DOS攻击原理与防御策略研究.docx

?

?

DOS攻击原理与防御策略研究

?

?

论文导读：随着互联网应用的推广普及，威胁网络可靠运行的安全问题变得极为重要，通过介绍DoS攻击的概念、原理和分类,提出了针对整个系统的DoS攻击防范策略建议。

关键词：DOS攻击网络安全，防御策略

?

1.引言

随着互联网的迅速发展,网络已经渗入到社会的每一个角落，人们已经越来越离不开网络，就在网络迅猛发展的同时，网络安全也已经成为我们生活中密不可分的部分。黑客们的攻击手段可谓是层出不穷，其中DoS攻击和DDoS攻击是他们用得最多的攻击方法。DOS，即DenialofService，译为拒绝服务。DOS攻击又称拒绝服务攻击，拒绝服务攻击是一种技术含量低，但攻击效果明显的一种攻击方法，当受到这样的攻击时，服务器长时间内不能正常的提供服务，使得合法用户不能得到正确服务。也正是由于DoS攻击方式简单、容易达到目的、难于防范和追查，近年来，随着网络的迅猛发展与电子商务的兴起，它迅速发展成为一种隐蔽性强、破坏力大，主要攻击网络设备，如路由器、交换机或主机的黑客攻击手段。但是，尽管DoS攻击的原理极为简单,迄今为止仍然没有一项技术能很好地防范这类简单攻击。

2.DOS攻击概述

2.1DOS攻击的概念

DoS攻击广义上指任何导致被攻击的服务器不能正常提供服务的攻击方式。具体而言，DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备,这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接等,这种攻击会导致资源的匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果,拒绝服务攻击会使所有的资源变得非常渺小。

2.2DOS攻击的分类

如果了解了攻击者可以采取的攻击类型，就可以有针对性地应对这些攻击。而对DOS攻击的分类研究则是深入了解拒绝服务攻击的有效途径。DOS攻击的分类方法有很多种，从不同的角度可以进行不同的分类，而不同的应用场合需要采用不同的分类。下面我们介绍几个常用分类：

按照攻击方式来分可以分为：资源消耗、服务中止和物理破坏。资源消耗指攻击者试图消耗目标的合法资源，例如网络带宽、内存和磁盘空间、CPU使用率等。服务中止则是指攻击者利用服务中的某些缺陷导致服务崩溃或中止。物理破坏则是指雷击、电流、水火等物理接触的方式导致的拒绝服务攻击。

根据攻击的对象可以分为：针对网络宽带的DOS攻击、针对系统资源的DOS攻击和针对应用程序资源的DOS攻击。其中最为流行的是针对系统资源的DOS攻击。针对网络宽带的DOS攻击是指利用某些技术攻击目标系统的网络宽带；针对系统资源的DOS攻击是指利用某些通信协议的先天性bug或者某些服务程序的bug来实施攻击；而针对应用程序资源的DOS攻击是攻击者抓住应用程序的不健全，利用大量的合法的服务请求来耗尽服务器上应用程序资源，从而使得服务器无法及时、高校地向合法用户提供服务。

按攻击是否直接针对受害者，可以分为直接拒绝服务攻击和间接拒绝服务攻击，如要对某个E-mail账号实施拒绝服务攻击，直接对该账号用邮件炸弹攻击就属于直接攻击。为了使某个邮件账号不可用，攻击邮件服务器而使整个邮件服务器不可用就是间接攻击。

2.3DOS攻击的原理与途径

要对服务器实施拒绝服务攻击，主要有以下两种方法:①迫使服务器的缓冲区满，不接收新的请求；②使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接，这也是DoS攻击实施的基本思想。为便于理解，以下介绍一个简单的DoS攻击基本过程：攻击者先向受害者发送大量带有虚假地址的请求，受害者发送回复信息后等待回传信息。由于是伪造地址，所以受害者一直等不到回传信息，分配给这次请求的资源就始终不被释放。当受害者等待一定时间后，连接会因超时被切断，此时攻击者会再度传送一批伪地址的新请求，这样反复进行直至受害者资源被耗尽，最终导致受害者系统瘫痪。

3.DOS攻击的防御策略

一般来说，DOS攻击可以说是如下原因造成的：

（1）软件弱点是包含在操作系统或应用程序中与安全相关的系统缺陷，这些缺陷大多是由于错误的程序编制，粗心的源代码审核，无心的副效应或一些不适当的绑定所造成的。

（2）错误配置也会成为系统的安全隐患。这些错误配置通常发生在硬件装置，系统或者应用程序中，大多是由于一些没经验的，无责任员工或者错误的理论所导致的。

（3）重复请求导致过载的拒绝服务攻击。当对资源的重复请求大大超过资源的支付能力时就会造成拒绝服务攻击（例如，对已经满载的Web服务器进行过多的请求使其过载）。