DOS与DDOS攻击与防范毕业设计(论文).doc
《DOS与DDOS攻击与防范毕业设计(论文).doc》由会员分享,可在线阅读,更多相关《DOS与DDOS攻击与防范毕业设计(论文).doc(54页珍藏版)》请在三一文库上搜索。
1、四川职业技术学院计科系论文 毕业设计(论文)题目:DOS与DDOS攻击与防范毕业设计(论文)原创性声明和使用授权说明原创性声明本人郑重承诺:所呈交的毕业设计(论文),是我个人在指导教师的指导下进行的研究工作及取得的成果。尽我所知,除文中特别加以标注和致谢的地方外,不包含其他人或组织已经发表或公布过的研究成果,也不包含我为获得 及其它教育机构的学位或学历而使用过的材料。对本研究提供过帮助和做出过贡献的个人或集体,均已在文中作了明确的说明并表示了谢意。作 者 签 名: 日 期: 指导教师签名: 日期: 使用授权说明本人完全了解 大学关于收集、保存、使用毕业设计(论文)的规定,即:按照学校要求提交毕
2、业设计(论文)的印刷本和电子版本;学校有权保存毕业设计(论文)的印刷本和电子版,并提供目录检索与阅览服务;学校可以采用影印、缩印、数字化或其它复制手段保存论文;在不以赢利为目的前提下,学校可以公布论文的部分或全部内容。作者签名: 日 期: 学位论文原创性声明本人郑重声明:所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。除了文中特别加以标注引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。作者签名: 日期: 年 月 日学位论文版权使用授权书本学位论文作者完全
3、了解学校有关保留、使用学位论文的规定,同意学校保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本人授权 大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。涉密论文按学校规定处理。作者签名:日期: 年 月 日导师签名: 日期: 年 月 日注 意 事 项1.设计(论文)的内容包括:1)封面(按教务处制定的标准封面格式制作)2)原创性声明3)中文摘要(300字左右)、关键词4)外文摘要、关键词 5)目次页(附件不统一编入)6)论文主体部分:引言(或绪论)、正文、结论7)参考文献8)致谢9)附录(对论文支持必要
4、时)2.论文字数要求:理工类设计(论文)正文字数不少于1万字(不包括图纸、程序清单等),文科类论文正文字数不少于1.2万字。3.附件包括:任务书、开题报告、外文译文、译文原文(复印件)。4.文字、图表要求:1)文字通顺,语言流畅,书写字迹工整,打印字体及大小符合要求,无错别字,不准请他人代写2)工程设计类题目的图纸,要求部分用尺规绘制,部分用计算机绘制,所有图纸应符合国家技术标准规范。图表整洁,布局合理,文字注释必须使用工程字书写,不准用徒手画3)毕业论文须用A4单面打印,论文50页以上的双面打印4)图表应绘制于无格子的页面上5)软件工程类课题应有程序清单,并提供电子文档5.装订顺序1)设计(
5、论文)2)附件:按照任务书、开题报告、外文译文、译文原文(复印件)次序装订目录目录1摘要:1前言:2第一章 网络安全31.1 什么是网络安全?31.2 安全特征31.3 安全体系31. 4 小结4第二章 讲述DOS(拒绝服务)52.1 什么是DOS攻击?52.2 DOS攻击概念52.3 DOS攻击的原理及方式52.4 攻击方式62.4.1 SYN Flood攻击62.4.2 Land 攻击72.4.3 Smurf攻击82.4.4 UDP攻击82.5 DOS攻击分类92.5.1 利用协议中的漏洞92.5.2 利用软件实现的缺陷102.5.4 欺骗型攻击102.5.5 DOS攻击的危害性及其难以防
6、范的原因102.5.6 DOS攻击特点112.5.7其他的DOS攻击112.6 DOS攻击的防范技术112.6.1 加固操作系统122.6.2 利用防火墙122.6.3 利用负载均衡技术122.6.4 带宽限制和QoS保证122.6.5 防火墙防御122.6.6 如何阻挡“拒绝服务”的攻击132.2.7 案例分析一132.2.8 案例分析二162.7 小结:17第三章讲述DDOS(分布式拒绝服务)183.1 什么是DDOS攻击?183.2 分布式拒绝服务的起源183.3 DDOS的攻击原理193.4 DDOS攻击的目的213.5 DDOS攻击的主要形式213.6 常见的DDOS攻击类型有四种:
7、213.7 DDOS攻击种类223.7.1 TCP全连接攻击223.7.2 CP混乱数据包攻击223.7.3 用UDP协议的攻击233.7.4 WEB Server多连接攻击233.7.5 WEB Server变种攻击233.7.6 针对游戏服务器的攻击233.7.7 SYN Flood攻击243.7.8 ACK Flood攻击243.8 DDOS的表现243.8.1被DDOS攻击时的现象243.8.2 被DDOS攻击的表现原理243.8.3 DDOS的表现形式253.8.4 判断如何被DDOS攻击的检查253.9 DDOS防范方法及防御安全策略263.9.1 过滤广播欺骗(Broadcast
8、 Spoofing)273.9.2 利用反向路径转发(RPF)过滤源IP欺骗273.9.3 过滤TCP Syn Flooding(Syn洪水攻击)273.9.4 设置Rate Limit进行过滤273.9.5 手工防护273.9.6 退让策略283.9.7 路由器283.9.8 防火墙Internet283.9.9 入侵检测293.10 几种常用的安全策略293.11 DDOS防御的方法:303.11.1 对于DDOS防御的理解303.11.2 采用高性能的网络设备303.11.3 尽量避免NAT的使用303.11.4 充足的网络带宽保证313.11.5 升级主机服务器硬件313.11.6 把
9、网站做成静态页面313.11.7 增强操作系统的TCP/IP栈311、案列分析一322、案例分析二353.12 小结:35第四章总结DOS以及DDOS以及提供的工具364.1 概述总结DOS与DDOS364.2 DOS与DDOS攻击常见工具364.3 小结:38第五章讲述DOS攻击与DDOS攻击技术和防范技术今后的发展趋势395.1 讲述DOS的技术未来发展趋势395.2 未来抵御DOS攻击技术措施391.IPSEC392.HIP403.IPV640总结41致谢42参考文献43 46DOS与DDOS攻击与防范摘要:随着电子商务的兴起,对网站的实时性要求越来越高,DOS或DDOS对网站的威胁越来
10、越大。互联网的不断发展,对人们的学习和生活产生了巨大的影响和推动。人们对互联网的利用和依赖日益增加,人们通过网络互相通信,共享资源。对互联网的安全性提出了更高的要求。但由于各种网络系统及有关软件硬件的缺陷以及系统管理方面的漏洞,导致了许多安全隐患,出现了许多严重的网络安全问题,比如破坏信息,盗取机要信息,造成网络瘫痪,传播病毒等。网络安全包括三个主要方面:保密性、完整性和有效性,而DOS与DDOS攻击针对的是安全的第三个方面有效性,有效性是用来预防、检测或阻止对信息和系统的未被授权的访问,并且对合法用户提供正常服务。其中DDOS攻击难以防范,而从攻击者的角度来看,攻击是非常容易的。关键词:;攻
11、击;防范前言: 随着Internet的应用越来越广泛,也为大家带来了方便,也为DOS与DDOS攻击创造了极为有利的条件。随着计算机技术的迅速发展和互联网应用的日益普及,网络已经成为我们获取信息、进行交流的主要渠道之一,因而网络安全也显得越来越重要。近年来,拒绝服务攻击已经成为最为严重的网络威胁之一,它不仅对网络社会具有极大的危害性,也是政治和军事对抗的重要手段。最常见的DOS攻击有计算机网络带宽攻击和连通性攻击,特别是DDOS攻击对因特网构成了巨大的威胁。目前,DOS和DDOS攻击已成为一种遍布全球的系统漏洞攻击方法,无数网络用户都受到这种攻击的侵害,造成了巨大经济损失。随着网络应用的日益广泛
12、,网络结构框架已经暴露在众多网络安全的威胁之下,其中拒绝服务(DOS)攻击和基于DOS的分布式拒绝服务(DDOS)攻击最为常见。随着高速网络的不断普及,尤其是随着近年来网络蠕虫的不断发展,更大规模DDOS攻击的威胁也越来越大。第一章 网络安全1.1 什么是网络安全?网络的安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。而从企业的角度来说,最重要的就是内部信息上的安全加密以及保护
13、。1.2 安全特征1.保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。2.完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。3.可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;4.可控性:对信息的传播及内容具有控制能力。1.3 安全体系1.访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。2.检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。3.攻击监控:
14、通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。4.加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息。5.认证:良好的认证体系可防止攻击者假冒合法用户。6.备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。7.多层防御,攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。8.隐藏内部信息,使攻击者不能了解系统内的基本情况。9.设立安全监控中心,为信息系统提供安全体系管理、监控,渠护及紧急情况服务。1. 4 小结:本章主要介绍了网络安全的意义和目的,并对一下攻击和防范做了进一
15、步的分析。第二章 讲述DOS(拒绝服务)2.1 什么是DOS攻击?DOS 攻 击 (Denial of Service,简称DOS)即拒绝服务攻击,是指攻击者通过消耗受害网络的带宽,消耗受害主机的系统资源,发掘编程缺陷,提供虚假路由或DNS信息,使被攻击目标不能正常工作。2.2 DOS攻击概念 WWW安全FAQ1给DOS攻击下的定义为:有计划的破坏一台计算机或者网络,使得其不能够提供正常服务的攻击。DOS攻击发生在访问一台计算机时,或者网络资源被有意的封锁或者降级时。这类攻击不需要直接或者永久的破坏数据,但是它们故意破坏资源的可用性。最普通的DOS攻击的目标是计算机网络带宽或者是网络的连通性。
16、带宽攻击是用很大的流量来淹没可用的网络资源,从而合法用户的请求得不到响应,导致可用性下降。网络连通性攻击是用大量的连接请求来耗尽计算机可用的操作系统资源,导致计算机不能够再处理正常的用户请求。DOS攻击广义上指任何导致被攻击的服务器不能正常提供服务的攻击方式。具体而言,DOS攻击是指攻击网络协议实现的缺陷或通过各种手段耗尽被攻击对象的资源, 以使得被攻击计算机或网络无法提供正常的服务,直至系统停止响应甚至崩溃的攻击方式。DOS攻击的服务资源包括网络带宽, 文件系统空间容量,开放的进程或者允许的连接等。2.3 DOS攻击的原理及方式 要对服务器实施拒绝服务攻击, 主要有以下两种方法: 迫使服务器
17、的缓冲区满, 不接收新的请求; 使用IP欺骗, 迫使服务器把合法用户的连接复位, 影响合法用户的连接, 这是DOS攻击实施的基本思想。为便于理解,以下介绍一个简单的DOS攻击基本过程。如图1所示, 攻击者先向受害者发送大量带有虚假地址的请求,受害者发送回复信息后等待回传信息。由于是伪造地址,所以受害者一直等不到回传信息,分配给这次请求的资源就始终不被释放。当受害者等待一定时间后, 连接会因超时被切断,此时攻击者会再度传送一批伪地址的新请求,这样反复进行直至受害者资源被耗尽,最终导致受害者系统瘫痪。图1 DOS攻击的基本原理2.4 攻击方式2.4.1 SYN Flood攻击SYN Flood攻击
18、是一种最常见的 DOS攻击手段,它利用TCP/IP连接的 “三次握手”过程,通过虚假IP, 源地址发送大量 SYN 数据包,请求连接到被攻击方的一个或多个端口。当被攻击方按照约定向这些虚假IP,地址发送确认数据包后,等待对方连接,虚假的IP 源地址将不给予响应。这样,连接请求将一直保存在系统缓存中直到超时。如果系统资源被大量此类未完成的连接占用,系统性能自然会下降。后续正常的TCP 连接请求也会因等待队列填满而被丢弃,造成服务器拒绝服务的现象。 Syn Flood原理 - 三次握手 ,Syn Flood利用了TCP/IP协议的固有漏洞。面向连接的TCP三次握手是Syn Flood存在的基础。图
19、2 SYN Flood攻击 如图2,在第一步中,客户端向服务端提出连接请求。这时TCP SYN标志置位。客户端告诉服务端序列号区域合法,需要检查。客户端在TCP报头的序列号区中插入自己的ISN。服务端收到该TCP分段后,在第二步以自己的ISN回应(SYN标志置位),同时确认收到客户端的第一个TCP分段(ACK标志置位)。在第三步中,客户端确认收到服务端的ISN(ACK标志置位)。到此为止建立完整的TCP连接,开始全双工模式的数据传输过程,而Syn Flood攻击者不会完成三次握手。 图3 三次握手如图3,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报
20、文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源-数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大
21、,最后的结果往往是堆栈溢出崩溃-即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称做:服务器端受到了SYN Flood攻击(SYN洪水攻击)。 2.4.2 Land 攻击 Land 攻击是利用向目标主机发送大量的源地址与目标地址相同的数据包,造成目标主机解析 Land包时占用大量系统资源,从而使网络功能完全瘫痪的攻击手段。其方法是将一个特别设计的SYN包中的源地址和目标地址都设置成某个被攻击服务器的地址,这样服务器接收到该数据包后会向自己发送一个SYNA
22、CK 回应包,SYNACK又引起一个发送给自己的ACK包,并创建一个空连接。每个这样的空连接到将暂存在服务器中,当队列足够长时,正常的连接请求将被丢弃,造成服务器拒绝服务的现象。2.4.3 Smurf攻击 如图4所示,Smurf攻击是一种放大效果的ICMP攻击方式,其方法是攻击者伪装成被攻击者向某个网络上的广播设备发送请求,该广播设备会将这个请求转发到该网络的其他广播设备,导致这些设备都向被攻击者发出回应,从而达到以较小代价引发大量攻击的目的。例如,攻击者冒充被攻击者的IP使用PING来对一个C类网络的广播地址发送ICMP包,该网络上的254台主机就会对被攻击者的IP发送ICMP回应包,这样攻
23、击者的攻击行为就被放大了 254 倍。ICMP Smurf 的袭击加深了ICMP的泛滥程度,导致了在一个数据包产生成千的ICMP数据包发送到一个根本不需要它们的主机中去,传输多重信息包的服务器用作Smurf 的放大器。图4工作原理2.4.4 UDP攻击 UDP攻击是指通过发送UDP数据包来发动攻击的方式。在UDP Flood攻击中,攻击者发送大量虚假源IP的UDP数据包或畸形UDP数据包,从而使被攻击者不能提供正常的服务,甚至造成系统资源耗尽、系统死机。由于UDP协议是一种无连接的服务,只要被攻击者开放有一个UDP服务端口,即可针对该服务发动攻击。UDP攻击通常可分为UDP Flood 攻击、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DOS DDOS 攻击 防范 毕业设计 论文
链接地址:https://www.31doc.com/p-2370970.html