《防范DDoS攻击的流量预警与提示程序开发报告》由会员分享,可在线阅读,更多相关《防范DDoS攻击的流量预警与提示程序开发报告(24页珍藏版)》请在金锄头文库上搜索。
1、防范防范 DDoSDDoS 攻击的流量预警与提示程攻击的流量预警与提示程序开发报告序开发报告程序的预警弹窗程序的预警弹窗作者作者 :袁丽欢:袁丽欢导师导师 : : 姜岸、张帅舸、李学军姜岸、张帅舸、李学军学校学校 : : 四川省雅安中学四川省雅安中学20162016 年年 1 1 月月版权声明版权声明1、防范 DDoS 攻击的流量预警与提示程序开发报告(以下简称“本报告”)版权归作者所有,包括报告中的文字及图像。2、读者可以在其他论文或研究报告中引用本报告的内容,但必须注明出处,以及作者。3、引用本报告的内容,不得修改作者、导师、学校信息,以及该版权声明。4、未经作者允许,不得出版或大量印发本
2、报告。5、作者水平有限,错误、疏漏在所难免,请不要编辑内容,发现错误和作者联系。欢迎读者对本报告提出批评建议。6、该项目已经在四川省第三十一届青少年科技创新大赛中获奖。联系作者 :E-mail :1982319643#(请用替换邮件地址中的 #)袁丽欢2016 年 5 月摘要摘要本文综述研究 DDoS 攻击原理和手法的文献,并走访网吧、打印店等局域网用户,确认在 DDoS 防御的流量预警软件方面,尚待有效开发利用。通过自己设计并进行模拟 DDoS 攻击的实验,分析实验样本在遭受 DDoS 攻击时的症状表现,进行研究,寻找警示提醒的原理、切入点和方法手段。基于网络上开放源代码的抓包技术,用简单、
3、多线程、安全的 Java 语言开发防范DDoS 攻击的流量预警、提示程序,通过功能强大的 Eclipse 集成开发环境,设计了友好的原创用户界面,并使这款软件有了实际的运用检验经历。对已有应用实践过程客观总结,指出该程序的特点优势与进一步开发的方向:1、 特点优势:该程序重在监控和预警,而非操控主机抵抗 DDoS 攻击,不会因控制失误影响主机正常工作,对资源的占用较小。这样可以解决那些配置较差的网络主机难以运行专业防火墙,而使管理员无法及时发现 DDoS 攻击的问题。2、 程序尚待完善、深入开发的方面应该还比较多,比如,在给受攻击的用户弹窗提醒时,转给网警报警;扫描、分析、拦截虚假数据包;进一
4、步兼容服务器操作系统,能适用于大型网络系统的监控与管理等等。该软件已征得送北京奇虎 360 科技公司进行测试和安全认证的许可。关键词 : DDoS 防范、Java 、程序设计 、抓包技术 、安全预警 、提示弹窗、开发方向一、一、文献综述文献综述1、问题的提出平时在网上浏览一些科技类的新闻报道,经常看到消息称某公司的网络系统遭到大规模的 DDoS 攻击,导致系统瘫痪,长时间无法正常向用户提供网络服务。因为我自己的电脑也曾经遭受过类似的攻击,于是很好奇,在今天这个跨入互联网+的时代,云计算、网络安全技术已经取得重大突破,对于层出不穷的计算机和网络系统漏洞,有 360 补天、乌云这一类漏洞响应平台和
5、大量的“白帽团队”在及时检测并协助存在漏洞的厂商修复,通过系统漏洞进行的网络攻击也少有见报道。为什么以前不怎么受人重视的 DDoS,会在近几年迅速兴起?是什么样的特点,使它能造成比利用漏洞进行的攻击更严重的影响?有没有成熟的方案可以抵抗和防御 DDoS 攻击呢?通过查阅相关书籍资料和网络搜索,我对 DDoS 攻击以及现有的防御方案有了简单的了解。2、DDoS 攻击DDoS 是英文 Distributed Denial Of Service(分布式拒绝服务)的缩写,这种攻击最早可追溯到 1996 年,在中国 2002 年开始频繁出现。其前身是拒绝服务攻击(英文缩写为DoS)。拒绝服务攻击的原理是
6、,攻击者通过各种手段向目标主机发起网络请求,消耗其资源,当受害主机的资源被耗尽,它就会停止响应甚至崩溃,或者发送大量数据包造成网络堵塞,致使合法用户不能够使用该网络主机提供的服务。举个例子,假设受害服务器的数据处理能力是每秒钟处理 1000 个数据包,攻击者操控高性能的电脑每秒发送 800 个左右的数据包,那么受害服务器就会分配大量的系统资源,用于响应他的请求,提供给普通用户的服务资源将大大降低。而网络服务器并不是只向区区几个用户提供服务,这就造成了大部分用户的服务请求无法响应。如果攻击者再增大攻击的强度,那么发送的数据包就达到了它的处理极限,受害服务器就有可能完全崩溃。另外,攻击数据包组成的
7、洪水一般的流量会占满受害服务器的宽带,即便受害服务器可以抵抗,正常访问的流量也将无法进入,这便达到了使其拒绝服务的目的。但是,要做到以上这些事情,单靠攻击者一台电脑是无法在短时间内完成的,而且网络服务器的性能绝对优于个人电脑,一对一的攻击很多时候难以奏效。通过入侵另一台高性能的网络服务器,然后远程控制它发动攻击,攻击者需要长期了解入侵目标(或称之为:跳板)的信息,并花大量的精力研究其存在的还未被发现的漏洞,才能成功入侵并种植木马,这些对入侵者的水平要求较高。而且大型网络服务器都有专业的管理员维护,配置了入侵检测系统,攻击者很容易暴露自己的行踪。所以,这也使得发动攻击的成本比较高,不适合大范围使
8、用。近些年,个人电脑日益普及,其性能和宽带都得到了很大的提升,C/S(客户端/服务器)架构技术逐渐发展完善,伴随着这些情况的出现,分布式拒绝服务攻击产生了。所谓分布式,就是攻击者先制作好 DOS 木马,通过网页挂马或邮件传播等形式感染大量普通用户的电脑。日后,需要发动 DDoS 攻击时,攻击者就严密的部署和调整这些分布在不同 IP地址的计算机,控制它们在同一时间向受害主机发起各种形式的请求,消耗其资源。这样,即使一台个人电脑的攻击效果并不明显,但几百台电脑合力攻击,也会很容易达到目的。打个比方,如果将受害服务器比作一头大象,将发动攻击的个人电脑比作狼,单独的一只狼肯定难以制服它,但是在有组织的
9、狼群轮番攻击下,大象也会很快耗尽体力,最终被狼群分食。另外,与普通利用漏洞进行的网络攻击相比,DDoS 攻击拥有的许多特点,使得它更适合互联网时代,比如:1. 隐蔽性强由于攻击利用的是分布在各地的个人电脑,如果受害主机的管理员不仔细审查,只会认为这时有大量的用户访问,不会意识到已经遭受了攻击。为了躲避追踪,攻击者会选择专门的代理主机来调度其它发动攻击的傀儡机(或称之为:肉鸡)。也就是说,攻击者可以在任意网络终端向代理主机下达攻击指令,整个攻击过程就由代理主机控制,当然攻击者也会时刻关注攻击进展,及时下达相应的指令。如果攻击遭到追踪,受害方也只会查到代理主机。2. 成本低廉大规模僵尸网络(受攻击
10、者控制的计算机群)的组建,降低了发动 DDoS 攻击的成本,几百块钱就能租到大量性能强大的傀儡机。另外,DDoS 攻击一般不会利用目标系统的任何漏洞,这就免去了攻击前繁琐的的扫描和探测,节省时间,技术难度也不是很高。3. 威力强大DDoS 是一种暴力的攻击手段。它不像网络漏洞,可以通过系统补丁进行修复,只要有人发动,它就是无法避免的,而且无论成功与否,都会给受害方造成不小的麻烦。所以DDoS 攻击至今仍是业界难以解决的网络安全问题之一。3、DDoS 攻击的常见手法1. SYN FloodSYN-Flood 攻击是当前网络上最为经典的拒绝服务攻击,它利用了 TCP 协议实现上的一个缺陷,通过向网
11、络服务所在端口发送大量的伪造源地址的数据包,造成目标服务器中的半开连接(两台电脑在建立 TCP 连接的三次通信过程中,一方发送了 TCP 连接请求,但还没有得到对方应答的状态,即连接尚未完全建立起来,双方还无法进行数据传输的状态。)队列被占满,从而阻止其他合法用户进行访问。正常建立 TCP 连接一般是这样的: 客户机向服务器发送请求,服务器接到后返回询问信息,客户端再发送确认信息,二者就能建立可靠连接实现数据传输。而 SYN-Flood 攻击则不会完成 TCP 三次通信的第三步,也就是不发送确认连接的信息给服务器。这样,二者无法进行数据传输,但服务器不会立即放弃,它会不停的重试并等待一定的时间
12、后再放弃这个未完成的连接,这段时间叫 SYN timeout,大约 75 秒钟。由于半开连接的数量有限(很多系统的默认值为 1024),如果攻击者大量发送这种伪造源地址的 SYN 请求,服务器将调用非常多的资源来处理,因为正常用户的请求比率很小,就不会留太多空余的资源去处理普通用户的正常请求,最终该服务器无法正常工作,从而产生拒绝服务的状况。2. 反射攻击反射攻击是指攻击者控制傀儡机伪造成受害者的 IP 向网络上一些 IP 广播地址发送大量特定数据包,比如 Ping 回应请求,由于多数的网络主机都会监听该广播地址,当收到一条指向该地址的 Ping 包以后,全都会向请求包的 IP 地址回应一条
13、ICMP 应答信息。这样一来,傀儡机每发送一个数据包,受害主机都会收到很多的回应包,从而占用双方的系统资源和带宽,影响其对正常用户提供的服务。而且,反射攻击并不限于 Ping 请求回应这种方法。值得一提的是,某些服务器上安装了比较厉害的防火墙,只要检测到有远程主机在对它进行入侵扫描就会发送特殊数据包,造成系统瘫痪。如果攻击者利用它们来做反射器,受害服务器拒绝服务的效果会更明显。3. 空连接攻击空连接攻击是一种能躲避防火墙阻挡的 DDoS 攻击方式。攻击者操控傀儡机用真实的IP 对目标服务器发起大规模的连接,之后却不传输任何数据,只是强制性地保持连接不中断,当空连接数达到一定规模,正常用户的连接
14、请求将无法建立,攻击者的目的就达到了。4、DDoS 攻击的防御方案一旦遭受 DDoS 攻击,都会造成不小的麻烦甚至损失。现有的技术也无法保证万无一失,但通过一些积极的措施提升服务器的性能,还是可以有效降低网络服务被 DDoS 攻击影响的风险。这些措施有:1、升级硬件加大网络服务器的运行内存、硬盘储存空间以及网络带宽,升级处理器。使服务器除了提供日常的服务,还留有足够的冗余,这样就不至于被一些小流量的 DDoS 攻击导致拒绝服务。2、保证服务器系统的安全定期对服务器进行安全检测,及时修补操作系统漏洞。中国计算机紧急响应协调中心发现,几乎所有受到 DDoS 攻击的系统都没有打上补丁。关闭服务器上未
15、使用的服务和端口,对关键的服务要做好备份。安装正版的服务器端软件,对于自主研发的服务端程序,做好安全性和稳定性相关的测试。同时,增加客户端软件的功能,让它能自行处理用户的一些特定操作,从而减少使用过程中与服务器通信。3.隐藏服务器真实 IP 对于网站服务器可以前端加 CDN 中转(免费的有 360 网站卫士等),所有解析的域名都使用 CDN 的 IP 地址。另外,防止服务器对外传送信息泄漏 IP。比如,不使用服务器发送邮件,如果非要发送邮件,可以通过第三方代理发送,这样对外显示的是代理的 IP。 5、 采用静态网页把网站尽可能做成静态页面,不仅能大大提高抗 DDoS 攻击能力,而且还给黑客入侵
16、带来不少麻烦。6、安装 DDoS 防火墙专业的 DDoS 防火墙可以在服务器和外部网络之间构造保护屏障,流入流出的所有数据包均要经过此防火墙,它能够识别和过滤攻击的数据包。5、问题的深入虽然从现有的资料中整理出了以上这些解决方案,但是它们的可行性怎样,技术上存在哪些缺陷?对于 DDoS 攻击的防御效果怎样?经济成本有多高,是否适合大范围使用?带着这些问题,我在网络上进行了相关搜索,并走访了一些业内人士。据他们介绍,只要企业对外提供网络服务,DDoS 攻击就无法避免和防御,只能说是抵抗。上面的方案用于抵抗早期的 DDoS 攻击有一定的效果,但是,目前 DDoS 攻击的规模和流量更大,持续时间更长,需要更先进的技术才能成功抵抗,在这一方面,“云防御”有很大的优势。而且,接入大型云服务器群的成本并不是很高,适合中小型企业。我在网上对云防御进行了搜索,找到许多成功防御 DDoS 攻击的案例,以下是相关的新闻报道。01 来源 :安全牛288G 带宽,160 万次请求,阿里云再遭巨型 DDoS 攻击2015-06-23 10:44核心提示: 阿里云用户遭受多次超大流
