ddos攻击web服务环境的虚拟.docx
- 文档编号:4617803
- 上传时间:2022-12-07
- 格式:DOCX
- 页数:28
- 大小:238.79KB
ddos攻击web服务环境的虚拟.docx
《ddos攻击web服务环境的虚拟.docx》由会员分享,可在线阅读,更多相关《ddos攻击web服务环境的虚拟.docx(28页珍藏版)》请在冰豆网上搜索。
ddos攻击web服务环境的虚拟
ddos攻击web服务环境的虚拟
摘要
分布式拒绝服务(DDoS)攻击是当今网络安全领域最难解决的问题之一。
其中重要的缘故在于网络上大量不安全的机器的存在,其次是DDoS攻击工具的广泛可获得性以及攻击者通常采纳假冒的源IP地址。
关于大型的网络来说,拒绝服务攻击专门可能会给企业造成庞大的苦恼,甚至造成企业网络的瘫痪。
攻击发生时,攻击者短时刻内向服务器申请大量的连接,造成服务器无法完成如此多的客户端连接要求,从而无法提供服务。
因此,研究DDoS攻击及其计策是专门重要的。
本文分析了DDoS攻击的攻击机制,攻击方法,常用DDoS攻击类型等,并在web服务器上加入承诺进入操纵模块,成功配置了有效的DDoS攻击环境。
对常用的三种DDoS攻击方式进行了虚拟和研究,分析了它们各自的优缺点。
针对当前网络安全的不足和攻击类型的多样化,本文提出了一个攻击成效理想的DDoS攻击web服务环境的虚拟。
如此,能够利用最少的资源获得最大程度的攻击强度。
关键词:
分布式拒绝服务攻击;web服务;承诺进入操纵;会话操纵机制
DDoSAttackWebServer’sEnvironmentVirtual
Abstract
DDoSattackisoneofthemostdifficultproblemsinnetworksecurityfield.Themostimportantreasonisthebeingofmanyunsafemachinesinnetwork.DDoSattacktoolsabroadachievedandattackusuallyadoptcronkIPaddress.Forlargenetwork,DDoSattacksarelikelytogivecompaniesahugetrouble,andevencausedtheparalysisofthecorporatenetwork.Whenattack,theattackertotheserverforashortperiodoftimealargenumberofconnections,causingtheservercouldnotbecompletedsomanyclientrequests,thusunabletoprovideservices.So,researchtheDDoSattackandcountermeasureisveryimportant.
ThisarticleanalysesDDoSattack’smechanism,methodandthetypethatincommonuse.Also,weaddtheadmissioncontrolleronthewebserverandsuccessfullyconfiguresthemosteffectDDoSattackenvironmentandcanbaseonattackeffectadjustattackstream.ThisarticlehasbeendummiedandresearchedthethreemodesoftheDDoSattack,andanalyseseachothermeritandflaw.
Aimatnowadaysnetworksafety’slackandattacktype’sdiversification,thisarticlebringsforwardaveryperfectattackeffectoftheDDoSattackenvironment.So,itcanusetheleastresourcegainthewholehogattackintension.
Keywords:
DistributedDenyofService;webserver;admissioncontroller;seesioncontrol
名目
1.概述
1.1研究背景和意义
分布式拒绝服务DDoS(DistributedDenialofService)攻击是一种分布、协作的大规模攻击方式,它借助于互联网上数以万计的被植入主控或守护进程的攻击主机,对目标同时发起大规模攻击,从而达到瘫痪目标服务器的目的。
DDoS攻击最早显现在1999年夏天[1],当时只是在黑客站点上进行的一种理论上的探讨。
到2000年2月,Yahoo、Buy、Ebay、CNN等美国一些知名网站均遭受到DDoS攻击,在短短几天之内,致使有的站点停止服务达几个小时甚至几十个小时,据统计所造成的经济缺失可能在12亿美元以上。
此后,DDoS攻击便频频爆发。
2002年1月,grc网站被一种更先进的恶意洪水数据包攻击,这种攻击被称之为分布式反射服务攻击(DRDoS,DistributedReflectionDenialofService)[2]。
2002年10月,位于美国、瑞典、英国、日本等国家和地区的13个根名服务器(国际互联网系统的核心),遭受了有史以来规模最大、最复杂的一次DDoS攻击,前后连续了1小时左右,差点让互联网崩溃[3]。
2005年1月,权威IT媒体«IT时代周刊»网站更是遭到了史无前例的长达200多个小时的连续DDoS攻击,网站内容更新不到5分钟,网站便突然无法扫瞄,与网站使用的同一服务器邮件系统也同时瘫痪。
上述攻击案例说明我们的网络环境依旧恶劣,网络上采纳DDoS方法的攻击破坏活动专门猖獗,DDoS攻击差不多成为互联网面临的最为严峻的威逼之一。
一方面,DDoS攻击由于实现简单、难于防范和破坏性极大[4]而被广泛应用;另一方面,国内外研究人员提出的诸多防备方法[7][8][9]中,专门少能够及时阻止正在进行的攻击并快速有效地确定攻击源。
由此可见,切实可行地解决DDoS攻击防备问题显得尤为迫切。
1.2DDoS攻击的研究现状
由于当前的互联网仍旧是基于TCP/IP协议的,而且TCP/IP协议在制定时并没有考虑
安全因素,因此存在专门多安全漏洞:
源IP地址能够任意改变、无限制的SYN连接以及缺
乏对信息源的有效认证等,这些差不多上引起拒绝报务(DoS)攻击的关键因素。
DDoS攻击并不是针对某一专门系统,而是对基于TCP/IP协议的所有系统均可进行拒绝服务攻击,这也是这种攻击方法为何如此普遍的缘故之一。
面对日益严峻的DDoS攻击的威逼,国内外研究人员一直致力于这方面研究,并取得
了一系列成果。
基于DDoS攻击报文的源IP地址伪造特性,能够采纳入口包过滤技术,假如该技术能被全面部署的话,将能够有效地杜绝DDoS攻击,然而该方案的部署难度太大。
鉴于此,Park和Lee[5]提出了基于路由的包过滤机制,该技术使用BGP(BorderGatewayProtocol)信息来识别源IP地址伪造报文,实验结果显示:
只要在18%的Internet核心路由器上部署该机制,就能较有效地防范DDoS攻击,然而该方案的部署仍旧存在较大困难。
2003年AbrahamYaar[6]提出的PI方法是一种新的包标记算法,它的要紧思想是将路径信息植入每一个包中(通过相同路径的每一个包具有相同的标识信息),使得受害者能据此识别来自网络的每一个包,不管其源址是否为欺诈IP。
当存在有数以千计的攻击者参与的大规模DDoS攻击时,该方案运行良好,即使在网络中只有一半路由器部署了该方案,防备也是专门有效的,然而,当攻击路径被识别出来后,受害者必须得信任上一跳路由器来执行包过滤机制。
2004年AntonioChallita[7]提出了分组漏斗(PacketFunning)算法,通过限制流向访问链接的活动IP的数目达到限制拥塞的目的,与首次显现的独立IP地址相比,间隔专门小或连续的IP地址的分组会被延迟发送,直到链接的带宽承诺发送。
该方法易于实现,不需要各节点间的协作,即使网络负载重,仅会引起轻微的传输延迟,但它不能从信息流中识别出合法信息。
贝尔实验室的Bellovin[8]提出在路由中使用ICMPTracebackMessages,用于追踪真正的攻击源。
该方案要求路由器额外地向报文的目的IP地址发送ICMPTracebackMessages,从而使接收方能够重建攻击流的路径。
同年,Barros[9]对该方案做了改进,以适用于反射式DDoS攻击情形[10]。
1.3DDoS攻击的防备计策研究现状
1.3.1sessioncontrol机制
在目前的互联网,拥塞操纵还在包级的水平。
还没有机制来防止积聚了大量的数据流进入路由器。
现有的拥塞操纵机制在路由器与来源回路之间采纳丢包的方法来操纵发送的数据包数量迈向一个拥挤的路由器连接。
他们既不是防止大量数据流进入,也不阻止新的流来加入该网络,并进一步增加挤塞的情形。
由于这种不平稳现象,当有大量数据包流入到网络中,每个流获得专门少的带宽,并长时刻停留在该网络中。
这损害了流完成时刻的弹性应用和交互性的流媒体应用。
由于增加了数据包的丢包率,他们在公平的分享中进一步降低了吞吐量的流量;由于连续增加的转播,他们在网络吞吐量为好的情形下有一个明显的降低。
会话级别操纵的整体功能的目标是使流达到最大限度的完成率,并在会话超负荷时尽量减少弹性TCP流的流完成时刻。
不像大量的研究流接纳操纵,该会话操纵机制,不提供任何履约担保。
除了这些功能目标,也符合以下后勤和切合实际部署的工程要求。
1.路由器不保留任何每流状态。
2.没有估量的通信量(或流量)的分布,假设没有来袭流的表征(例如使用令牌桶参数,峰值速度等)的需要。
3.会话操纵机制的打确实是稳健地变化,不管是突发性依旧渐进性。
4.在最坏的情形下,在没有任何会话操纵的情形下性能不降解到低于所得。
按照传统,过载操纵,是通过比较一种或多种系统或网络负载对一个或多个指定荷载门槛的措施来完成。
这一阈值为基础方法的局限性是,在指定的阈值,除非调谐,在所有的网络和制度条件下是不可能会产生最优性能的。
事实上,当网络和体制条件发生明显变化,在大大低于最优的时候这性能可能会更好。
会话操纵机制的第一个战略,利用专门的黄金分割搜索(GSS)和梯度上升(GA)的结合的完成本搜索。
然而,为削减分布输入流的大小,最大化流的完成率,使用GSS+GA,可产生专门高的流完成时刻。
这是因为,削减分布输入流的大小,在一个承诺的高于最高流量完成率本身速率最大流完成率将达到。
这种行为造成高流完成时刻。
因此,要保持流完成时刻,依照检查,开发了第二个战略,即查找一个最大化流的完成率所承诺的速率,但并没有超出完成率。
1.3.2当前sessioncontrol机制研究状况
承诺进入操纵机制差不多研制成功,并广泛用于与ATM网络[11]。
这目的是为了储备资源,具体方法由来袭流向及附表猎取资源,以提供统计或难以履约担保。
然而,由于各种不同的互联网应用系统的需求的复杂性,这些打算都没有被广泛部署在互联网上。
接纳操纵争辩弹性通信第一由Massoulif和Roberts[12]制造,后来Roberts等人介绍了基于测量的接纳操纵机制弹性流量估量,〝可用带宽〞的一个瓶颈环节和接纳一个新流只是假如那个估量数大于最低门槛,其中任何新的流量都会达到。
否那么,所有新的流淌是拒绝到更多的带宽可供使用。
他们试行了两种不同的技术估算,〝可用带宽〞,第一,用一个TCP连接超过瓶颈环节和测量带宽;第二,度量缺失概率超过瓶颈环节和有关它的TCP吞吐量。
基于估算QoS参数工作,在ATM网络中通信流用大偏差的理论[13]在为弹性通信互联网上,Mortier等人提出了一个基于测量的准入操纵打算[14]。
这是一个门槛,依照打算-有效带宽的交通组合,估量用投入通信量的熵和一个新的流量承认只有当丢包率不超过某一界限。
库马尔等人提出了一种TCP准入操纵打算[15],使用环节的入住门槛准入操纵标准。
在这项打算下,新的流量都承诺进入,只有当连住的是低于一个设定的门槛。
所有上述打算作出假设性质来袭通信,使他们作出操纵进入的决定,或使用缺失的阈值。
尽管假设明知性质来袭可能搁置流流淌,但并不一定使弹性流淌以可变的速率发送数据,并以不可预知的方式。
此外,所有上述打确实是基于门槛,因此患上了缺陷,没有在不断变化的网络和体制条件下受到强有力的反对。
在以下重要途径中,该会话操纵机制的工作不同于以往的工作。
第一,该会话操纵机制的打算使用一个基于搜索的方式查找最优承诺率,使该打算更稳健,以改变通信状况,而不是用荷载门槛。
第二,对网络流量的带宽要求,它不作任何假设。
第三,除了要增加每流性能,在短期和长期的活动流淌之间,展现了明显的改善。
最后,该打算并没有使新的流量挨饿,即使现有的流留在该系统相当长的时刻。
SiddharthRamesh等人[16]提出了两种新型的基于搜索的会议级别的拥塞操纵机制(GSS+GA和CP),以补充现有的包级别的机制。
依照不同的通信情形和负荷的变化,详细评判了该会话操纵算法,在会话挤塞的情形,用会话操纵算法比无会话操纵有庞大的好处。
比较这种算法,我们发觉,整体而言,CP的性能优于GSS+GA,不仅在大幅度降低流完工时刻,而且还能够在最大限度流的完成率。
此外,它是相当强劲,所有的变化,包括脉冲型变化。
因此,能够建议CP作为互联网一个可行的会话操纵机制。
那个算法的目标是要找到承诺的最大流的完成率。
此外,由于最大流的完成率,可随着时刻的变化,该算法需要检测这些变化并在一个合理的时刻内收敛到新的最大的速率。
找到最高(最低)的问题,是典型的任何全球性的优化算法。
1.4本文要紧工作
本论文综合分析了现有的DDoS攻击手段和防备计策,其中重点研究了DDoS攻击原理和攻击环境的问题,并在此基础上,实现了一些攻击。
论文的要紧完成的工作内容具体包括:
1.分析了DDoS攻击的攻击机制,攻击方法,对DDoS攻击方法进行了综合归类和研究,对现有的DDoS攻击计策技术进行了深入的研究。
2.在web服务器上开发admissioncontroller模块,实现拒绝服务,衡量web服务器性能。
3.实现和分析了常见的三种DDoS攻击成效。
1.5论文的组织结构
各章节的内容分布如下:
第一章是课题的相关背景总的概述,引出了本文将要研究的问题,回忆了从DDoS攻击发生以来对DDoS攻击及其计策展开的研究。
第二章研究了DDoS攻击原理和攻击方法,并对DDoS攻击的防范和计策进行了详细的分析。
第三章分析了web服务器的原理,开发了一个具有拒绝服务的web服务器,用于测试DDoS攻击成效。
第四章我们依照常见的三种DDoS攻击特性,配置了这三种DDoS攻击,并对它们的攻击成效进行了分析和比较。
第五章是结论,同时介绍了今后需要进一步完善的工作。
2.分布式拒绝服务攻击研究
DDoS攻击是在DoS攻击基础上进展起来的。
本章将重点研究DoS/DDoS攻击的基
本原理及攻击特点、DDoS常用攻击工具及本课题所采纳的攻击工具,这为后面的攻击奠定了基础。
2.1DDoS攻击原理
2.1.1DDoS网络
DDoS网络为一种三层客户机/服务器结构,如图2-1。
从图中能够看出DDoS攻击分为三层:
攻击者,傀儡机,代理端,三者在攻击中扮演着不同的角色,再加上受害端组成四个部分。
图2-1DDoS攻击原理图
1.攻击者:
攻击者能够是网络上的任何一台主机。
在整个进攻过程中,他是攻击主控台,向傀儡机发送攻击命令,包括目标主机地址,操纵整个过程。
攻击者与傀儡机的通信一样不包括在DDoS工具中,能够通过多种连接方式完成,最常用的有〝telnet〞TCP终端会话,还能够是绑定到TCP端口的远程shell,基于UDP的客户/服务器远程shell等。
2.傀儡机:
傀儡机和代理端差不多上攻击者非法侵入并操纵的一些主机,它们分为了两个层次,分别运行非法植入的不同的攻击程序。
每个傀儡机有多个代理端,有其操纵的代理端的地址列表,它监听端口接收攻击者发来的命令后将命令转发给代理端。
傀儡机和代理端的通信依照DDoS工具的不同有所不同。
如Trinoo使用UDP协议,TFN使用ICMP协议并通过ICMP-ECHOREPLY数据包完成通信,Stacheldraht使用TCP和ICMP协议进行通信。
3.代理端:
代理端同样也是攻击者入侵并操纵的一批主机,在它们上面运行攻击程序,监听端口接收和运行傀儡机发来的命令,是真正执行DDoS进攻的机器。
4.受害端:
能够是主机,路由器,交换机等。
遭受DDoS进攻时,它们的资源或网络带宽被耗尽。
防火墙,路由器的堵塞还可能导致恶性循环,加重网络堵塞情形,严峻时造成网络全面瘫痪。
2.1.2DDoS进攻的一样过程
我们那个地点描述的是分布式拒绝服务攻击的一个典型过程。
实际上,并非每一次攻击都要遵循如此一个过程的。
1.预备时期,收集目标信息
通常,攻击者的攻击是有打算地进行的,为了使得攻击奏效,攻击者需要了解受害者许多的信息如被攻击目标主机数目、配置、性能、操作系统、地址情形以及目标网络的带宽等。
因此,在攻击发生前,攻击者需要先对目标进行侦察,如利用扫描工具对目标进行扫描。
2.占据傀儡机和代理端
在DDoS中,攻击者能够通过自己的机器直截了当对目标发起攻击,如此攻击者可能会冒着被发觉的风险。
通常,为了掩蔽自己不被发觉,攻击者需要占据一些傀儡机,用来实施攻击。
另外,为了达到需要的攻击力度,就需要大量的傀儡机器用于增强攻击的〝火力〞。
这些傀儡机器最好具有良好的性能和充足的资源,如强的运算能力、大的带宽等等,如此攻击者会获得较大的攻击力。
同时,攻击者还需要向傀儡机发送命令的代理端,因此攻击者还需利用某些被其攻破的机器或者其拥有访问权限的机器作为代理端。
攻击者占据这些傀儡机的一样方法是先通过扫描,得到一些容易攻破的机器,然后采纳一些较为简单的方法予以攻破。
此外,由于新的软件越来越多,软件的漏洞使得恶意程序能够自动地攻破大量的主机,然后提供给攻击者作为傀儡机使用。
攻击者占据傀儡机以后,需要在傀儡机上安装后门,以保持对傀儡机的占有,关于那些攻击者选作攻击机的傀儡机,攻击者还需在上面安装攻击软件。
3.攻击的实施
在前面的预备工作完成之后,实际的攻击过程却相对比较简单,攻击者只需通过操纵台向傀儡机发出指令,令其赶忙或在某个时刻向指定的受害者大量发送特定的攻击数据包即可。
或者,攻击者能够在傀儡机上作一定时设置,时刻一到,这些傀儡机就自行对既定目标发起攻击。
2.1.3DDoS进攻的一样步骤
分布式拒绝服务攻击〔DDoS〕是在传统DoS攻击基础上演变而成的。
分布式拒绝服务攻击将攻击源的个数从一个扩展为多个,采纳多对一的方式,从多个攻击源同时发起攻击,攻击威力大大增强了。
通常分布式拒绝服务攻击的步骤如下:
1)探测扫描大量主机以查找可入侵的傀儡机;
2)入侵有安全漏洞的主机并猎取操纵权,作为DDoS攻击的傀儡机;
3)选取一台傀儡机,在其中安装DDoS攻击操纵程序,作为操纵傀儡机;
4)在其它傀儡机上,安装攻击程序;
5)攻击者通过操纵傀儡机,同时向攻击傀儡机公布攻击命令;
6)攻击傀儡机同时向目标系统发送洪水般的数据,造成目标系统拒绝服务。
2.2DDoS攻击分类
DDoS攻击有专门多种类型,不同的应用场合采纳不同的分类标准。
DDoS攻击按是否自动化分,可分为手动攻击,半自动攻击和自动攻击。
DDoS攻击的四个时期:
扫描,入侵,植入攻击程序和发动攻击。
早期的DDoS攻击在四个时期中都手动完成。
半自动攻击是指前三个时期差不多上自动的,在使用攻击程序实施攻击时手动完成。
自动攻击那么是整个攻击过程差不多上自动完成。
如W32/Blaster攻击。
DDoS攻击按攻击频率分,可分为连续攻击和变动频率攻击。
连续攻击是当攻击指令下达后,攻击主机就全力连续攻击,瞬时产生大量流量阻断目标的服务,变动频率攻击的频率可能是从慢速慢慢增加或频率高低变化,如此能够使攻击不容易被侦测到。
DDoS攻击按源地址的有效性分,可分为假冒源地址攻击和有效源地址攻击。
假冒源地址攻击是常用的攻击方式,因为攻击者假冒源地址能够躲避责任,对检测产生干扰。
假冒源地址又能够分为假冒可路由的源地址和不可路由的源地址。
假冒可路由的源地址确实是假冒某个用户的可使用的IP地址,如Smurf攻击,假冒不可路由的源地址确实是假冒被保留的地址集合中的地址和网络中己分配但未被使用的地址空间中的地址,如使用地址192.168.0.0/16。
DDoS攻击按是否可特点化分,分为可特点化攻击和可特点化攻击。
可特点化攻击是指那些针对受害端的特定协议或应用程序的攻击,同时能够通过IP头和协议头的值的组合或数据包的内容而被识别。
如:
TCPSYN攻击,DNS要求攻击等。
不可特点化攻击是针对不同的应用程序和协议,使用多种多样的数据包来消耗网络带宽。
如:
TCPACK,ICMPECHO等构成的混合攻击。
那个地点,我们把所有的拒绝服务攻击分成3类,第一类是杀手包或剧毒包(killerPacket)型攻击,这类攻击也是逻辑攻击,它要紧是利用协议本身或者其软件实现中的漏洞,通过一些非正常的数据包使得受害者系统在处理时显现专门,导致受害者系统崩溃。
由于这类攻击对攻击者的运算能力或带宽没有要求,一个通过modem连接的低档的PC机就能够攻破一个具有高带宽的大型系统。
因此,这类攻击有时也称作非对称DDoS攻击。
此类攻击一样能够通过打补丁或者在防火墙处过滤特定的畸形数据包达到对受害者的爱护目的。
第二类是风暴型(floodtype)攻击,攻击者通过大量的无用数据包,无用是指它们不是正常用户的正常要求,因此是无用的;这些数据包从单个来看是无害的但当聚拢到一定数量以后却会损害受害者的服务,因此我们也称这些数据包为有害数据包;同时,由于这些数据包是旨在攻击受害者,由攻击者发出的或者攻击机响应攻击者的指令而发出的,因此我们有时也称之为攻击性数据包。
在这类攻击中,攻击数据包能够是各种类型的,数据包中的数据也能够是多种多样的,这些数据包与正常服务的数据包是难以区分的。
第三类攻击我们称为重定向攻击,它既不是利用剧毒包,也不是利用风暴来攻击受害者。
它是通过修改网络中的一些参数如ARP表、DNS缓存,使得从受害者发出的或者发向受害者的数据包被重定向到了其他的地点。
这种方法常常是用于窃听或者中间人攻击(今后自于受害者或者流向受害者的数据包重定向到攻击者),然而,假如数据包被重定向到不存在的主机或者存在但不将数据包转发到其真正目的地的主机,那么构成实际的拒绝服务。
由于这种方式通常在窃听中研究,因此专门多人不把它当成拒绝服务攻击,我们那个地点不对此进行深入讨论。
下面我们对前两种攻击分别作一个简单的介绍。
2.2.1剧毒包攻击
1)Land攻击
Land是一段C程序,其向受害者发送TCPSYN包,用于Land攻击的数据包中的源地址和目标地址是相同的,源端口和目的端口也是相同的,当操作系统接收到这类数据包时,不明白该如何处理堆栈中通信源地址和目的地址相同的这种情形,或者循环发送和接收该数据包,消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。
2)Pingofdeath攻击
Pingofdeath攻击利用协议实现时的漏洞,向受害者发送超长的ping数据包,导致受害者系统专门。
依照TCP/IP规范要求,数据包的长度不得超过65535个字节,其中包括至少20字节的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ddos 攻击 web 服务 环境 虚拟