DDOS攻擊與防范技術(shù)原理—課程設(shè)計(jì)報(bào)告

1、上海電機(jī)學(xué)院課程設(shè)計(jì)報(bào)告課程名稱： 計(jì)算機(jī)網(wǎng)絡(luò)安全 課題名稱： ddos攻擊與防范技術(shù)原理 姓 名： 班 級(jí)： bx1009 學(xué) 號(hào)： 指導(dǎo)老師： 報(bào)告日期： 2013年06月27日 電 子 信 息 學(xué) 院上海電機(jī)學(xué)院實(shí)訓(xùn)/課程設(shè)計(jì)任務(wù)書課程名稱網(wǎng)絡(luò)安全課程設(shè)計(jì)課程代碼033208c1實(shí)訓(xùn)/課程設(shè)計(jì)課題清單1arp 協(xié)議原理攻擊及防范技術(shù)2dhcp 協(xié)議攻擊及防范技術(shù)3ddos攻擊與防范技術(shù)原理4acl 包過濾技術(shù)應(yīng)用5. cam表攻擊與防范技術(shù)6. tcp syn攻擊與防范技術(shù)7. 網(wǎng)絡(luò)設(shè)備終端登錄原理與安全管理8. 組建高彈性冗余網(wǎng)絡(luò)設(shè)計(jì)時(shí)間2013年 06 月 24 日 2013年 06

2、 月 28 日一、實(shí)訓(xùn)/課程設(shè)計(jì)任務(wù)匯總1. 課題分配-23人一組。2.最終提供的主操作界面應(yīng)該方便用戶的操作。3.最后提交的課程設(shè)計(jì)成果包括：a) 課程設(shè)計(jì)報(bào)告打印稿。b) 課程設(shè)計(jì)報(bào)告電子稿。c) 小組課程設(shè)計(jì)報(bào)告打印稿d) 小組課程設(shè)計(jì)報(bào)告電子稿e(cuò)) 源程序文件(電子稿)。f) 可執(zhí)行程序文件。（電子稿）二、對(duì)實(shí)訓(xùn)/課程設(shè)計(jì)成果的要求（包括實(shí)訓(xùn)/課程設(shè)計(jì)報(bào)告、圖紙、圖表、實(shí)物等軟硬件要求）分析課程設(shè)計(jì)題目的要求；寫出詳細(xì)的需求分析；根據(jù)功能需求，寫出詳細(xì)的設(shè)計(jì)說明；（包括工作原理）編寫程序代碼（有必要的注釋），調(diào)試程序使其能正確運(yùn)行；設(shè)計(jì)完成的軟件要便于操作和使用，有整齊、美觀的使用界面

3、；設(shè)計(jì)完成后提交課程設(shè)計(jì)報(bào)告（按學(xué)校要求裝訂）和源代碼文件的電子文檔。報(bào)告需要交電子版和打印版，源程序交電子版。三、實(shí)訓(xùn)/課程設(shè)計(jì)工作進(jìn)度計(jì)劃：選擇課程設(shè)計(jì)題目，分析課題的要求，確定需求分析；確定設(shè)計(jì)方案；第二天 編寫詳細(xì)設(shè)計(jì)說明； 繪制程序流程圖；編寫與調(diào)試程序；第三天 測(cè)試系統(tǒng)功能，寫課程設(shè)計(jì)報(bào)告； 第四天 交課程設(shè)計(jì)報(bào)告（打印稿及電子稿）； 第五天 面試或答辯。四、主要參考資料：1 計(jì)算機(jī)網(wǎng)絡(luò)安全教程(第二版) 梁亞聲 機(jī)械工業(yè)出版社 2008年7月2 cisco press - ccna security official exam certification guide 20123

4、ccnp.security.secure.642-637.official.cert.guide).sean.wilkins&trey.smith 2011摘要：計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，特別是internet的發(fā)展和普及應(yīng)用，為人類帶來了新的工作、學(xué)習(xí)和生活方式，使人們與計(jì)算機(jī)網(wǎng)絡(luò)的聯(lián)系越來越密切。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)提供了豐富的資源以便用戶共享，提高了系統(tǒng)的靈活性和便捷性，也正是這個(gè)特點(diǎn)，增加了網(wǎng)絡(luò)系統(tǒng)的脆弱性、網(wǎng)絡(luò)受威脅和攻擊的可能性以及網(wǎng)絡(luò)的復(fù)雜性。分布式拒絕服務(wù)(ddos:distributed denial of service)攻擊借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一

5、個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)dos攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊帳號(hào)將ddos主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在internet上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。關(guān)鍵字：ddos, icmp flood, udp flood, car目錄摘要：2一、需求分析41.1課設(shè)背景4二、ddos攻擊技術(shù)52.1簡(jiǎn)述ddos攻擊技術(shù)52.1.1 dos攻擊概述52.1.2ddos攻擊概述52.2 ddos攻擊原理與表現(xiàn)形式62.3 ddo

6、s攻擊方式72.3.1 icmp flood攻擊技術(shù)72.3.2 udp flood 攻擊技術(shù)72.3.3其他攻擊技術(shù)82.4 ddos攻擊工具92.4.1 loic92.4.2 engage packetbuilder92.4.3其他輔助工具102.5具體實(shí)驗(yàn)操作與結(jié)果102.5.1實(shí)驗(yàn)結(jié)構(gòu)圖與流程圖102.5.2 udp flood攻擊112.5.3 icmp flood攻擊13三、ddos防御技術(shù)163.1 簡(jiǎn)述ddos防御技術(shù)163.2 防御原理173.2.1 car173.2.2 urpf173.3 利用car進(jìn)行ddos防御實(shí)驗(yàn)實(shí)際操作與結(jié)果18四、遇到的問題與解決21五、小結(jié)22

7、參考文獻(xiàn)23一、需求分析 隨著 internet 的迅猛發(fā)展，網(wǎng)絡(luò)與信息安全問題日益突出。病毒肆虐、網(wǎng)絡(luò)犯罪、黑客攻擊等現(xiàn)象時(shí)有發(fā)生，嚴(yán)重危及我們正常工作。據(jù)國(guó)際權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，全球每年因網(wǎng)絡(luò)安全問題帶來的損失高達(dá)數(shù)百億美元。網(wǎng)絡(luò)上的惡意攻擊實(shí)際上就是尋找一 切可能存在的網(wǎng)絡(luò)安全缺陷來達(dá)到對(duì)系統(tǒng)及資源的 損害，從而達(dá)到惡意的目的。分布式拒絕服務(wù)攻擊 (以下稱 ddos) 就是從1996 年出現(xiàn)，在中國(guó) 2002 年開始頻繁出現(xiàn)的一種攻擊方式。分布式拒絕服務(wù)攻擊(ddos 全名是 distribut- ed denial of service)，ddos 攻擊手段是在傳統(tǒng)的dos 攻擊基礎(chǔ)之上產(chǎn)生

8、的一類攻擊方式。單一的dos攻擊一般是采用一對(duì)一方式的，當(dāng)攻擊目標(biāo) cpu 速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性 能指標(biāo)不高它的效果是明顯的。1.1課設(shè)背景隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存 大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得 dos 攻擊的困難程度加大了，目標(biāo)對(duì)惡意攻擊包的 消化能力 加強(qiáng)了不少，例如：你的攻擊軟件 每秒鐘可以發(fā)送4000 個(gè)攻擊包，但我的主機(jī)與網(wǎng) 絡(luò)帶寬每秒鐘可以處理 20000 個(gè)攻擊包，這樣一來 攻擊就不會(huì)產(chǎn)生什么效果。 分布式拒絕服務(wù)攻擊使用了分布式客戶服務(wù)器 功能，加密技術(shù)及其它類的功能，它能被用于控制任 意數(shù)量的遠(yuǎn)程機(jī)器，以產(chǎn)生

9、隨機(jī)匿名的拒絕服務(wù)攻 擊和遠(yuǎn)程訪問。為了有效防范網(wǎng)絡(luò)入侵和攻擊，就必 須熟悉網(wǎng)絡(luò)入侵和攻擊的手段和原理，在此基礎(chǔ)上 才能制定行之有效的防范對(duì)策和防御措施，從而確 保網(wǎng)絡(luò)信息的安全。本次實(shí)驗(yàn)要求是先進(jìn)行ddos的udp flood和icmp flood的攻擊，再利用gns3和虛擬機(jī)進(jìn)行ddos攻擊的防御，二、ddos攻擊技術(shù)2.1簡(jiǎn)述ddos攻擊技術(shù)2.1.1 dos攻擊概述 在了解ddos之前，首先我們來看看dos，dos的英文全稱是denial of service，也就是“拒絕服務(wù)”的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看，dos算是一種很簡(jiǎn)單但又很有效的進(jìn)攻方式。它的目的就是拒

10、絕你的服務(wù)訪問，破壞組織的正常運(yùn)行，最終它會(huì)使你的部分internet連接和網(wǎng)絡(luò)系統(tǒng)失效。dos的攻擊方式有很多種，最基本的dos攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)。dos攻擊的原理如圖1所示。圖1 dos攻擊原理 從圖1我們可以看出dos攻擊的基本過程：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請(qǐng)求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，分配給這次請(qǐng)求的資源就始終沒有被釋放。當(dāng)服務(wù)器等待一定的時(shí)間后，連接會(huì)因超時(shí)而被切斷，攻擊者會(huì)再度傳送新的一批請(qǐng)求，在這種反復(fù)發(fā)送偽地址請(qǐng)求的情況下，服務(wù)器資源最終會(huì)被耗盡

11、。2.1.2ddos攻擊概述 ddos（分布式拒絕服務(wù)），它的英文全稱為distributed denial of service，它是一種基于dos的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，像商業(yè)公司，搜索引擎和政府部門的站點(diǎn)。從圖1我們可以看出dos攻擊只要一臺(tái)單機(jī)和一個(gè)modem就可實(shí)現(xiàn)，與之不同的是ddos攻擊是利用一批受控制的機(jī)器向一臺(tái)機(jī)器發(fā)起攻擊，這樣來勢(shì)迅猛的攻擊令人難以防備，因此具有較大的破壞性。ddos的攻擊原理如圖2所示。 圖2 ddos攻擊原理 從圖2可以看出，ddos攻擊分為3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角

12、色。 1、攻擊者：攻擊者所用的計(jì)算機(jī)是攻擊主控臺(tái)，可以是網(wǎng)絡(luò)上的任何一臺(tái)主機(jī)，甚至可以是一個(gè)活動(dòng)的便攜機(jī)。攻擊者操縱整個(gè)攻擊過程，它向主控端發(fā)送攻擊命令。2、主控端：主控端是攻擊者非法侵入并控制的一些主機(jī)，這些主機(jī)還分別控制大量的代理主機(jī)。在主控端主機(jī)上安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。3、代理端：代理端同樣也是攻擊者侵入并控制的一批主機(jī)，它們上面運(yùn)行攻擊器程序，接受和運(yùn)行主控端發(fā)來的命令。代理端主機(jī)是攻擊的執(zhí)行者，真正向受害者主機(jī)發(fā)起攻擊。 攻擊者發(fā)起ddos攻擊的第一步，就是尋找在internet上有漏洞的主機(jī)，進(jìn)入系統(tǒng)后在其上面安

13、裝后門程序，攻擊者入侵的主機(jī)越多，他的攻擊隊(duì)伍就越壯大。第二步在入侵主機(jī)上安裝攻擊程序，其中一部分主機(jī)充當(dāng)攻擊的主控端，一部分主機(jī)充當(dāng)攻擊的代理端。最后各部分主機(jī)各施其職，在攻擊者的調(diào)遣下對(duì)攻擊對(duì)象發(fā)起攻擊。由于攻擊者在幕后操縱，所以在攻擊時(shí)不會(huì)受到監(jiān)控系統(tǒng)的跟蹤，身份不容易被發(fā)現(xiàn)。2.2 ddos攻擊原理與表現(xiàn)形式 ddos攻擊的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對(duì)網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達(dá)主機(jī)；另一種為資源耗盡攻擊，主要是針對(duì)服務(wù)器主機(jī)的攻擊，即通過大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或cpu被內(nèi)核及應(yīng)用程序占完而造成無法提供

14、網(wǎng)絡(luò)服務(wù)。2.3 ddos攻擊方式本次實(shí)驗(yàn)利用icmp flood和udp flood進(jìn)行攻擊。2.3.1 icmp flood攻擊技術(shù)icmp flood 的攻擊屬于流量型攻擊方式，利用大的流量給服務(wù)器帶來較大的負(fù)載，影響服務(wù)器正常運(yùn)行。ping 使用的是echo應(yīng)答，ping的速度很慢僅為1-5包/秒，事實(shí)上icmp本身并不慢（由于icmp是sock_raw產(chǎn)生的原始報(bào)文，速度比sock_stream的syn和sock_dgram的udp要快幾乎 10倍?。?，這樣的速度是ping程序故意延遲的。并且必須等待目標(biāo)主機(jī)返回replay信息，這個(gè)過程需要花費(fèi)大量的時(shí)間。而flood洪水，是速度極

15、快的，當(dāng)一個(gè)程序發(fā)送數(shù)據(jù)包的速度達(dá)到了每秒1000個(gè)以上，它的性質(zhì)就成了洪水產(chǎn)生器，洪水?dāng)?shù)據(jù)是從洪水產(chǎn)生器里出來的。但這樣還不夠，沒有足夠的帶寬，再猛的洪水也只能像公路塞車那樣慢慢移動(dòng)，成了雞肋。要做真正的洪水，就需要有一條足夠?qū)挼母咚俟凡趴梢浴cmp flood攻擊分為三種方式：1.直接flood。直接使用自己的機(jī)器去攻擊別人，這要求有足夠的帶寬。直接攻擊會(huì)暴露自己ip地址，一般不常見。2.偽造ip的flood。它隨意偽造一個(gè)ip來flood。屬于比較隱蔽陰險(xiǎn)的flood。3.反射。用采取這種方式的第一個(gè)工具的名稱來命名的“smurf”洪水攻擊，把隱蔽性又提高了一個(gè)檔次，這種攻擊模式里，

16、最終淹沒目標(biāo)的洪水不是由攻擊者發(fā)出的，也不是偽造ip發(fā)出的，而是正常通訊的服務(wù)器發(fā)出的。smurf方式把源ip設(shè)置為受害者ip，然后向多臺(tái)服務(wù)器發(fā)送icmp報(bào)文（通常是echo請(qǐng)求），這些接收?qǐng)?bào)文的服務(wù)器被報(bào)文欺騙，向受害者返回echo應(yīng)答（type=0），導(dǎo)致垃圾阻塞受害者的門口。2.3.2 udp flood 攻擊技術(shù) udpflood是日漸猖厥的流量型dos攻擊，原理也很簡(jiǎn)單。常見的情況是利用大量udp小包沖擊dns服務(wù)器或radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。100k pps的udpflood經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個(gè)網(wǎng)段的癱瘓。由于udp協(xié)議是一種無連接的服務(wù)

17、，在udpflood攻擊中，攻擊者可發(fā)送大量偽造源ip地址的小udp包。但是，由于udp協(xié)議是無連接性的，所以只要開了一個(gè)udp的端口提供相關(guān)服務(wù)的話，那么就可針對(duì)相關(guān)的服務(wù)進(jìn)行攻擊。正常應(yīng)用情況下，udp包雙向流量會(huì)基本相等，而且大小和內(nèi)容都是隨機(jī)的，變化很大。出現(xiàn)udpflood的情況下，針對(duì)同一目標(biāo)ip的udp包在一側(cè)大量出現(xiàn)，并且內(nèi)容和大小都比較固定。2.3.3其他攻擊技術(shù)1 syn/ack flood攻擊 這種攻擊方法是經(jīng)典最有效的ddos方法，適用于各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)，主要是通過向受害主機(jī)發(fā)送大量偽造源ip和源端口的syn或ack包，導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒

18、絕服務(wù)，由于源都是偽造的，所以追蹤起來比較困難，缺點(diǎn)是實(shí)施起來有一定難度，需要高帶寬的僵尸主機(jī)支持。少量的這種攻擊會(huì)導(dǎo)致主機(jī)服務(wù)器無法訪問，但卻可以ping通，在服務(wù)器上用netstat -na命令會(huì)觀察到存在大量的syn_received狀態(tài)，大量的這種攻擊會(huì)導(dǎo)致ping失敗、tcp/ip棧失效，并會(huì)出現(xiàn)系統(tǒng)凝固現(xiàn)象，即不響應(yīng)鍵盤和鼠標(biāo)。2 tcp全連接攻擊 這種攻擊是為了繞過常規(guī)防火墻的檢查而設(shè)計(jì)的，一般情況下，常規(guī)防火墻大多具備過濾teardrop、land等dos攻擊的能力，但對(duì)于正常的tcp連接是放過的，殊不知很多網(wǎng)絡(luò)服務(wù)程序（如：iis、apache等web服務(wù)器）能接受的tcp連

19、接數(shù)是有限的，一旦有大量的tcp連接，即便是正常的，也會(huì)導(dǎo)致網(wǎng)站訪問非常緩慢甚至無法訪問，tcp全連接攻擊就是通過許多僵尸主機(jī)不斷地與受害服務(wù)器建立大量的tcp連接，直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨，從而造成拒絕服務(wù)，這種攻擊的特點(diǎn)是可繞過一般防火墻的防護(hù)而達(dá)到攻擊目的，缺點(diǎn)是需要找很多僵尸主機(jī)，并且由于僵尸主機(jī)的ip是暴露的，因此容易被追蹤。3 刷script腳本攻擊 這種攻擊主要是針對(duì)存在asp、jsp、php、cgi等腳本程序，并調(diào)用mssqlserver、mysqlserver、oracle等數(shù)據(jù)庫(kù)的網(wǎng)站系統(tǒng)而設(shè)計(jì)的，特征是和服務(wù)器建立正常的tcp連接，并不斷的向腳本程序提交查詢、

20、列表等大量耗費(fèi)數(shù)據(jù)庫(kù)資源的調(diào)用，典型的以小博大的攻擊方法。一般來說，提交一個(gè)get或post指令對(duì)客戶端的耗費(fèi)和帶寬的占用是幾乎可以忽略的，而服務(wù)器為處理此請(qǐng)求卻可能要從上萬條記錄中去查出某個(gè)記錄，這種處理過程對(duì)資源的耗費(fèi)是很大的，常見的數(shù)據(jù)庫(kù)服務(wù)器很少能支持?jǐn)?shù)百個(gè)查詢指令同時(shí)執(zhí)行，而這對(duì)于客戶端來說卻是輕而易舉的，因此攻擊者只需通過proxy代理向主機(jī)服務(wù)器大量遞交查詢指令，只需數(shù)分鐘就會(huì)把服務(wù)器資源消耗掉而導(dǎo)致拒絕服務(wù)，常見的現(xiàn)象就是網(wǎng)站慢如蝸牛、asp程序失效、php連接數(shù)據(jù)庫(kù)失敗、數(shù)據(jù)庫(kù)主程序占用cpu偏高。這種攻擊的特點(diǎn)是可以完全繞過普通的防火墻防護(hù)，輕松找一些proxy代理就可實(shí)施

21、攻擊，缺點(diǎn)是對(duì)付只有靜態(tài)頁面的網(wǎng)站效果會(huì)大打折扣，并且有些proxy會(huì)暴露攻擊者的ip地址。2.4 ddos攻擊工具 ddos攻擊實(shí)施起來有一定的難度，它要求攻擊者必須具備入侵他人計(jì)算機(jī)的能力。但是很不幸的是一些傻瓜式的黑客程序的出現(xiàn)，這些程序可以在幾秒鐘內(nèi)完成入侵和攻擊程序的安裝，使發(fā)動(dòng)ddos攻擊變成一件輕而易舉的事情。本次是進(jìn)行一次簡(jiǎn)單的實(shí)驗(yàn)，所有簡(jiǎn)單地利用了以下幾個(gè)工具。2.4.1 loic 利用傻瓜軟件就可以發(fā)動(dòng)ddos攻擊的話，為什么還要付費(fèi)呢?來自系統(tǒng)管理、網(wǎng)絡(luò)和安全協(xié)會(huì)互聯(lián)網(wǎng)風(fēng)暴中心的消息顯示，在這波針對(duì)商業(yè)公司發(fā)起的ddos攻擊浪潮中，人們開始使用低軌道離子加農(nóng)炮(low o

22、rbit ion cannon，以下簡(jiǎn)稱loic)，一種開源的dos攻擊工具來對(duì)卡或者維薩卡網(wǎng)站的端口進(jìn)行攻擊。使用者要做的事情僅僅就是用鼠標(biāo)點(diǎn)擊一下，攻擊就正式開始了。 loic是一個(gè)功能非常強(qiáng)大的工具。它可以使用大規(guī)模的垃圾流量對(duì)目標(biāo)網(wǎng)站實(shí)施攻擊，從而耗盡網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)崩潰，無法提供服務(wù)。本次實(shí)驗(yàn)利用該工具進(jìn)行udp flood攻擊操作。2.4.2 engage packetbuilder一個(gè)運(yùn)行在windows下的使用libnet和libpcap進(jìn)行發(fā)報(bào)測(cè)試的工具，具有一個(gè)簡(jiǎn)單易用的gui界面，可以完全定制各種類型的數(shù)據(jù)包，并且支持腳本自動(dòng)發(fā)送。是測(cè)試ids/防火墻的好工具。本次實(shí)驗(yàn)

23、利用該工具進(jìn)行 icmp flood攻擊操作。2.4.3其他輔助工具 在本次實(shí)驗(yàn)中，為了方便利用ddos技術(shù)進(jìn)行的攻擊，我們使用了wireshark 進(jìn)行流量包的檢測(cè)，可以區(qū)別出icmp flood和udp flood攻擊。2.5具體實(shí)驗(yàn)操作與結(jié)果本次ddos攻擊實(shí)驗(yàn)利用了兩種工具進(jìn)行icmp flood和udp flood攻擊，實(shí)驗(yàn)中使用四個(gè)主機(jī)進(jìn)行攻擊網(wǎng)關(guān)測(cè)試主機(jī)pc5地址： 192.168.82.24本主機(jī)pc4地址： 192.168.82.15網(wǎng)關(guān)地址是：192.168.82.2512.5.1實(shí)驗(yàn)結(jié)構(gòu)圖與流程圖結(jié)構(gòu)圖：流程圖：2.5.2 udp flood攻擊1.攻擊前，pc5對(duì)網(wǎng)關(guān)進(jìn)

24、行ping操作，確保成功連接并查看延時(shí)狀況2.四臺(tái)主機(jī)同時(shí)對(duì)網(wǎng)關(guān)進(jìn)行udp flood攻擊操作，下圖是我的主機(jī)操作： 3.在進(jìn)行攻擊時(shí)，pc5再進(jìn)行ping網(wǎng)關(guān)操作4.發(fā)現(xiàn)延遲很高，大部分是請(qǐng)求超時(shí)，表現(xiàn)出攻擊成功。2.5.3 icmp flood攻擊1.攻擊前，pc5對(duì)網(wǎng)關(guān)進(jìn)行ping操作，確保成功連接并查看延時(shí)狀況。2.四臺(tái)主機(jī)同時(shí)對(duì)網(wǎng)關(guān)進(jìn)行icmp flood攻擊操作，下圖是我的主機(jī)操作： 3.在進(jìn)行攻擊時(shí)，pc5再進(jìn)行ping網(wǎng)關(guān)操作4.發(fā)現(xiàn)延遲很高，或者干脆請(qǐng)求超時(shí)，表現(xiàn)出攻擊成功。兩次攻擊都很好地完成。三、ddos防御技術(shù)3.1 簡(jiǎn)述ddos防御技術(shù)對(duì)付ddos是一個(gè)系統(tǒng)工程，僅僅

25、依靠某種系統(tǒng)或產(chǎn)品防范ddos是不現(xiàn)實(shí)的，可以肯定的是，完全杜絕ddos攻擊，目前是不可能的，但通過適當(dāng)?shù)拇胧┑钟?0%的ddos攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當(dāng)?shù)霓k法增強(qiáng)了抵御ddos的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄，也就相當(dāng)于成功的抵御了ddos攻擊。 本次實(shí)訓(xùn)，老師還向我們介紹了policing and shaping。簡(jiǎn)單的說就是管制和整形： 管制和整形的作用是識(shí)別流量違約并做出響應(yīng)。管制和整形使用同樣的算法識(shí)別流量違約，但是做出的響應(yīng)不同。 管制工具對(duì)流量違約進(jìn)行即時(shí)檢查，發(fā)現(xiàn)違約后立即采取設(shè)定的動(dòng)作進(jìn)行處

26、理。例如，管制工具可以確定負(fù)載是否超出了定義的流量速率，然后對(duì)超出部分的流量進(jìn)行重新標(biāo)記或者直接丟棄。管制工具可以應(yīng)用在入接口和出接口上。 整形工具是一個(gè)與排隊(duì)機(jī)制一起工作的流量平滑工具。整形的目的是將所有的流量發(fā)送到同一個(gè)接口，并且控制流量永遠(yuǎn)不超出指定的速率，使流量平滑地通過該接口發(fā)送出去。整形工具只可以應(yīng)用在出接口上。 管制與整形相比較，具有以下區(qū)別，參見表22-3。表22-2：管制與整形比較管制policing整形shaping由于包被丟棄，引起tcp重傳通常延遲流量，很少引起tcp重傳不靈活和不可適應(yīng)通過排隊(duì)機(jī)制來適應(yīng)網(wǎng)絡(luò)擁塞入接口和出接口工具出接口工具沒有緩存的速率限制有緩存的速率

27、限制下圖能明顯顯示出2種不同的流量限制。3.2 防御原理3.2.1 car使用car(control access rate)功能限制流速率。如果管理員發(fā)現(xiàn)網(wǎng)絡(luò)中存在ddos攻擊，并通過sniffer或者其它手段得知發(fā)起ddos攻擊的數(shù)據(jù)流的類型，然后可以給該數(shù)據(jù)流設(shè)置一個(gè)上限帶寬，這樣超過了該上限的攻擊流量就被丟棄，可以保證網(wǎng)絡(luò)帶寬不被占滿。3.2.2 urpf urpf（unicast reverse path forwarding，單播反向路徑轉(zhuǎn)發(fā)）的主要功能是用于防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。源地址欺騙攻擊為入侵者構(gòu)造出一系列帶有偽造源地址的報(bào)文，對(duì)于使用基于 ip地址驗(yàn)證的應(yīng)用來

28、說，此攻擊方法可以導(dǎo)致未被授權(quán)用戶以他人身份獲得訪問系統(tǒng)的權(quán)限，甚至是以管理員權(quán)限來訪問。即使響應(yīng)報(bào)文不能達(dá)到攻擊者，同樣也會(huì)造成對(duì)被攻擊對(duì)象的破壞。如圖 1所示，在router a上偽造源地址為 2.2.2.1/8的報(bào)文，向服務(wù)器router b發(fā)起請(qǐng)求，router b響應(yīng)請(qǐng)求時(shí)將向真正的“2.2.2.1/8”發(fā)送報(bào)文。這種非法報(bào)文對(duì)routerb和router c都造成了攻擊。urpf技術(shù)可以應(yīng)用在上述環(huán)境中，阻止基于源地址欺騙的攻擊。3.3 利用car進(jìn)行ddos防御實(shí)驗(yàn)實(shí)際操作與結(jié)果1.本次car防范是利用gns3進(jìn)行實(shí)驗(yàn)的，首先在gns3中鋪設(shè)結(jié)構(gòu)，將本地物理網(wǎng)卡配置到c 1，將虛

29、擬網(wǎng)卡vmnet1配置到c2上，對(duì)r1兩個(gè)端口進(jìn)行配置： f0/0: 192.168.82.144 f0/1: 192.168.100.144配置好后，如下圖所示，2.打開虛擬機(jī)，選好網(wǎng)卡，運(yùn)行cmd，ping 192.168.100.144,能夠成功ping通。ping 192.168.82.144，也能成功ping通。3.在gns3中的路由器上輸入限速命令，并將其應(yīng)用至f0/1端口。4.配置后在虛擬機(jī)中ping 192.169.82.144 -t未發(fā)現(xiàn)丟包現(xiàn)象，在r1中特權(quán)模式下show interfaces rate-limit，未出現(xiàn)丟包現(xiàn)象。4.配置后進(jìn)行ping 192.168.82.144 t l 3100，由于之前的限速配置時(shí)將限制在1500byte，偶爾允許2000bype通過。但這里是3100，所以出現(xiàn)大量丟包。限速后，在gns3中r1輸入show interfaces rate-limit，出現(xiàn)丟包現(xiàn)象如下圖所示。由上可知，本次防范實(shí)驗(yàn)成功完