功的抵御了 DDOS攻擊。 本次實(shí)訓(xùn)，老師還向我們介紹了 policing and shaping。簡(jiǎn)單的說就是 管制和整形： 管制和整形的作用是識(shí)別流量違約并做出響應(yīng)。管制和整形使用同樣的算法 識(shí)別流量違約，但是做出的響應(yīng)不同。 管制工具對(duì)流量違約進(jìn)行即

61、時(shí)檢查，發(fā)現(xiàn)違約后立即采取設(shè)定的動(dòng)作進(jìn)行處 理。例如，管制工具可以確定負(fù)載是否超出了定義的流量速率，然后對(duì)超出部分 的流量進(jìn)行重新標(biāo)記或者直接丟棄。管制工具可以應(yīng)用在入接口和出接口上。 整形工具是一個(gè)與排隊(duì)機(jī)制一起工作的流量平滑工具。整形的目的是將所有 的流量發(fā)送到同一個(gè)接口，并且控制流量永遠(yuǎn)不超出指定的速率，使流量平滑地 通過該接口發(fā)送出去。整形工具只可以應(yīng)用在出接口上。 管制與整形相比較，具有以下區(qū)別，參見表 22-3。 表 22-2 ：管制與整形比較 管制 policing 整形 shaping 由于包被丟棄，引起TCP重傳 通常延遲流量，很少引起TCP重傳 不靈活和不可

62、適應(yīng) 通過排隊(duì)機(jī)制來適應(yīng)網(wǎng)絡(luò)擁塞 入接口和出接口工具 出接口工具 沒有緩存的速率限制 有緩存的速率限制 下圖能明顯顯示出 2種不同的流量限制。 3.2 防御原理 3.2.1 CAR 使用CAR（Control Access Rate）功能限制流速率。如果管理員發(fā)現(xiàn)網(wǎng)絡(luò)中存在DDoS 攻擊，并通過Sniffer或者其它手段得知發(fā)起DDoS攻擊的數(shù)據(jù)流的類型，然后可 以給該數(shù)據(jù)流設(shè)置一個(gè)上限帶寬，這樣超過了該上限的攻擊流量就被丟棄，可以 保證網(wǎng)絡(luò)帶寬不被占滿。 3.2.2 uRPF URPF（Unicast Reverse Path Forwarding單播反向路徑

63、轉(zhuǎn)發(fā)）的主要功能是用于 防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。 源地址欺騙攻擊為入侵者構(gòu)造出一系列帶有偽造源地址的報(bào)文，對(duì)于使用基于 IP地址驗(yàn)證的應(yīng)用來說，此攻擊方法可以導(dǎo)致未被授權(quán)用戶以他人身份獲得訪問 系統(tǒng)的權(quán)限，甚至是以管理員權(quán)限來訪問。即使響應(yīng)報(bào)文不能達(dá)到攻擊者，同樣 也會(huì)造成對(duì)被攻擊對(duì)象的破壞。 如圖1所示，在Router A上偽造源地址為的報(bào)文，向服務(wù)器Router B發(fā) 起請(qǐng)求，Router B響應(yīng)請(qǐng)求時(shí)將向真正的“2?2?2?1/8”發(fā)送報(bào)文。這種非法報(bào)文 對(duì) RouterB 和 Router C 都造成了攻擊。 URPF技術(shù)可以應(yīng)用在上述環(huán)境中，阻止基于源地址

64、欺騙的攻擊。 3?3利用CAR進(jìn)行DDOS防御實(shí)驗(yàn)實(shí)際操作與結(jié)果 1?本次CAR防范是利用GNS3進(jìn)行實(shí)驗(yàn)的，首先在GNS3中鋪設(shè)結(jié)構(gòu)，將本地物理 網(wǎng)卡配置到C1,將虛擬網(wǎng)卡VMnetl配置到C2上, 對(duì) R1 兩個(gè)端口進(jìn)行配置： F0/0: 192?168?82?144 F0/1: 192?168?100?144 配置好后，如下圖所示， Ld 章 git 卿 Mraei% 時(shí) kwrdTDO F!OU￡ii：ji4i F>=4i?i ■:乂41 rm Rrirp1 iMdi E1X;細(xì):h roUBr ■ Qswjkr* Goul ■ :. nmo 19

65、2.I4*.t2.I?? Wl 1*2- l?6. 100. 1>1>1 1*2-l?8.IDD.3 2?打開虛擬機(jī)，選好網(wǎng)卡，運(yùn)行cmd，ping 192，能夠成功ping通。 ReqjUiKH t t imif*d ciiji：- RepI^j From 1W.168B?2： Rspljr f i-om 192?168 ■欽2? 144 = Request Clmsd ant. Repljj from 193.160.82.144： b^tcs-3100 bi?tBs=3J100 b;ytc3-3100 b^t?s=31@0 tinc-27m>s

66、 tine-2 Buns tine TIL-255 TIL=255 TTL-255 ITL=255 Ping st at i=t ics for- 192-168 - 0 2 ? H4 s Packets: So nt - 21P Received - Lost; ■ 7 Approximate i^ouind tFip tine? In nilll-eeconds-- Hd-mi imumi - 2 7ms, tl^Miiriuri 三 45ns, flue^agrH - flirts <33X Loss?P Contr?l-C y C： M)ocuni&nt? and Sett Inge Pinarircr ■衛(wèi)丘呂.H殖?1也也 uith 32 bytss of 血fZ J3spl^ Beply Replv F a^oin ￡ rOFi f ^QITi f IPOiTi 100.144s 192.168 ?10@if 100.144; bytes=32 bytes=32 bytes：=^3 七 i.Fiii±a33iins: timc