拒绝服务攻击原理及防范.docx

目录1拒绝服务攻击原理及防范3摘要3关键字31、什么是拒绝服务攻击31.1、拒绝服务攻击基本概念31.2、DoS攻击与DDoS攻击的比较51.3、拒绝服务攻击时的现象72、拒绝服务攻击的分类.72.1、属性分类法82.1.1、攻击静态属性82.1.2、攻击动态属性82.1.3、交互属性92.2、舞厅分类法92.2.1、主干102.2.2、舞伴类112.2.3、风暴类112.2.4、陷阱类113、典型的拒绝服务攻击的实现113.1、VMware构建虚拟攻击平台113.1.1、VMware Workstation介绍113.1.2、构建DDoS攻击实验网络123.2、DDoS 攻击者144、拒绝服务攻击防范方法194.1、冰盾抗DDoS防火墙194.1.1、冰盾防火墙采用的安全机制204.1.2、冰盾防火墙的功能特点204.2、Mazu Enforcer224.3、TopLayer235、心得体会246、参考文献25拒绝服务攻击原理及防范摘要：整篇论文以分布式拒绝服务（DDoS）攻击为主线，通过对拒绝服 务（DoS）基本概念的阐述，加深理论知识的理解。全文详细介绍了 VMware Workstation下搭建虚拟网络，进行虚拟攻击实验。运用大量虚拟攻击实验 数据佐证理论知识，使得论文更加具有说服力。虚拟攻击实验内容涉及“DDoS攻击者”实施分布式拒绝服务攻击。使用Ethereal工具软件嗅探数据包，Active Port进行端口扫描，以及讨论冰 盾抗DDoS防火墙的防御功能。关键字：DoS攻击、DDoS攻击、VMware虚拟机、端口扫描、数据包嗅 探1、什么是拒绝服务攻击1.1、拒绝服务攻击基本概念（1）服务一一是指系统提供的，用户在对其使用中会受益的 功能。（2）拒绝服务（DoS）任何对服务的干涉如果使得其可 用性降低或者失去可用性均称为拒绝服务，如果一个计算机系统 崩溃或其带宽耗尽或其存储空间被填满，导致其不能提供正常的 服务，就构成拒绝服务。（3）拒绝服务（DoS）攻击一一是攻击者通过某种手段，有 意地造成计算机或网络不能正常运转从而不能像合法用户提供 所需要的服务或者使得服务质量降低。传统的计算机安全包括三个属性：保密性、完整性和可用性。对于保密性和完整性的攻击可以通过攻击一个东西即密码而获 得成功。而对可用性的攻击，则有很多种途径。例如，攻击者可 以通过发送大量的数据到受害者，达到拒绝服务攻击的目的，这 种攻击在2000你那2月针对Yahoo、Amazon、eBay等以后受到 广泛的关注。而如果攻击者可以介入到受害者及相应的服务之 间，攻击者无需发送数据风暴即可实施DoS攻击。（4）分布式拒绝服务（DDoS）攻击一一如果处于不同位置 的多个攻击者同时向一个或数个目标发起攻击，或者一个或多个 攻击者控制了位于不同位置的多台机器并利用这些机器对受害 者同时实施攻击，由于攻击的出发点是分布在不同地方的，这类 攻击称为分布式拒绝服务攻击。图1.1所示为典型的DDoS的示意 图，其中的攻击者可以有多个。一般而言。除了规模以外，DDoS 攻击与DoS攻击没有本质上的去呗，严格而言，DDoS攻击也是 DoS攻击，只是把多个攻击主机发起的系统攻击特称为DDoS攻 击。图1.1典型的DDoS攻击示意图（5）DDoS网络指DDoS攻击中牵涉的各方，他由攻击 者（Attacker、Client）、控制台（Master、Handler）、攻击主机（傀 儡机、Bot、Zombie）和受害者组成，如图1.1所示。一个攻击者 可以控制多个控制台，一个控制台一般控制多个攻击主机。为了攻击效果的缘故，受害者通常只有一个或是有紧密联系 的多个（如同一个组织机构的数个网络或数台服务器）。比如， 美国商务部拥有的全球根域名（Root Server）服务器共有13个， 从美国东部时间2002年10月21日下午5点左右起，攻击者就 同时对13个域名服务器进行了持续一个小时的DDoS结果只有4 到5个服务器经受住了攻击并能继续提供服务，其余的服务器都 瘫痪了。在这次攻击中，普通的网络用户的服务却没有收到影响。 在此次时间中，攻击者很清楚，他们只有同事使得这13个服务 器均不能使用，才能造成最严重的危害，单纯地瘫痪其中少数几 个，意义不大，因为这些服务器据互相使冗余的。在此次攻击中， 如果单独来看，每个根域名服务器都是一个受害者，从而就有13 个受害者；如果因为这13个服务器提供的是同样的服务而把他 们看做一个整体，则只有一个受害者。1.2、DoS攻击与DDoS攻击的比较广义而言，DDoS攻击属于DoS攻击，狭义而言，DoS值得是 单一攻击者针对单一受害者的攻击，如图1.2所示，这是传统的 拒绝服务攻击。而DDoS攻击则是多个攻击者向同一个受害者发 起攻击，其具有攻击来源的分散性和攻击力度的汇聚性，而攻击 力度比单一的DoS攻击大恨多，这是相对较新型的拒绝服务攻击。 DDoS攻击力度的汇聚性如图1.3所示。DDoS攻击一般都是用于 一些需要靠规模才能奏效的攻击种类，如SYN风暴、UDP风暴等， 对于只需少数几个数据包即可奏效的攻击（如剧毒包攻击），虽 然也可以采用分布式，这时候的分布式却没有什么实质的意义， 因为这是一个主机就可以轻松完成的工作，自然无需多个主机协 同进行。图1.2 一对一的DoS攻击图1.3 DDoS攻击力度的汇聚性1.3、拒绝服务攻击时的现象（1）被攻击主机上有大量等待的TCP连接。（2）网络中充斥着大量的无用的数据包，源地址为假。（3）制造高流量无用数据，造成网络拥塞，使受害主机无法 正常和外界通讯。（4）利用受害主机提供的服务或传输协议上的缺陷，反复高 速的发出特定的服务请求，使受害主机无法及时处理所有正常请 求。（5）严重时会造成系统死机。2、拒绝服务攻击的分类拒绝服务攻击的分类方法有很多种，从不同的角度可以进行 不同的分类，而不同的应用场合需要采用不同的分类。按攻击目标分为：节点型和网络连接型，前者旨在消耗节点 资源，后者旨在消耗网络连接和带宽。节点型又可以进一步分为 主机型和应用型，主机型攻击的目标主要是主机中的公共资源 （如CPU、磁盘等），使得主机对所有的服务都不能响应；而应用 型则是攻击特定的应用（如邮件服务。DNS服务。Web服务等）。按攻击方式分为：资源消耗、服务中止和物理破坏。资源消 耗指攻击者试图消耗目标的合法资源，例如网络带宽。内存和磁 盘空间、CPU使用率等。服务中止则是指攻击者利用服务中的某 些缺陷导致服务崩溃或中止。物理破坏则是指雷击、电流、水火 等物理接触的方式导致拒绝服务攻击。按攻击是否直接正对受害者分为：直接拒绝服务攻击和间接 拒绝而服务攻击。如要对某个E-mail账号实施拒绝服务攻击，直 接对该账号用邮件炸弹攻击就属于直接攻击。为了使某个邮件账 号不可用，攻击邮件服务器而使整个邮件服务器不可用就是间接 拒绝服务攻击。按攻击地点分为：本地攻击和远程攻击，本地攻击是指不通 过网络，直接对本地主机的攻击，远程攻击则必须通过网络连接 由于本地攻击要求攻击者与受害者处于同一地，这对攻击者的要 求太高，通常只有内部人员能够做到。同时，由于本地攻击通常 可以通过物理安全措施以及对内部人员的严格控制予以解决，因 此将对网络的拒绝服务攻击着重讨论。以上介绍了拒绝服务攻击的常用分类，下面介绍研究人员提 出的两种分类方法。2.1、属性分类法J.Mirkovic和P.Reiher提出了拒绝服务攻击的属性分类法，即 将攻击属性分为攻击静态属性、攻击动态属性和攻击交互属性三 类，根据DoS攻击的这些属性的不同，就可以对攻击进行详细的 分类。2.1.1、攻击静态属性凡是在攻击开始前就已经确定，在一次连续的攻击中通常不 会再发生改变的属性，称为攻击静态属性。攻击静态属性是由攻 击者和攻击本身所确定的，是攻击基本的属性。攻击静态属性主要包括攻击控制方式、攻击通信方式、攻击 原理和攻击协议层等。2.1.2、攻击动态属性攻击过程中可以进行动态改变的属性，如攻击的目标选取、时间选择、使用源地址的方式，称为攻击动态属性。攻击动态属性主要包括攻击源地址类型、攻击数据包生成模 式、攻击目标类型。2.1.3、交互属性那些不仅与攻击者的攻击方式、能力相关，而且与具体受害 者的配置、检测与服务能力也有关系的属性，称为攻击交互属性。攻击的交互属性主要包括攻击的可检测程度、攻击影响。2.2、舞厅分类法Philip L.Campbell提出了一个拒绝服务攻击的舞厅分类法。下 面做简单介绍。人们到舞厅去跳舞，在这个特定的舞厅中，没有人肚子跳舞， 每个人在跳舞的时候都有一个舞伴，在整个舞会期间，参与者可 以自由选择是跳舞还是坐着，每一支舞都是由一次跳舞的邀请开 始的。从攻击者的角度，舞厅中只有两种人，一种是受害者，另 一种是既非受害者也非攻击者的其他人。如果攻击者成功地阻止 了受害者与任何其他人跳舞，则攻击就是成功的。攻击者可以通 过下述4种途径达到目的；> 舞伴（Partner）:与受害者跳舞。>风暴（Flood）:用大量的噪音来干扰受害者，使之无法听 到他人的跳舞邀请。>陷阱（Trip）：只要受害者跳舞的时候就通过设置陷阱阻止 其跳舞。> 介入（Intervene）：阻止邀请传到受害者包括阻止其跳舞。由此，我们可以将拒绝服务攻击分为者4大类，然后细分。这样，拒绝服务攻击可以用一棵倒置的树的相识进行划分，树根 即为拒绝服务，4个主支分别是舞伴类、风暴类、陷阱类和介入 类。为了讨论方便，这里对分类树的各个节点进行编号，编号方 法是从左至右的深度优先。树中的叶节点即指攻击类型，书中的 内部节点则是分类判断的问题。对攻击的分类采用递归的过程， 由根开始，如果对当前问题的回答为“是”，则往左面的叶子节 点继续，否则转向右面的节点。以下“节点i”指的是第i个节点。2.2.1、主干图1.4拒绝服务攻击的舞厅分类法图1.4中处于节点3、8、18、23之上的部分为树的主干部分，共包含3个节点。主干部分起着把4棵子树连接起来的作用。2.2.2、舞伴类舞伴类攻击在攻击者与受害者一起“跳舞”时获得成功，这 时候其他的人就无法与受害者“跳舞”了。图1.4中的节点3-7 构成此类。为了应归此类攻击，必须设法不与攻击者共舞。生物系统应 对此类攻击的方法也许可以借鉴。病毒攻击生物系统的方法就是 通过“共舞”，而生物系统则通过包围病毒，即类似于隔离的方 式，然后将病毒“冲刷”离生物体。这是一种“介入式”对策。2.2.3、风暴类风暴类攻击包括节点8-16。2.2.4、陷阱类陷阱类攻击包括节点18-22。3、典型的拒绝服务攻击的实现3.1、VMware构建虚拟攻击平台实验是最好的老师。学习网络攻击的每一个人，都想自己亲 手搭建网络、亲手配置网络，但苦于条件限制，并不是每一个人 都能找到多台计算机进行组网实验的。这时候，就需要借助虚拟 机软件了。在做网络实验的同类产品中，VMware Workstation是 最好的选择。以下就VMware Workstation软件及其组建DDoS攻 击实验网络做简单介绍。3.1.1、VMware Workstation 介绍VMware Workstation 7.0.1是VMware公司最新版本的虚拟机 软件。VMware Workstation允许操作系统和应用程序在一台虚拟 机内部运行。虚拟机是独立运行主机操作系统的离散环境。在 VMware Workstation中，可以在一个窗口中加载一台虚拟机，它 可以运行自己的操作系统和应用程序，也可以在运行于桌面上的 多台虚拟机之间切换，通过一个网络共享虚拟机、挂起和恢复虚 拟机以及推出虚拟机一一这一切不会影响主机操作、任何操作系 统或者正在运行的应用程序。VMware Workstation虚拟机可以在一台电脑上模拟出若干台 PC，每台PC都可以单独运行操作系统而互不干扰，实现一台电 脑“同时”运行几个不同操作系统的目的，还可以将这几个操作 系统连成一个网络，VMware Workstation是一款帮助程序开发人 员和系统管理员运行软件开发、测试以及配置的强大虚拟机软 件。软件开发者借助它可以在同一台电脑上开发和测试适用于 Microsoft Windows、Linux或者Netware的复杂网络服务的应用程 序。其主要功能有虚拟网络、实时快照、拖放、共享文件夹、支 持PXE等。3.1.2、构建DDoS攻击实验网络在构建DDoS攻击实验网络中，将使用安装好的 Windows Server 2003和Windows XP Professional虚拟机，在此虚拟机的基 础上，为Windows XP Professional虚拟机创建一个“克隆”链接。 然后在VMware Workstation中创建Team，将创建好的"克隆” 链接的虚拟机添加到新建的Team中，组建实验环境，主要步骤 如下。（1）实验前准备为了实验和理方便，在硬盘上为每一个Team创建一个文件夹，保存当前实验中的所有克隆链接的虚拟机和Team,本次实验 将创建的Team文件夹命名为DDoS攻击实验。（2）创建克隆虚拟机在安装好的Windows XP Professional中创建“克隆”的链接虚 拟机，并将每一个虚拟机保存在所创建的文件夹中。为此，我们 已经创建了三台虚拟机，在DDoS攻击实验中，其中两台虚拟机 扮演攻击机，一台虚拟机充当受害者。（3）新建Team进行设置打开VMware Workstation，新建Team并在创建的过程中添加 上一步创建的克隆链接的虚拟机，之后添加Team中专有的LAN， 并且让Team中的虚拟机使用添加的LAN。_J DDoS攻击实我-VMware WorkstationDDo域击实验CommandsVirtual Machines and LAN SegmentsVirtual MachineGuest Operating SystemWindows Server 2003 .State:Active VM:Location:UbuntuFedoraRed Hat Enterprise LiniESX Server 4.0Powered offWindows XP Professional-AE：模拟网络 CCproxyCCproxy.vmtjnWindows XP Professional-A Windows Server 2003 Enterprise Edition 幽 Clone of Windows XP Professional-AWindows XP Professio.Windows XP Professio.版 Powered OnB FavoritesDDoS攻击卷. Power on this team 旧 Edit team settings©睇3|3|®®图3.1 VMware虚拟机构建DDoS攻击实验Team如图3.1所示，这样所需的DDoS攻击实验网络就配置完成了。只需点击Team中的“Power on the team”按钮，便可运行虚拟网络中所有虚拟机。由于虚拟机占用内存资源较大，本地机器资源 有限，所以实验过程中值以三台虚拟机作为示例进行攻击实验。3.2、DDoS攻击者“DDoS攻击者”是由称为“蔬菜工作室”的宫内作者于2003 年5月发布的拒绝服务攻击软件。该软件运行后自动注入系统， 并在以后随系统启动，在主机上网时自动对事先设定好的目标进 行TCP连接耗尽攻击。软件可以自由设置“并发连接线程数”、“最 大TCP连接数”等参数。图3.1 “DDoS攻击者”生成器与通常的DDoS攻击采用C/S模式不同，“DDoS攻击者”没有 客户端，只有单一的攻击机。这样可以避免隐藏在背后的攻击者 被发现。该软件分为生成器和DDoS攻击者程序两部分。软件在 下载安装后是没有DDoS攻击者程序的，只有生成器，DDoS攻击 者程序要通过生成器生成。生成时，可以自定义一些设置，如： 攻击目标的域名或IP地址、端口等，如图3.1所示。DDoS攻击 者程序默认的文件名为DDoSer.exe,可以在生成时或生成后任意 改名。DDoS攻击者程序类似于木马软件的服务端程序，程序运行后 不会显示任何界面，看上去好像没有反应，实际上它已经将自己 复制到系统里了，并且会在每次开机时自动运行，此时可以将拷 贝过去的程序删除。它运行时，唯一会做的工作就是不断地对事 先设定好的目标进行攻击。在软件的使用中，首先要设置并生成DDoS攻击者程序，即运 行生成器(D DoSMaker.exe)，在对话框中设置相应的参数，其中 包括：目标主机的域名或IP地址：即希望攻击的目标主机的域 名或IP地址。端口：希望攻击的目标端口。并发连接线程数：同时并发多少个线程去连接这个指定 的端口，当然此值越大对受害者的攻击力度越大，占用 本地资源也就越大。初始默认值是10个线程。最大TCP连接数：当连接上受害者后，如果立即断开这 个连接显然不会对服务器造成什么压力，而是先保持这 个连接一段时间，当本机的的连接数大于此值时，就会 开始断开以前的链接，从而保证本机与服务器的连接数 不会超过此值。同样，此值越大对受害者的攻击力度越 大，相应占用本地资源也越大。默认值为1000个连接。 注册表启动项键名：在注册表里写入自己的启动项键名， 用以隐藏攻击进程，当然是越隐蔽越好，例如默认的为Kernel32,通过隐藏以后，通过Windows的任务管理器是看不到相应进程的。>服务端程序文件名：在Windows系统目录里自己的文件 名，同样也是越隐蔽越好。> DDoS攻击者程序保存为：即指明生成的DDoS攻击者程 序保存在哪里，它的文件名是什么。该软件采用的是TCP的链接耗尽攻击，因此不能伪造数据包 中的源IP地址，攻击主机将无所遁形，同时，只要系统启动，他 就会发起攻击，也使得攻击主机始终处于暴露的状态。由于软件 在启用之初必须设置相应的参数，包括攻击的目标主机机器端口 号，这对软件的灵活应用是不利的。另外，该软件在攻击受害者 的时候同时也占用了本机很多资源，因此只有当大量的攻击主机 同时发起对同一受害者的攻击时，攻击效果才会显著。图3.2任务管理其中的DDoSer进程项“DDoS攻击者”程序运行后，它的隐藏性能特别强大，在攻 击机几乎感觉不到它的运行，事实上“DDoS攻击者”已经隐形开 启了。如图3.2所示，通过Windows任务管理器发现“DDoS攻 击者”的确在攻击机上运行着。I顼回为了更加直观的熟悉 DDoS攻击者，在攻击机本地运行 Ethereal软件工具，这是一款当前较为流行的计算机网络调试和 数据包嗅探工具。用户通过Ethereal，同时将网卡插入混合模式， 可以查看到网络中发送的所有通信流量。如图3.3所示，通过 Ethereal软件在攻击机上进行数据包嗅探后，发现大量的数据包 由源IP地址为192.168.1.3的攻击机发送到目标地址为192.168.1.1 的受害者。由此可见，大量的TCP资源被“DDoS攻击者”占用。 如果在多台虚拟机上运行“DDoS攻击者”作为攻击机，那么受害 者必然会因为TCP资源被耗尽所瘫痪，造成网络无法访问。M Capturing from VMware Accelerated AMD PCNet Adapter (Microsoft's Packet Scheduler).838 14.110032192.168.1.1192.168.1L. 3TCPhttp > cma R839 14.110038192.168.1.1192.168.JL. 3TCPhttp > optima840 14.110072192.168.1.1192.168.JL. 3TCPhttp > ddt FNo. TimeSourceDestinationProtocol InfoFile Edit View Go Capture Analyze Statistics Telephony Tools Help耕瓣襟+囤I鑫露精慈昌in钏瞰物芥殳I回园l&Q蚊Filter:-Expression. Clear Apply841 14.656741192.16B.1.3192.16B.1.1_CPdcuti11ty > I842 14. 656891192.16B. 1. 3192.16B. 1. 1_CPneod2 :- http843 14.656942192.16B.1.3192.16B.1.1_CPboinc-cl1 ent844 14.65698。152.16B. 1. 3192.16B. 1. 1Pfpitp :- httpS4 5 14. 6 57016152.16B. 1. 3192.L6B. 1. 1-CPivf remotertr :846 14. 657053152.16B. 1. 3192.L6B. 1. 1-CPneodl :- http847 14. 6570BB152.16B. 1. 3192.L6B. 1. 1-CPtd-postman 548 14. 6 57124152.16B. 1. 3192.L6B. 1. 1-CPcma :- http |j549 14.657160152.16B.1.3192.L6B.1.1-CPoptima-vnet:850 ：L4. E57NN119N. 1 曲.1. 3：L9N.3砧.L 1一注dcit :，http8 51 14.6 57291 192.168.1.1192.168.1. 3TCPhfttp > dcuti 1852 14.657373 192.168.1.1192.168. L 3TCPhfttp A neod?rrr|> Frame 1: 62 bytes on v/ire (496 bits)s 62 bytes captured (496 bits)> Ethernet II, src: vimare-ZS: 6e: Oe (00: Oc: 29:76: 6e: Oe) 5 Dst: vnnare-Zb: 54:7:1> internet Protocol, src: 192.168.1.3 (192.168.1.3)s Dst: 192.16S.1.1 (192.168Transmi ss1 on control Protocols src Port: dcuti1Ity (1044)s Dst Port: http (80000001000200030coif o 3 of o o If Q o of2b41147c5440 00 00C6 5 4 o 8 e o图一JKTO 5 o©8 2 匚 wo O 更C 71?: - 门: 到一4 4 坷lb a: Jxe 3 o-P，-OpVMware Accelerated AMD PCNet Adapter. Packets: &840 Di印Im.Profile: Default如图3.4所示为当受害者的Netbios端口受到攻击时，以 Ethereal软件获得的数据包信息，从中可以看出，攻击主机在不 停地发起连接的同时也在不停的断开连接，这是在连接数达到指 定数量后，攻击程序维持一个固定连接数的行为。回 Capturing from VMware Accelerated AMD PCNet Adapter (Microsoft's Packet Scheduler) - Wire sharkFile Edit Yiew Go Capture Analyze Statistics Telephony Tools Helpi(参畿，蒯蹩透鬻修昌令维蒂殳D国Q Q政日¥ ®毋Filter: Expression. Clear ApplyNo. Time SourceDestinationProtocol InfoR d RQ?1 Q7 1 Q9 11 71 Q7 11 1TCP H/franicrartm 、 hrrn GVKJlrrr0 Frame 585: 62 bytes on wire (496 bits), 62 bytes captured (496 bits)0 Ethernet II, Src: vrm*;are_99:47:df (00:0c:29:99:47:df), Dst: Vmware_2b: 54 :71 (00:0c:29:2b:0 internet Protocol, src： 192.168.1.2 (192.168.1,2), Dst: 192.168.1.1 (192.168.1.1)Transmission control Protocol, src Port: danf-ak2 (1041), Dst Port: http (80), seq: 0, L nr0000001000200030c 6d 4 0 0 8 0 0 0 9 2 0 8 9 0 LOGO 7 0 5 04 0 0 05 4 0 0 b 3 1 o 2 8 19 9 0 4 7 2 7 0 6 coif o 3 o f o o 1 f o o o f0 8 2 o a O 5 0 0 4 C 7 0 2 0 2 o o o O8 10 4 o o o O f 8 o 1 dao o 7 0 0 1 4 c o o -y 1 c 4 _y f 4 b9 535 2 of oVfvlware Accelerated AM1=1使用ActivePort工具可以看到如图3.5所示的受害者主机TCP 端口 80已经连接，只是随着时间的推移，远程端口会不断地改变，因为不停地有来自于远程主机其他端口的连接请求。图3.5 TCP 80端口的连接状态4、拒绝服务攻击防范方法对于拒绝服务攻击而言，目前还没有比较完善的解决方案。 拒绝服务攻击尤其是分布式风暴型拒绝服务攻击是与目前使用 的网络协议密切相关的，它的彻底解决是极为困难的。此外安全 具有整体、全面、协同的特性，这一特性在拒绝服务攻击方面体 现得尤为突出，没有整体网络社会的齐心协力，共同应对，拒绝 服务攻击始终是摆在我们面前的难题。虽然如此，我们也不是对拒绝服务攻击一点办法都没有，研 究人员也在不断地寻求新的解决方案。拒绝服务攻击的对策主要 可以分为三个方面：防御、检测和追踪。这里我们对防御做重点 讨论。由于拒绝服务攻击日益受到重视，市场上已经涌现出了众多 的应对拒绝服务攻击的产品，国外一些比较知名的产品有 TopLayer公司 Attack Mitigator、Mazu 网络公司的 Mazu Enforcer 等；国内也有不少此类产品，如：冰盾抗DDoS防火墙、黑洞防 拒绝服务攻击系统、天清防拒绝服务攻击系统等。以下对各常用 产品进行简要介绍，资料来源大多是各厂商提供的网上信息等。4.1、冰盾抗DDoS防火墙冰盾防火墙是由冰盾（中国）科技公司两位归国人员Bingle Wang和Buick Zhang开发的具备入侵检测功能的抗DDoS防火墙。 冰盾防火墙采用的主动防御技术，通过生物基因原理实现，可只 能辨识多种DDoS攻击，并启用微内核处理技术，能够在系统底 层完成对DDoS攻击的过滤和防护，确保服务器可以正常提供服 务。4.1.1、冰盾防火墙采用的安全机制冰盾防火墙采用如下安全机制对抗拒绝服务攻击。（1）SYNCookies通过实施SYNCookie的包认证机制，可实现对SYNFlood、 ACKFlood等攻击的防护，这种机制适用于攻击量较小的情况。（2）3秒重传机制当检测的每秒的SYN包大于正常数值时候，采用丢弃SYN的 办法来降低一半的攻击，正常的用户会在3秒后再次发送SYN， 从而建立有效的连接。（3）主动防御机制通过生物基因原理，对所有进出的包进行分析统计，识别有 害的攻击包并启动处理引擎进行保护，从而提高系统的防御能 力。（4）微内核机制在网卡和系统之间设计一层高效的处理内核程序，以最快的 速度抓取网卡上的网络报并进行适当的分析处理，由只能控制决 定放行还是阻止，大大提高系统的处理效能。（5）连接跟踪机制对TCP和UDP的连接进行智能跟踪，及时发现并阻止可能的 攻击，从而保护应用服务程序的安全。4.1.2、冰盾防火墙的功能特点冰盾抗DDoS防火墙的主要特色功能有：（1）阻止DoS攻击TearDrop、Land、Jolt、IGMP Nuker、Bonk、BigPing、OOB 等 数百种。（2）抵御DDoS攻击SYN/ACK Flood、UDP Flood、ICMPFlood、TCPFlood 等流行的 拒绝服务攻击。（3）防止TCP连接耗尽攻击自动阻断某一 IP对服务器特定端口的大量TCP连接耗尽攻 击。（4）防止Script脚本攻击防范ASP、PHP、JSP、Perl等脚本程序的风暴式调用导致数据 库和Web崩溃。（5）Web过滤过滤URL关键字、Unicode恶意编码、脚本木马、防止木马上 传等。（6）检测核可入侵检测端口扫描、SQL注入、密码猜测、Expolit利用等2000多 种黑客入侵行为并阻断。冰盾抗DDoS防火情攻击监控如图4.1所示。冰盾抗DDoS防火墙攻击监控可观察到以下状态：当前的TCP连接数 每秒接受的SYN数每秒接收的ACK数每秒接收的UCP数每秒接收的ICMP数图4.1冰盾抗DDoS防火墙攻击监控4.2、MazuEnforcerMazu Enforcer是专为针对拒绝服务攻击的，基于行为特征的 入侵防御系统，其是Mazu网络公司的产品。Mazu Enforcer不单纯地通过流量进行拒绝服务攻击的检测， 而是通过对多个网络特征的检查，包括：（1）带宽。通过数据包率和字节率检测。（2）可以数据流。检测以网络资源为目标的攻击，如TCP的 SYN风暴攻击。（3）用户自定义。监控应用相关的特定特征，例如，如若某 些网络曾经是攻击本网络的攻击数据源，则用户可自定义一个阈 值，使得即使来自那些网络的数据包的量不是很大时，也能激发 系统进行相应的防御处理。当检测到拒绝服务攻击后，Mazu Enforcer通过数据包的过滤 保护受害者，其过滤器包括：（1）数据包特征过滤。除了根据攻击特征自动生成标准的过 滤器外，用户可针对特定的环境指定特定的过滤规则。（2）SYN流量限制。可以通过设置一个阈值，启动对SYN数 据包的流量限制。（3）行为过滤。通过监控一些特定外部主机的行为，在数据 包特征过滤之外又增加了一层保护。（4）载荷特征过滤。可以选择监控数据包的数据载荷，过滤 符合一些特征的数据包。4.3、TopLayerTopLayer公司较早就进入了放拒绝服务攻击领域，其最早是 通过负载均衡等方法对付风暴型拒绝服务攻击的。目前，TopLayer公司有Attack Mitigator IPS 5500系列入侵防御系统。防御DoS 攻击和DDoS攻击不是这些系统的全部功能，但却是这些系统的 主要功能之一。在防DoS/DDoS攻击方面，IPS 5500系列具有如下特点：（1）具有数项方拒绝服务的专利技术。（2）对100%的数据包进行检查。（3）持续地有状态检查，这可防御那些低速率的攻击。（4）通过分布式的专用集成电路平台，使得数据延迟低于 50毫秒。（5）性能和容量可调，由于使用可堆积式结构，不同的堆积 数量具有不同的性能和容量。5、心得体会通过本次为期三周的课程设计中，认真研究了分布式拒绝服 务攻击的概念、分类、实现和防御。在理论研究阶段，仔细体会 了什么是分布式拒绝服务攻击，分布式拒绝服务攻击具体分类方 法、实现手段和防范方法。在虚拟攻击实现阶段，学习了 VMware 虚拟机的使用，通过虚拟机建立局域网，虚拟环境中实现DDoS 攻击。理论研究结合DDoS攻击实验过程，触及了许多新知识和新技 术。学会了如何使用“DDoS攻击者”实现分布式拒绝服务攻击， 应用Ethereal工具嗅探数据包，分析数据包嗅探结果判断是否遭 到攻击；利用Active Port软件扫面远程计算机的端口，判断时候 建立了远程连接。知道了怎样通过冰盾抗DDoS防火墙防御DDoS 攻击，分析防火墙的检测数据，根据数据做出合理配置网络方案， 从而使分布式拒绝服务攻击问题得以解决。短短的三周时间学习了这么多内容，能够顺利完成论文。这 里要感谢安老师的悉心教导，在论文的写作方向和知识点的整理 提出了很多建议。同时还要感谢曾经给我指导过课程设计的商老 师和于老师，有了他们前几次的指导经验，使我学习到了论文的 写作格式和写作侧重点。正是拥有众多老师的帮助，才能够成功 完成这次课程设计的题目要求。此次通信与计算机网络安全的课程设计中，涉及到的知识面 很广。由于时间、篇幅以及能力所限，疏漏、欠妥和错误之处在 所难免，希望指导老师多加批评指正。6、参考文献1 李德全 拒绝服务攻击 电子工业出版社20072 王春海虚拟机技术与动手实验机械工业出版社20083 周继军 网络与信息安全基础 清华大学出版社20084 宋西军 计算机网络安全技术 北京大学出版社20095 陈兵 网络安全与电子商务 北京大学出版社20026 张爱菊 电子商务安全技术 清华大学出版社2006