王棋　葉晰

基金項目： 浙江省大學(xué)生科技創(chuàng)新活動計劃（新苗人才計劃）資助項目（2013R413034）

摘 要：本文首先介紹了分布式拒絕服務(wù)攻擊（DDoS）的實施原理，并通過模擬實驗實現(xiàn)了 最常見的DDoS攻擊，進(jìn)而分析了DDoS攻擊對電子商務(wù)網(wǎng)站的危害。

關(guān)鍵詞：分布式拒絕服務(wù)攻擊；電子商務(wù)；網(wǎng)絡(luò)安全

電子商務(wù)指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進(jìn)行各種商貿(mào)活動。然而隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，拒絕服務(wù)攻擊也越來越成為電子商務(wù)網(wǎng)站始終如揮之不去的夢魘。

一、分布式拒絕服務(wù)攻擊的實施原理

拒絕服務(wù)攻擊（Denial Of Service，DoS）顧名思義就是使Internet中的受攻擊對象（主機(jī)、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備）無法提供正常服務(wù)的一種攻擊。而分布式拒絕服務(wù)攻擊（Distributed Denial Of Service，DDoS）是DoS攻擊模式的升級形式，由多臺計算機(jī)一起合作，同時向目標(biāo)發(fā)起攻擊。下面我們通過模擬實驗來分析分布式拒絕服務(wù)對電子商務(wù)的危害。

二、實驗工具和測試平臺的搭建

涉及研究的主要硬件有一臺型號為S2016B的華為16口以太網(wǎng)交換機(jī)，一臺型號為TP-WR340G+的TP-LINK無線路由器，一臺H3C MSR30-16路由器，一部型號為I9250的三星安卓智能手機(jī)和三臺個人電腦（配置見表），由于實驗中使用的是百兆交換機(jī)，故所有網(wǎng)卡的最大網(wǎng)速均為100Mbps。

三、DDoS攻擊的模擬實現(xiàn)

傳統(tǒng)的DDoS攻擊的實施原理都差不多，一般都是先抓數(shù)據(jù)包，再根據(jù)自身攻擊特點設(shè)置或修改數(shù)據(jù)包中的參數(shù)，然后再以較大速度重放，最終達(dá)到攻擊目標(biāo)機(jī)器的目的?，F(xiàn)在我們模擬實現(xiàn)較為常見的SYN Flood。

1.SYN Flood 的攻擊原理。SYN Flood攻擊利用了TCP的三次握手機(jī)制，惡意的向被攻擊主機(jī)的TCP服務(wù)器端口發(fā)送大量帶有虛假源地址的TCP SYN分組。如果該端口正在監(jiān)聽連接請求（如Web服務(wù)器），那么被攻擊主機(jī)將通過回復(fù)SYN ACK分組對每個TCP SYN分組進(jìn)行應(yīng)答。由于攻擊者發(fā)送的分組的源地址是偽造地址，所以被攻擊主機(jī)一直等不到回傳信息，分配給這次請求的資源就維持著不釋放。雖然等待一段時間后，這次連接會因為超時而被丟棄，但如果攻擊者發(fā)送大量這種帶偽造地址的分組，被攻擊端將為了維護(hù)一個非常大的半開連接列表而消耗非常多的資源，包括CPU、內(nèi)存和網(wǎng)絡(luò)資源，最后出現(xiàn)拒絕服務(wù)的現(xiàn)象。

2.攻擊實例-PackETH（Ethernet packet generator ）。本實例網(wǎng)絡(luò)拓?fù)鋱D見下圖，IBM ThinkPad T43 作為攻擊主機(jī)，操作系統(tǒng)為Linux，Acer aspire 4750G 作為目標(biāo)主機(jī)，操作系統(tǒng)為Windows 7。測試機(jī)用來測試服務(wù)器是否能提供正常的Web服務(wù)。

PackETH是一款功能非常強(qiáng)大的以太網(wǎng)數(shù)據(jù)包生成器，不但可以隨意更改以太網(wǎng)數(shù)據(jù)包，還可以多種方式重放以太網(wǎng)數(shù)據(jù)包。具體攻擊過程為：首先PC1訪問架設(shè)在目標(biāo)主機(jī)PC2上的Web服務(wù)器，并使用WireShark軟件捕獲TCP三次握手的第一條幀（即SYN 報文段），然后利用PackETH 軟件重放此幀。我們設(shè)置好攻擊參數(shù)后，開始對PC2發(fā)起攻擊。攻擊時PC1的CPU使用率在70%左右，運行正常，但是PC2已經(jīng)陷入癱瘓狀態(tài)。 在PC2被攻擊之前， CPU使用率很低（3%），網(wǎng)絡(luò)使用率幾乎為0。 被攻擊后，主機(jī)PC2的四核CPU使用率飆升至98%，電腦幾乎不能進(jìn)行其他任何操作，陷入癱瘓狀態(tài)。

由此可見，當(dāng)攻擊主機(jī)的配置升級，攻擊參數(shù)增大時，即使目標(biāo)主機(jī)的配置非常高，在這樣的攻擊下也未必能夠幸免。但此類攻擊由于攻擊流量較大，比較容易被DDoS監(jiān)測器或防火墻識別出目標(biāo)機(jī)器正在受到攻擊，因此攻擊的隱蔽性較差。

四、結(jié)束語

分布式拒絕服務(wù)攻擊（DDoS）嚴(yán)重威脅了電子商務(wù)網(wǎng)站的正常運作。通過模擬實驗，我們發(fā)現(xiàn)分布式拒絕服務(wù)攻擊的特點是被攻擊者在同一時間內(nèi)收到大量從不同主機(jī)發(fā)來的請求或者數(shù)據(jù)包，由于那些請求或者數(shù)據(jù)包大多數(shù)采用了偽裝IP源技術(shù)，并且只要單個攻擊點的攻擊流量足夠低，那么想要徹底防御DDoS攻擊，幾乎是不可能的事，但只要我們理解了DDoS攻擊的實現(xiàn)原理和攻擊特點，則至少可以在被攻擊時能做到及早發(fā)現(xiàn)。

參考文獻(xiàn)：

[1]謝逸等.新網(wǎng)絡(luò)環(huán)境下應(yīng)用層DDoS攻擊的剖析與防御.電信科學(xué)，2007年01期，89-93頁.

[2]李目海.基于流量的分布式拒絕服務(wù)攻擊檢測.華東師范大學(xué)2010年博士論文.endprint

基金項目： 浙江省大學(xué)生科技創(chuàng)新活動計劃（新苗人才計劃）資助項目（2013R413034）

摘 要：本文首先介紹了分布式拒絕服務(wù)攻擊（DDoS）的實施原理，并通過模擬實驗實現(xiàn)了 最常見的DDoS攻擊，進(jìn)而分析了DDoS攻擊對電子商務(wù)網(wǎng)站的危害。

關(guān)鍵詞：分布式拒絕服務(wù)攻擊；電子商務(wù)；網(wǎng)絡(luò)安全

電子商務(wù)指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進(jìn)行各種商貿(mào)活動。然而隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，拒絕服務(wù)攻擊也越來越成為電子商務(wù)網(wǎng)站始終如揮之不去的夢魘。

一、分布式拒絕服務(wù)攻擊的實施原理

拒絕服務(wù)攻擊（Denial Of Service，DoS）顧名思義就是使Internet中的受攻擊對象（主機(jī)、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備）無法提供正常服務(wù)的一種攻擊。而分布式拒絕服務(wù)攻擊（Distributed Denial Of Service，DDoS）是DoS攻擊模式的升級形式，由多臺計算機(jī)一起合作，同時向目標(biāo)發(fā)起攻擊。下面我們通過模擬實驗來分析分布式拒絕服務(wù)對電子商務(wù)的危害。

二、實驗工具和測試平臺的搭建

涉及研究的主要硬件有一臺型號為S2016B的華為16口以太網(wǎng)交換機(jī)，一臺型號為TP-WR340G+的TP-LINK無線路由器，一臺H3C MSR30-16路由器，一部型號為I9250的三星安卓智能手機(jī)和三臺個人電腦（配置見表），由于實驗中使用的是百兆交換機(jī)，故所有網(wǎng)卡的最大網(wǎng)速均為100Mbps。

三、DDoS攻擊的模擬實現(xiàn)

傳統(tǒng)的DDoS攻擊的實施原理都差不多，一般都是先抓數(shù)據(jù)包，再根據(jù)自身攻擊特點設(shè)置或修改數(shù)據(jù)包中的參數(shù)，然后再以較大速度重放，最終達(dá)到攻擊目標(biāo)機(jī)器的目的。現(xiàn)在我們模擬實現(xiàn)較為常見的SYN Flood。

1.SYN Flood 的攻擊原理。SYN Flood攻擊利用了TCP的三次握手機(jī)制，惡意的向被攻擊主機(jī)的TCP服務(wù)器端口發(fā)送大量帶有虛假源地址的TCP SYN分組。如果該端口正在監(jiān)聽連接請求（如Web服務(wù)器），那么被攻擊主機(jī)將通過回復(fù)SYN ACK分組對每個TCP SYN分組進(jìn)行應(yīng)答。由于攻擊者發(fā)送的分組的源地址是偽造地址，所以被攻擊主機(jī)一直等不到回傳信息，分配給這次請求的資源就維持著不釋放。雖然等待一段時間后，這次連接會因為超時而被丟棄，但如果攻擊者發(fā)送大量這種帶偽造地址的分組，被攻擊端將為了維護(hù)一個非常大的半開連接列表而消耗非常多的資源，包括CPU、內(nèi)存和網(wǎng)絡(luò)資源，最后出現(xiàn)拒絕服務(wù)的現(xiàn)象。

2.攻擊實例-PackETH（Ethernet packet generator ）。本實例網(wǎng)絡(luò)拓?fù)鋱D見下圖，IBM ThinkPad T43 作為攻擊主機(jī)，操作系統(tǒng)為Linux，Acer aspire 4750G 作為目標(biāo)主機(jī)，操作系統(tǒng)為Windows 7。測試機(jī)用來測試服務(wù)器是否能提供正常的Web服務(wù)。

PackETH是一款功能非常強(qiáng)大的以太網(wǎng)數(shù)據(jù)包生成器，不但可以隨意更改以太網(wǎng)數(shù)據(jù)包，還可以多種方式重放以太網(wǎng)數(shù)據(jù)包。具體攻擊過程為：首先PC1訪問架設(shè)在目標(biāo)主機(jī)PC2上的Web服務(wù)器，并使用WireShark軟件捕獲TCP三次握手的第一條幀（即SYN 報文段），然后利用PackETH 軟件重放此幀。我們設(shè)置好攻擊參數(shù)后，開始對PC2發(fā)起攻擊。攻擊時PC1的CPU使用率在70%左右，運行正常，但是PC2已經(jīng)陷入癱瘓狀態(tài)。 在PC2被攻擊之前， CPU使用率很低（3%），網(wǎng)絡(luò)使用率幾乎為0。 被攻擊后，主機(jī)PC2的四核CPU使用率飆升至98%，電腦幾乎不能進(jìn)行其他任何操作，陷入癱瘓狀態(tài)。

由此可見，當(dāng)攻擊主機(jī)的配置升級，攻擊參數(shù)增大時，即使目標(biāo)主機(jī)的配置非常高，在這樣的攻擊下也未必能夠幸免。但此類攻擊由于攻擊流量較大，比較容易被DDoS監(jiān)測器或防火墻識別出目標(biāo)機(jī)器正在受到攻擊，因此攻擊的隱蔽性較差。

四、結(jié)束語

分布式拒絕服務(wù)攻擊（DDoS）嚴(yán)重威脅了電子商務(wù)網(wǎng)站的正常運作。通過模擬實驗，我們發(fā)現(xiàn)分布式拒絕服務(wù)攻擊的特點是被攻擊者在同一時間內(nèi)收到大量從不同主機(jī)發(fā)來的請求或者數(shù)據(jù)包，由于那些請求或者數(shù)據(jù)包大多數(shù)采用了偽裝IP源技術(shù)，并且只要單個攻擊點的攻擊流量足夠低，那么想要徹底防御DDoS攻擊，幾乎是不可能的事，但只要我們理解了DDoS攻擊的實現(xiàn)原理和攻擊特點，則至少可以在被攻擊時能做到及早發(fā)現(xiàn)。

參考文獻(xiàn)：

[1]謝逸等.新網(wǎng)絡(luò)環(huán)境下應(yīng)用層DDoS攻擊的剖析與防御.電信科學(xué)，2007年01期，89-93頁.

[2]李目海.基于流量的分布式拒絕服務(wù)攻擊檢測.華東師范大學(xué)2010年博士論文.endprint

基金項目： 浙江省大學(xué)生科技創(chuàng)新活動計劃（新苗人才計劃）資助項目（2013R413034）

摘 要：本文首先介紹了分布式拒絕服務(wù)攻擊（DDoS）的實施原理，并通過模擬實驗實現(xiàn)了 最常見的DDoS攻擊，進(jìn)而分析了DDoS攻擊對電子商務(wù)網(wǎng)站的危害。

關(guān)鍵詞：分布式拒絕服務(wù)攻擊；電子商務(wù)；網(wǎng)絡(luò)安全

電子商務(wù)指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進(jìn)行各種商貿(mào)活動。然而隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，拒絕服務(wù)攻擊也越來越成為電子商務(wù)網(wǎng)站始終如揮之不去的夢魘。

一、分布式拒絕服務(wù)攻擊的實施原理

拒絕服務(wù)攻擊（Denial Of Service，DoS）顧名思義就是使Internet中的受攻擊對象（主機(jī)、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備）無法提供正常服務(wù)的一種攻擊。而分布式拒絕服務(wù)攻擊（Distributed Denial Of Service，DDoS）是DoS攻擊模式的升級形式，由多臺計算機(jī)一起合作，同時向目標(biāo)發(fā)起攻擊。下面我們通過模擬實驗來分析分布式拒絕服務(wù)對電子商務(wù)的危害。

二、實驗工具和測試平臺的搭建

涉及研究的主要硬件有一臺型號為S2016B的華為16口以太網(wǎng)交換機(jī)，一臺型號為TP-WR340G+的TP-LINK無線路由器，一臺H3C MSR30-16路由器，一部型號為I9250的三星安卓智能手機(jī)和三臺個人電腦（配置見表），由于實驗中使用的是百兆交換機(jī)，故所有網(wǎng)卡的最大網(wǎng)速均為100Mbps。

三、DDoS攻擊的模擬實現(xiàn)

傳統(tǒng)的DDoS攻擊的實施原理都差不多，一般都是先抓數(shù)據(jù)包，再根據(jù)自身攻擊特點設(shè)置或修改數(shù)據(jù)包中的參數(shù)，然后再以較大速度重放，最終達(dá)到攻擊目標(biāo)機(jī)器的目的?，F(xiàn)在我們模擬實現(xiàn)較為常見的SYN Flood。

1.SYN Flood 的攻擊原理。SYN Flood攻擊利用了TCP的三次握手機(jī)制，惡意的向被攻擊主機(jī)的TCP服務(wù)器端口發(fā)送大量帶有虛假源地址的TCP SYN分組。如果該端口正在監(jiān)聽連接請求（如Web服務(wù)器），那么被攻擊主機(jī)將通過回復(fù)SYN ACK分組對每個TCP SYN分組進(jìn)行應(yīng)答。由于攻擊者發(fā)送的分組的源地址是偽造地址，所以被攻擊主機(jī)一直等不到回傳信息，分配給這次請求的資源就維持著不釋放。雖然等待一段時間后，這次連接會因為超時而被丟棄，但如果攻擊者發(fā)送大量這種帶偽造地址的分組，被攻擊端將為了維護(hù)一個非常大的半開連接列表而消耗非常多的資源，包括CPU、內(nèi)存和網(wǎng)絡(luò)資源，最后出現(xiàn)拒絕服務(wù)的現(xiàn)象。

2.攻擊實例-PackETH（Ethernet packet generator ）。本實例網(wǎng)絡(luò)拓?fù)鋱D見下圖，IBM ThinkPad T43 作為攻擊主機(jī)，操作系統(tǒng)為Linux，Acer aspire 4750G 作為目標(biāo)主機(jī)，操作系統(tǒng)為Windows 7。測試機(jī)用來測試服務(wù)器是否能提供正常的Web服務(wù)。

PackETH是一款功能非常強(qiáng)大的以太網(wǎng)數(shù)據(jù)包生成器，不但可以隨意更改以太網(wǎng)數(shù)據(jù)包，還可以多種方式重放以太網(wǎng)數(shù)據(jù)包。具體攻擊過程為：首先PC1訪問架設(shè)在目標(biāo)主機(jī)PC2上的Web服務(wù)器，并使用WireShark軟件捕獲TCP三次握手的第一條幀（即SYN 報文段），然后利用PackETH 軟件重放此幀。我們設(shè)置好攻擊參數(shù)后，開始對PC2發(fā)起攻擊。攻擊時PC1的CPU使用率在70%左右，運行正常，但是PC2已經(jīng)陷入癱瘓狀態(tài)。 在PC2被攻擊之前， CPU使用率很低（3%），網(wǎng)絡(luò)使用率幾乎為0。 被攻擊后，主機(jī)PC2的四核CPU使用率飆升至98%，電腦幾乎不能進(jìn)行其他任何操作，陷入癱瘓狀態(tài)。

由此可見，當(dāng)攻擊主機(jī)的配置升級，攻擊參數(shù)增大時，即使目標(biāo)主機(jī)的配置非常高，在這樣的攻擊下也未必能夠幸免。但此類攻擊由于攻擊流量較大，比較容易被DDoS監(jiān)測器或防火墻識別出目標(biāo)機(jī)器正在受到攻擊，因此攻擊的隱蔽性較差。

四、結(jié)束語

分布式拒絕服務(wù)攻擊（DDoS）嚴(yán)重威脅了電子商務(wù)網(wǎng)站的正常運作。通過模擬實驗，我們發(fā)現(xiàn)分布式拒絕服務(wù)攻擊的特點是被攻擊者在同一時間內(nèi)收到大量從不同主機(jī)發(fā)來的請求或者數(shù)據(jù)包，由于那些請求或者數(shù)據(jù)包大多數(shù)采用了偽裝IP源技術(shù)，并且只要單個攻擊點的攻擊流量足夠低，那么想要徹底防御DDoS攻擊，幾乎是不可能的事，但只要我們理解了DDoS攻擊的實現(xiàn)原理和攻擊特點，則至少可以在被攻擊時能做到及早發(fā)現(xiàn)。

參考文獻(xiàn)：

[1]謝逸等.新網(wǎng)絡(luò)環(huán)境下應(yīng)用層DDoS攻擊的剖析與防御.電信科學(xué)，2007年01期，89-93頁.

[2]李目海.基于流量的分布式拒絕服務(wù)攻擊檢測.華東師范大學(xué)2010年博士論文.endprint