分布式拒绝服务攻击对电子商务网站的危害研究
2015-01-08王棋叶晰
王棋 叶晰
基金项目: 浙江省大学生科技创新活动计划(新苗人才计划)资助项目(2013R413034)
摘 要:本文首先介绍了分布式拒绝服务攻击(DDoS)的实施原理,并通过模拟实验实现了 最常见的DDoS攻击,进而分析了DDoS攻击对电子商务网站的危害。
关键词:分布式拒绝服务攻击;电子商务;网络安全
电子商务指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。然而随着网络技术的发展,拒绝服务攻击也越来越成为电子商务网站始终如挥之不去的梦魇。
一、分布式拒绝服务攻击的实施原理
拒绝服务攻击(Denial Of Service,DoS)顾名思义就是使Internet中的受攻击对象(主机、服务器、路由器等网络设备)无法提供正常服务的一种攻击。而分布式拒绝服务攻击(Distributed Denial Of Service,DDoS)是DoS攻击模式的升级形式,由多台计算机一起合作,同时向目标发起攻击。下面我们通过模拟实验来分析分布式拒绝服务对电子商务的危害。
二、实验工具和测试平台的搭建
涉及研究的主要硬件有一台型号为S2016B的华为16口以太网交换机,一台型号为TP-WR340G+的TP-LINK无线路由器,一台H3C MSR30-16路由器,一部型号为I9250的三星安卓智能手机和三台个人电脑(配置见表),由于实验中使用的是百兆交换机,故所有网卡的最大网速均为100Mbps。
三、DDoS攻击的模拟实现
传统的DDoS攻击的实施原理都差不多,一般都是先抓数据包,再根据自身攻击特点设置或修改数据包中的参数,然后再以较大速度重放,最终达到攻击目标机器的目的。现在我们模拟实现较为常见的SYN Flood。
1.SYN Flood 的攻击原理。SYN Flood攻击利用了TCP的三次握手机制,恶意的向被攻击主机的TCP服务器端口发送大量带有虚假源地址的TCP SYN分组。如果该端口正在监听连接请求(如Web服务器),那么被攻击主机将通过回复SYN ACK分组对每个TCP SYN分组进行应答。由于攻击者发送的分组的源地址是伪造地址,所以被攻击主机一直等不到回传信息,分配给这次请求的资源就维持着不释放。虽然等待一段时间后,这次连接会因为超时而被丢弃,但如果攻击者发送大量这种带伪造地址的分组,被攻击端将为了维护一个非常大的半开连接列表而消耗非常多的资源,包括CPU、内存和网络资源,最后出现拒绝服务的现象。
2.攻击实例-PackETH(Ethernet packet generator )。本实例网络拓扑图见下图,IBM ThinkPad T43 作为攻击主机,操作系统为Linux,Acer aspire 4750G 作为目标主机,操作系统为Windows 7。测试机用来测试服务器是否能提供正常的Web服务。
PackETH是一款功能非常强大的以太网数据包生成器,不但可以随意更改以太网数据包,还可以多种方式重放以太网数据包。具体攻击过程为:首先PC1访问架设在目标主机PC2上的Web服务器,并使用WireShark软件捕获TCP三次握手的第一条帧(即SYN 报文段),然后利用PackETH 软件重放此帧。我们设置好攻击参数后,开始对PC2发起攻击。攻击时PC1的CPU使用率在70%左右,运行正常,但是PC2已经陷入瘫痪状态。 在PC2被攻击之前, CPU使用率很低(3%),网络使用率几乎为0。 被攻击后,主机PC2的四核CPU使用率飙升至98%,电脑几乎不能进行其他任何操作,陷入瘫痪状态。
由此可见,当攻击主机的配置升级,攻击参数增大时,即使目标主机的配置非常高,在这样的攻击下也未必能够幸免。但此类攻击由于攻击流量较大,比较容易被DDoS监测器或防火墙识别出目标机器正在受到攻击,因此攻击的隐蔽性较差。
四、结束语
分布式拒绝服务攻击(DDoS)严重威胁了电子商务网站的正常运作。通过模拟实验,我们发现分布式拒绝服务攻击的特点是被攻击者在同一时间内收到大量从不同主机发来的请求或者数据包,由于那些请求或者数据包大多数采用了伪装IP源技术,并且只要单个攻击点的攻击流量足够低,那么想要彻底防御DDoS攻击,几乎是不可能的事,但只要我们理解了DDoS攻击的实现原理和攻击特点,则至少可以在被攻击时能做到及早发现。
参考文献:
[1]谢逸等.新网络环境下应用层DDoS攻击的剖析与防御.电信科学,2007年01期,89-93页.
[2]李目海.基于流量的分布式拒绝服务攻击检测.华东师范大学2010年博士论文.endprint
基金项目: 浙江省大学生科技创新活动计划(新苗人才计划)资助项目(2013R413034)
摘 要:本文首先介绍了分布式拒绝服务攻击(DDoS)的实施原理,并通过模拟实验实现了 最常见的DDoS攻击,进而分析了DDoS攻击对电子商务网站的危害。
关键词:分布式拒绝服务攻击;电子商务;网络安全
电子商务指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。然而随着网络技术的发展,拒绝服务攻击也越来越成为电子商务网站始终如挥之不去的梦魇。
一、分布式拒绝服务攻击的实施原理
拒绝服务攻击(Denial Of Service,DoS)顾名思义就是使Internet中的受攻击对象(主机、服务器、路由器等网络设备)无法提供正常服务的一种攻击。而分布式拒绝服务攻击(Distributed Denial Of Service,DDoS)是DoS攻击模式的升级形式,由多台计算机一起合作,同时向目标发起攻击。下面我们通过模拟实验来分析分布式拒绝服务对电子商务的危害。
二、实验工具和测试平台的搭建
涉及研究的主要硬件有一台型号为S2016B的华为16口以太网交换机,一台型号为TP-WR340G+的TP-LINK无线路由器,一台H3C MSR30-16路由器,一部型号为I9250的三星安卓智能手机和三台个人电脑(配置见表),由于实验中使用的是百兆交换机,故所有网卡的最大网速均为100Mbps。
三、DDoS攻击的模拟实现
传统的DDoS攻击的实施原理都差不多,一般都是先抓数据包,再根据自身攻击特点设置或修改数据包中的参数,然后再以较大速度重放,最终达到攻击目标机器的目的。现在我们模拟实现较为常见的SYN Flood。
1.SYN Flood 的攻击原理。SYN Flood攻击利用了TCP的三次握手机制,恶意的向被攻击主机的TCP服务器端口发送大量带有虚假源地址的TCP SYN分组。如果该端口正在监听连接请求(如Web服务器),那么被攻击主机将通过回复SYN ACK分组对每个TCP SYN分组进行应答。由于攻击者发送的分组的源地址是伪造地址,所以被攻击主机一直等不到回传信息,分配给这次请求的资源就维持着不释放。虽然等待一段时间后,这次连接会因为超时而被丢弃,但如果攻击者发送大量这种带伪造地址的分组,被攻击端将为了维护一个非常大的半开连接列表而消耗非常多的资源,包括CPU、内存和网络资源,最后出现拒绝服务的现象。
2.攻击实例-PackETH(Ethernet packet generator )。本实例网络拓扑图见下图,IBM ThinkPad T43 作为攻击主机,操作系统为Linux,Acer aspire 4750G 作为目标主机,操作系统为Windows 7。测试机用来测试服务器是否能提供正常的Web服务。
PackETH是一款功能非常强大的以太网数据包生成器,不但可以随意更改以太网数据包,还可以多种方式重放以太网数据包。具体攻击过程为:首先PC1访问架设在目标主机PC2上的Web服务器,并使用WireShark软件捕获TCP三次握手的第一条帧(即SYN 报文段),然后利用PackETH 软件重放此帧。我们设置好攻击参数后,开始对PC2发起攻击。攻击时PC1的CPU使用率在70%左右,运行正常,但是PC2已经陷入瘫痪状态。 在PC2被攻击之前, CPU使用率很低(3%),网络使用率几乎为0。 被攻击后,主机PC2的四核CPU使用率飙升至98%,电脑几乎不能进行其他任何操作,陷入瘫痪状态。
由此可见,当攻击主机的配置升级,攻击参数增大时,即使目标主机的配置非常高,在这样的攻击下也未必能够幸免。但此类攻击由于攻击流量较大,比较容易被DDoS监测器或防火墙识别出目标机器正在受到攻击,因此攻击的隐蔽性较差。
四、结束语
分布式拒绝服务攻击(DDoS)严重威胁了电子商务网站的正常运作。通过模拟实验,我们发现分布式拒绝服务攻击的特点是被攻击者在同一时间内收到大量从不同主机发来的请求或者数据包,由于那些请求或者数据包大多数采用了伪装IP源技术,并且只要单个攻击点的攻击流量足够低,那么想要彻底防御DDoS攻击,几乎是不可能的事,但只要我们理解了DDoS攻击的实现原理和攻击特点,则至少可以在被攻击时能做到及早发现。
参考文献:
[1]谢逸等.新网络环境下应用层DDoS攻击的剖析与防御.电信科学,2007年01期,89-93页.
[2]李目海.基于流量的分布式拒绝服务攻击检测.华东师范大学2010年博士论文.endprint
基金项目: 浙江省大学生科技创新活动计划(新苗人才计划)资助项目(2013R413034)
摘 要:本文首先介绍了分布式拒绝服务攻击(DDoS)的实施原理,并通过模拟实验实现了 最常见的DDoS攻击,进而分析了DDoS攻击对电子商务网站的危害。
关键词:分布式拒绝服务攻击;电子商务;网络安全
电子商务指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。然而随着网络技术的发展,拒绝服务攻击也越来越成为电子商务网站始终如挥之不去的梦魇。
一、分布式拒绝服务攻击的实施原理
拒绝服务攻击(Denial Of Service,DoS)顾名思义就是使Internet中的受攻击对象(主机、服务器、路由器等网络设备)无法提供正常服务的一种攻击。而分布式拒绝服务攻击(Distributed Denial Of Service,DDoS)是DoS攻击模式的升级形式,由多台计算机一起合作,同时向目标发起攻击。下面我们通过模拟实验来分析分布式拒绝服务对电子商务的危害。
二、实验工具和测试平台的搭建
涉及研究的主要硬件有一台型号为S2016B的华为16口以太网交换机,一台型号为TP-WR340G+的TP-LINK无线路由器,一台H3C MSR30-16路由器,一部型号为I9250的三星安卓智能手机和三台个人电脑(配置见表),由于实验中使用的是百兆交换机,故所有网卡的最大网速均为100Mbps。
三、DDoS攻击的模拟实现
传统的DDoS攻击的实施原理都差不多,一般都是先抓数据包,再根据自身攻击特点设置或修改数据包中的参数,然后再以较大速度重放,最终达到攻击目标机器的目的。现在我们模拟实现较为常见的SYN Flood。
1.SYN Flood 的攻击原理。SYN Flood攻击利用了TCP的三次握手机制,恶意的向被攻击主机的TCP服务器端口发送大量带有虚假源地址的TCP SYN分组。如果该端口正在监听连接请求(如Web服务器),那么被攻击主机将通过回复SYN ACK分组对每个TCP SYN分组进行应答。由于攻击者发送的分组的源地址是伪造地址,所以被攻击主机一直等不到回传信息,分配给这次请求的资源就维持着不释放。虽然等待一段时间后,这次连接会因为超时而被丢弃,但如果攻击者发送大量这种带伪造地址的分组,被攻击端将为了维护一个非常大的半开连接列表而消耗非常多的资源,包括CPU、内存和网络资源,最后出现拒绝服务的现象。
2.攻击实例-PackETH(Ethernet packet generator )。本实例网络拓扑图见下图,IBM ThinkPad T43 作为攻击主机,操作系统为Linux,Acer aspire 4750G 作为目标主机,操作系统为Windows 7。测试机用来测试服务器是否能提供正常的Web服务。
PackETH是一款功能非常强大的以太网数据包生成器,不但可以随意更改以太网数据包,还可以多种方式重放以太网数据包。具体攻击过程为:首先PC1访问架设在目标主机PC2上的Web服务器,并使用WireShark软件捕获TCP三次握手的第一条帧(即SYN 报文段),然后利用PackETH 软件重放此帧。我们设置好攻击参数后,开始对PC2发起攻击。攻击时PC1的CPU使用率在70%左右,运行正常,但是PC2已经陷入瘫痪状态。 在PC2被攻击之前, CPU使用率很低(3%),网络使用率几乎为0。 被攻击后,主机PC2的四核CPU使用率飙升至98%,电脑几乎不能进行其他任何操作,陷入瘫痪状态。
由此可见,当攻击主机的配置升级,攻击参数增大时,即使目标主机的配置非常高,在这样的攻击下也未必能够幸免。但此类攻击由于攻击流量较大,比较容易被DDoS监测器或防火墙识别出目标机器正在受到攻击,因此攻击的隐蔽性较差。
四、结束语
分布式拒绝服务攻击(DDoS)严重威胁了电子商务网站的正常运作。通过模拟实验,我们发现分布式拒绝服务攻击的特点是被攻击者在同一时间内收到大量从不同主机发来的请求或者数据包,由于那些请求或者数据包大多数采用了伪装IP源技术,并且只要单个攻击点的攻击流量足够低,那么想要彻底防御DDoS攻击,几乎是不可能的事,但只要我们理解了DDoS攻击的实现原理和攻击特点,则至少可以在被攻击时能做到及早发现。
参考文献:
[1]谢逸等.新网络环境下应用层DDoS攻击的剖析与防御.电信科学,2007年01期,89-93页.
[2]李目海.基于流量的分布式拒绝服务攻击检测.华东师范大学2010年博士论文.endprint
