网络攻防论文拒接服务攻击dos.docx
- 文档编号:16653176
- 上传时间:2023-07-16
- 格式:DOCX
- 页数:31
- 大小:2.04MB
网络攻防论文拒接服务攻击dos.docx
《网络攻防论文拒接服务攻击dos.docx》由会员分享,可在线阅读,更多相关《网络攻防论文拒接服务攻击dos.docx(31页珍藏版)》请在冰点文库上搜索。
网络攻防论文拒接服务攻击dos
网络攻防技术
——拒绝服务攻击(DOS)
课程名称:
网络攻防技术
论文题目:
拒绝服务攻击(DOS)
目录
一、拒绝服务攻击的原理1
1.1拒接服务(DoS)攻击1
1.2分布式拒接服务(DDoS)攻击1
1.3DDOS网络1
1.4拒绝服务攻击的分类2
1.5拒绝服务攻击的现象2
二、DDOS攻击的步骤2
2.1获取目标信息2
2.2占领傀儡机和控制台5
2.3实施攻击5
三、拒绝服务攻击实例5
3.1SYNFlood攻击5
3.2TCP连接耗尽攻击6
3.3独裁者Autocrat攻击工具的使用(基于课本实验)7
3.3.1Server端7
3.3.2Client端7
3.4独裁者攻击器的使用步骤8
3.4.1添加主机8
3.4.2检查Server状态9
3.4.3清理无效主机9
3.4.4检查文件11
3.4.5攻击11
3.4.6停止攻击:
14
3.5手工命令14
3.6HTTP控制14
四、拒绝服务攻击的防御20
4.1、拒绝服务攻击的终端防御20
4.1.1增强容忍性20
4.1.2、提高主机系统或网络安全性20
4.1.3、入口过滤21
4.2、拒绝服务攻击的源端防御21
4.3、拒绝服务攻击的中端防御21
4.4、傀儡网络与傀儡程序的检测与控制21
五、拒绝服务攻击的检测21
5.1、主机异常现象检测21
5.2、伪造数据包的检测23
5.3、SYN风暴检测23
六、参考文献23
拒绝服务攻击
一、拒绝服务攻击的原理
1.1拒接服务(DoS)攻击
拒接服务攻击(DenialofServiceAttack)是指终端或者完全拒绝对合法用户、网络、系统和其他资源的服务的攻击方法,其意图就是彻底破坏,这也是比较容易实现的攻击方法。
特别是分布式拒绝服务攻击对目前的互联网构成了严重的威胁,造成的经济损失也极为庞大。
1.2分布式拒接服务(DDoS)攻击
分布式拒接服务(DDoS)攻击是在传统DoS攻击基础上产生的。
DDOS的实现是借助数百,甚至数千台被植入攻击守护进程的傀儡主机同时发起的集团作战行为,即处于不同位置的多个攻击者同时向一个或数个目标发起攻击。
1.3DDOS网络
DDOS网络是指DDOS攻击中牵涉的各方,由攻击者(Attacker、Cilient)、控制台(Master、Handler)、攻击主机(傀儡机、Bot、Zombie)和受害者组成。
一个攻击者可以控制多个控制台,一个控制台一般控制多个攻击主机(如下所示)。
1.4拒绝服务攻击的分类
按其攻击形式分为:
(1)导致异常型:
利用软硬件实现上的编程缺陷,导致其出现异常,从而使其拒绝服务。
如PingofDeath攻击等。
(2)资源耗尽型:
通过大量消耗资源使得攻击目标由于资源耗尽不能提供正常的服务。
视资源类型的不同可分为带宽耗尽和系统资源耗尽两类。
带宽耗尽攻击的本质是攻击着通过放大等技巧消耗掉目标网络的所有带宽,如Smurf攻击等。
系统资源耗尽型攻击指对系统内存、CPU或程序中的其他资源进行消耗,使其无法满足正常提供服务的需求。
如SynFlood攻击等。
(3)欺骗型
1.5拒绝服务攻击的现象
(1)被攻击主机上有大量等待的TCP连接。
(2)网络中充斥着大量的无用的数据包,源地址为假。
(3)制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯。
(4)利用受害主机提供的服务或或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求。
(5)严重时会造成系统死机。
二、DDOS攻击的步骤
2.1获取目标信息
(1)信息收集
1)whois命令
whois为Internet提供目录服务,包括名字、通信地址、电话号码、电子邮箱、IP地址等信息。
采用的是Client/Server结构,由Client端发出请求,接收结果,并按格式显示到客户端屏幕上,而Server端则建立数据库,接受注册请求并提供在线查询服务。
2)nslookup命令
nslookup可以运行DNS查询,用于查询DNS中的各种数据。
在Windows的命令行下直接运行nslookup进入一个交互模式,即可查询各种类型的DNS数据,如下图所示:
3)网上公开信息
4)搜索引擎
利用搜索引擎是一个获得组织机构内部网络而外信息的绝好方法,利用搜索引擎还可以获得一些非常敏感的数据,如Web服务器的目录结构、计算机中的缓存信息、个人信用卡和银行账号与口令、企业网用户名和口令,以及一些要害部门的内部信息等。
(2)网络刺探
1)traceroute命令
traceroute命令用于追溯一个主机到另一个主机的网络路径(可用以记录两个主机之间的网段信息)。
Traceroute通过修改ICMP或UDP数据包的TTL值,从而获得目的地的路途中每一跳路由器产生的ICMP超时消息(ICMP-TIME-EXCEEDED)。
Traceroute在Windows系统下的命令是tracert以满足文件名不超过8个字符的限制,如下图所示为Traceroute在Windows系统下的输出结果。
2)网络扫描
ICMP扫描、TCP扫描(TCP连接扫描、TCP-FIN扫描、TCPPing扫描、TCP逆向Ident扫描)、UDP扫描。
3)漏洞扫描
漏洞扫描器由发送数据包机制(构造正常或伪造数据包)、接收数据包机制(接收原始数据包)、漏洞库特征码数据库(网络数据包中某个字段或某几个字段的数值)组成。
如下图所示:
2.2占领傀儡机和控制台
攻击者为了使自己不被发现,常常要占领一些傀儡机(也称僵尸Zombies或Bot、Slave、Drone等)。
由于傀儡机总是等待并执行攻击者的命令,因此在攻击者和傀儡机之间构成的客户机/服务器模型中,傀儡机居于服务器的角色,故傀儡机或相应的傀儡程序也叫做Server,而攻击者或者攻击者所用的程序也叫做Client,用来实施攻击。
攻击者还需要向傀儡机发送命令的控制台,因此攻击者还需要利用某些被其攻破的机器或者拥有访问权限的机器作为控制台。
为了要达到需要的攻击力度,单靠一台或者数台机器对一个大型系统的攻击是不够的,所以攻击者需要大量的傀儡机用于增强攻击的猛烈程度,这些傀儡机器最好具有良好的性能和充足的资源,如强的计算机能力和大的带宽等。
2.3实施攻击
攻击者发布攻击指令,所有受控的傀儡主机参与攻击行为。
傀儡主机中的DDOS攻击程序相应控制台的命令,一起向目的主机以高速度发送大量的数据包,导致它崩溃或者无法响应正常请求。
三、拒绝服务攻击实例
3.1SYNFlood攻击
SYN-Flood是目前最流行的DDoS攻击手段,早先的DoS的手段在向分布式这一阶段发展的时候也经历了浪里淘沙的过程。
SYN-Flood的攻击原理:
SynFlood利用了TCP/IP协议的固有漏洞,面向连接的TCP三次握手是SynFlood存在的基础。
TCP连接的三次握手如下图所示:
在第一步中,客户端向服务端提出连接请求。
这时TCPSYN标志置位。
客户端告诉服务端序列号区域合法,需要检查。
客户端在TCP报头的序列号区中插入自己的ISN。
服务端收到该TCP分段后,在第二步以自己的ISN回应(SYN标志置位),同时确认收到客户端的第一个TCP分段(ACK标志置位)。
在第三步中,客户端确认收到服务端的ISN(ACK标志置位)。
到此为止建立完整的TCP连接,开始全双工模式的数据传输过程。
SynFlood攻击者不会完成三次握手如下图:
SYNFlood攻击的原理如下图所示:
3.2TCP连接耗尽攻击
在TCP连接中,操作系统的内核会维持每一个TCP连接的信息。
但是有太多的连接,则需要占用很多的内存和CPU时间,通过众多的连接耗尽受害者的资源。
3.3独裁者Autocrat攻击工具的使用(基于课本实验)
Autocrat是一款基于TCP/IP协议的DDoS分布式拒绝服务攻击工具,它运用远程控制方式联合多台服务器进行DDoS攻击。
包括五个文件:
Server.exe——服务器端,即傀儡机;Client.exe——控制端,用来操作Autocrat攻击工具;Mswinsck.ocx——控制端需要的网络接口;Richtx32.ocx——控制端需要的文本框控件;host.ip——控制端控制的主机列表。
3.3.1Server端
既然是基于远程控制的工具,当然不能直接用,首先要做的就是必须用一切办法把Server.exe放到别人机器(傀儡机)上运行,只要Server.exe一个就够了,不再一一说明过程,可以看IPC$漏洞或者用木马传过去。
运行Server后,程序会自动安装并重新启动,当傀儡机重新上来后,它就已经是AutocratServer了。
(安装成功的标记是,源文件消失,并且傀儡机重新启动)。
3.3.2Client端
Client是控制Server的工具,运行界面如下图所示:
我们要做的就是掌握右边的命令按钮,左边的列表是Client能控制的所有主机,Client会自动从host.ip中读取,无需用户干涉。
3.4独裁者攻击器的使用步骤
3.4.1添加主机
Autocrat提供了扫描功能,但面对那么多的主机,很难奏效,犹如大海捞针。
所以我们最好还是自己动手安装Server。
点击“添加”按钮,输入IP即可。
如下图所示:
3.4.2检查Server状态
发动攻击前,为了保证Server的有效,我们最好对它来次握手应答过程,把没用的Server踢出去,点击“检查状态”按钮,Client会对IP列表来次扫描检查,最后会生成一个报告,如下图所示:
3.4.3清理无效主机
点“切换”按钮进入无效主机列表,用“清理主机”按钮把无效的主机去掉,再按一次“切换”转回主机列表。
3.4.4检查文件
检查wsock32s.dll、wsock32l.dll和wsock32p.dll这三个文件,它们是攻击的关键,用“检查文件”按钮查看文件状态,如果发现文件没了,你可就要注意了,可以用extract命令释放文件。
如下图所示:
3.4.5攻击
1)SYN攻击:
源IP乱填(既可以伪造任意填写),目标IP是安装了Server的主机IP或域名,源端口可以任意填写,目标端口:
80(HTTP默认端口),21(FTP默认端口),23(Telnet默认端口),25/110(E-MAIL服务默认端口),8000(腾讯QQ服务器端口)。
2)LAND攻击:
填写目标IP和目标端口即可(同SYN)。
3)FakePing攻击:
源IP任意填写,目标IP填写目的IP(即要攻击的目标),程序会发送大量的ICMP数据阻塞目的网络。
4)狂怒之Ping攻击:
直接填写目标IP即可,原理同FakePing。
3.4.6停止攻击:
点击“停止攻击”按钮即告停止。
如下图所示:
3.5手工命令
如果想通过手工方式控制一台机器,可以点击IP列表上想要控制的对应的傀儡IP,然后在“手工命令”后面选择“单独”,可以有如下的参数选择:
stop:
停止
heloID:
状态检查
syn[ip][port][ip][port]:
SYN攻击
fakeping[ip][ip]:
FakePing攻击
angryping[io]:
狂怒之Ping攻击
extract:
释放文件
3.6HTTP控制
这个方法最简单,直接在IE里输入http:
//IP:
8535就可以,直接用Server攻击,不用Client也可以,如下图所示:
1)SYN攻击:
2)LAND攻击:
3)FakePing攻击:
4)狂怒之Ping攻击
四、拒绝服务攻击的防御
4.1、拒绝服务攻击的终端防御
4.1.1增强容忍性
(1)随机释放
当受到SYN风暴攻击时,如果半开连接堆栈已用完,就可以随机释放一些未完成的半打开连接,除非此时有半开连接因为超时或者连接完成而释放。
(2)SYNCookies
具有SYNCookie功能的TCP服务器,当其收到一个TCP的SYN消息后,其不会按照普通的TCP一样直接建立一个TCP半开连接,而仅仅是向对方发送一个类似的SYN-ACK消息,在这个消息中,序列号是服务器根据客户端的IP地址、端口号,服务器的IP地址、端口号以及时间等通过一个秘密的函数生成的。
当接收到从客户端发来的,针对这个SYN-ACK的ACK消息后,服务器直接建立连接。
SYNCookie功能一般是在发现、怀疑有攻击存在或者当前连接请求较多的时候才启用。
(3)SYNCache
SYNCache会在服务器上为SYN分配尽量少的状态,以降低攻击者SYN风暴攻击的影响。
通过全局表建立连接表,提高了攻击者进行Syn风暴攻击成功的难度,但受到系统整体资源的限制。
(4)TCP代理服务器
由于服务器的TCP半开放连接数是非常有限的,为了避免攻击者占用有限的半开连接资源,可以通过代理服务器的方法防止SYN风暴攻击。
4.1.2、提高主机系统或网络安全性
(1)流量控制
(2)冗余备份
(3)关闭不需要的服务和端口
(4)实行严格的补丁管理
(5)经常进行端口扫描
(6)主机安全加固
(7)攻击测试(Pen-test)
(8)病毒防护
4.1.3、入口过滤
(1)端口与协议过滤
(2)地址过滤
(3)合理编写、排列防火墙规则和路由器的访问控制列表,合理过滤数据流
(4)正确配置边界路由,禁止转发指向广播地址的数据包
(5)对于ICMP数据包,只允许必需的类型和代码进出网络,过滤其他非必需的。
(6)如果网络中不需要使用IRC、P2P服务以及即时消息,则阻止向外发出这类连接。
4.2、拒绝服务攻击的源端防御
(1)出口过滤
用户网络或者其ISP网络的比边界路由被配置成在其转发外出的数据包时,阻塞(过滤)源IP地址明显是非法的数据包,以免其外出到外网。
(2)D-WARD
1)攻击的检测
2)攻击的响应
(3)COSSACK
4.3、拒绝服务攻击的中端防御
4.4、傀儡网络与傀儡程序的检测与控制
(1)傀儡网络的发现
(2)傀儡网络的控制
(3)防止傀儡程序的植入
(4)以工具检测与清除傀儡程序
(5)傀儡程序的手工清除
五、拒绝服务攻击的检测
5.1、主机异常现象检测
(1)异常现象1:
受害网络通信流量超出工作极限,主干路由器建立访问控制规则监测和过滤异常通信。
(2)异常现象2:
特大型的ICMP和UDP数据包。
(3)异常现象3:
不属于正常连接通信的TCP和UDP数据包;合理配置防火墙和路由规则。
(4)异常现象4:
数据段内容只包含字母和数字字符的数据包(TFN2K)。
(5)异常现象5:
数据段内容只包含二进制和高位bit为1的字符的数据包。
(6)异常现象6:
域名服务器会收到大量的逆向解析目标IP主机名的PTR查询请求。
(7)异常现象7:
检测到大量的ICMP目标不可达消息。
(8)异常现象8:
收到大量的TCPSYN(SYN风暴)包或者大量的SYN-ACK(SMURF攻击)数据包。
5.2、伪造数据包的检测
(1)基于主机的主动检测
(2)IP识别号探测
(3)伪造TCP数据包检测
(4)基于主机的被动检测
5.3、SYN风暴检测
(1)寻找SYN风暴的迹象
(2)SYN风暴攻击的确认与受害者确定
六、参考文献
《拒绝服务攻击》李德全著电子工业出版社
《网络攻防技术教程》第二版杜哗张大伟范艳芳编著武汉大学出版社
《计算机网络》第五版谢希仁编著电子工业出版社
毕业设计(论文)原创性声明和使用授权说明
原创性声明
本人郑重承诺:
所呈交的毕业设计(论文),是我个人在指导教师的指导下进行的研究工作及取得的成果。
尽我所知,除文中特别加以标注和致谢的地方外,不包含其他人或组织已经发表或公布过的研究成果,也不包含我为获得及其它教育机构的学位或学历而使用过的材料。
对本研究提供过帮助和做出过贡献的个人或集体,均已在文中作了明确的说明并表示了谢意。
作者签名:
日 期:
指导教师签名:
日 期:
使用授权说明
本人完全了解大学关于收集、保存、使用毕业设计(论文)的规定,即:
按照学校要求提交毕业设计(论文)的印刷本和电子版本;学校有权保存毕业设计(论文)的印刷本和电子版,并提供目录检索与阅览服务;学校可以采用影印、缩印、数字化或其它复制手段保存论文;在不以赢利为目的前提下,学校可以公布论文的部分或全部内容。
作者签名:
日 期:
学位论文原创性声明
本人郑重声明:
所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。
除了文中特别加以标注引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写的成果作品。
对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。
本人完全意识到本声明的法律后果由本人承担。
作者签名:
日期:
年月日
学位论文版权使用授权书
本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意学校保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。
本人授权 大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。
涉密论文按学校规定处理。
作者签名:
日期:
年月日
导师签名:
日期:
年月日
注意事项
1.设计(论文)的内容包括:
1)封面(按教务处制定的标准封面格式制作)
2)原创性声明
3)中文摘要(300字左右)、关键词
4)外文摘要、关键词
5)目次页(附件不统一编入)
6)论文主体部分:
引言(或绪论)、正文、结论
7)参考文献
8)致谢
9)附录(对论文支持必要时)
2.论文字数要求:
理工类设计(论文)正文字数不少于1万字(不包括图纸、程序清单等),文科类论文正文字数不少于1.2万字。
3.附件包括:
任务书、开题报告、外文译文、译文原文(复印件)。
4.文字、图表要求:
1)文字通顺,语言流畅,书写字迹工整,打印字体及大小符合要求,无错别字,不准请他人代写
2)工程设计类题目的图纸,要求部分用尺规绘制,部分用计算机绘制,所有图纸应符合国家技术标准规范。
图表整洁,布局合理,文字注释必须使用工程字书写,不准用徒手画
3)毕业论文须用A4单面打印,论文50页以上的双面打印
4)图表应绘制于无格子的页面上
5)软件工程类课题应有程序清单,并提供电子文档
5.装订顺序
1)设计(论文)
2)附件:
按照任务书、开题报告、外文译文、译文原文(复印件)次序装订
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 攻防 论文 服务 攻击 dos