DoS攻击对电子商务网站的危害及其防御方案
2015-01-09叶晰赖叶蕾
叶晰+赖叶蕾
基金项目:浙江省大学生科技创新活动计划(新苗人才计划)资助项目(2013R413034)
摘 要:本文首先介绍了拒绝服务攻击(DoS)对电子商务网站的巨大危害,进而分析了DoS攻击的产生原理,并模拟实现了常见的DoS攻击,最后提出了防范DoS攻击的具体措施。
关键词:DoS;网络安全;电子商务;拒绝服务攻击
电子商务指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。而DoS攻击是一种很难被彻底解决的电子商务网站安全问题,其危害较大,往往可造成网站访问延时甚至瘫痪。
一、DoS攻击的介绍
拒绝服务攻击(Denial Of Service,DoS)顾名思义就是使Internet中的受攻击对象(主机、服务器、路由器等网络设备)无法提供正常服务的一种攻击。而分布式拒绝服务攻击(Distributed Denial Of Service,DDoS)是DoS攻击模式的升级形式,由多台计算机一起合作,同时向目标发起攻击。传统的拒绝服务攻击一般都是基于网络层或传输层的,比如UDP泛洪攻击、SYN泛洪攻击和ICMP泛洪攻击等。本文中我们首先模拟实验了常见的DoS攻击,通过详细分析DoS攻击时网络流量和目标机器软硬件使用情况等数据,我们进一步总结了DoS攻击的特征并提出了相应的防御方案。
二、实验工具和测试平台的搭建
1.操作系统和应用软件简介
本系列研究涉及的主要软件有:用于模拟DDoS攻击的DoSHTTP,用于实现包重放的TcpReplay,用于配置网络交换机的SecureCRT,用于捕获数据包的Wireshark,用于修改数据包参数的PackETH,用于对Web进行压力测试的Microsoft Web Application Stress Tool(WAS),用于检测电脑CPU等硬件使用率的Windows 资源监视器和Ubuntu 系统监视器。各类DDoS攻击检测软件和防火墙软件等。
2.Web服务器的搭建
为了使模拟环境最大限度的贴近真实应用环境,并测试DoS攻击对不同类型Web服务器的影响,我们搭建了三种的Web 服务器,分别为:(1)搭建Wampserver作为Web服务器,操作系统为Windows7;(2)Linux系统上安装了Apache+PHP+MySQL的Web服务器;(3)搭建了IIS作为Web服务器。
三、传统的基于网络层和传输层DoS攻击的模拟实现
传统的DoS攻击的实施原理都差不多,一般都是先抓数据包,再根据自身攻击特点设置或修改数据包中(网络层或传输层层面)的参数,然后再以较大速度重放,最终达到攻击目标机器的目的。典型的攻击类型包括:SYN Flood、ACK Flood、UDP Flood、ICMP Flood、Smurf、Land、畸形TCP报文攻击等。现在我们模拟实验较为常见的SYN Flood。
1.SYN Flood的攻击原理
SYN Flood攻击利用了TCP的三次握手机制,恶意的向被攻击主机的TCP服务器端口发送大量带有虚假源地址的TCP SYN分组。如果该端口正在监听连接请求(如Web服务器),那么被攻击主机将通过回复SYN ACK分组对每个TCP SYN分组进行应答。由于攻击者发送的分组的源地址是伪造地址,所以被攻击主机一直等不到回传信息,分配给这次请求的资源就维持着不释放。虽然等待一段时间后,这次连接会因为超时而被丢弃,但如果攻击者发送大量这种带伪造地址的分组,被攻击端将为了维护一个非常大的半开连接列表而消耗非常多的资源,包括CPU、内存和网络资源,最后出现拒绝服务的现象。
2.攻击实例-PackETH(Ethernet packet generator )
本实例网络拓扑图见图,IBM ThinkPad T43作为攻击主机,操作系统为Linux,Acer aspire 4750G作为目标主机,操作系统为Windows7。测试机用来测试服务器是否能提供正常的Web服务。
SYN Flood攻击的网络拓扑图
PackETH是一款功能非常强大的以太网数据包生成器,不但可以随意更改以太网数据包,还可以多种方式重放以太网数据包。具体攻击过程为:首先PC1访问架设在目标主机PC2上的Web服务器,并使用WireShark软件捕获TCP三次握手的第一条帧(即SYN 报文段),然后利用PackETH 软件重放此帧。我们设置好攻击参数后,开始对PC2发起攻击。攻击时PC1的CPU使用率在70%左右,运行正常,但是PC2已经陷入瘫痪状态。在PC2被攻击之前, CPU使用率很低(3%),网络使用率几乎为0。被攻击后,主机PC2的四核CPU使用率飙升至98%,电脑几乎不能进行其他任何操作,陷入瘫痪状态。
四、结束语
作为一种新颖的商务活动过程,电子商务将带来一场史无前例的革命,而电子商务的安全性问题也越来越受到人们的重视。拒绝服务攻击(DoS)严重威胁了电子商务网站的正常运作。总体上来说,我们认为可以采取以下的措施来防范DoS攻击。如开启防火墙,关闭本机的Ping响应,关闭不必要的端口服务等。另一个可行的思路就是运用均衡负载技术,就是把应用业务分布到几台不同的服务器上。这样一来,当DoS攻击发生时不至于所有的服务一下子瘫痪掉。
参考文献:
[1]谢逸等.新网络环境下应用层DDoS攻击的剖析与防御.电信科学,2007(01):89-93.
[2]李目海.基于流量的分布式拒绝服务攻击检测.华东师范大学,2010.
基金项目:浙江省大学生科技创新活动计划(新苗人才计划)资助项目(2013R413034)
摘 要:本文首先介绍了拒绝服务攻击(DoS)对电子商务网站的巨大危害,进而分析了DoS攻击的产生原理,并模拟实现了常见的DoS攻击,最后提出了防范DoS攻击的具体措施。
关键词:DoS;网络安全;电子商务;拒绝服务攻击
电子商务指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。而DoS攻击是一种很难被彻底解决的电子商务网站安全问题,其危害较大,往往可造成网站访问延时甚至瘫痪。
一、DoS攻击的介绍
拒绝服务攻击(Denial Of Service,DoS)顾名思义就是使Internet中的受攻击对象(主机、服务器、路由器等网络设备)无法提供正常服务的一种攻击。而分布式拒绝服务攻击(Distributed Denial Of Service,DDoS)是DoS攻击模式的升级形式,由多台计算机一起合作,同时向目标发起攻击。传统的拒绝服务攻击一般都是基于网络层或传输层的,比如UDP泛洪攻击、SYN泛洪攻击和ICMP泛洪攻击等。本文中我们首先模拟实验了常见的DoS攻击,通过详细分析DoS攻击时网络流量和目标机器软硬件使用情况等数据,我们进一步总结了DoS攻击的特征并提出了相应的防御方案。
二、实验工具和测试平台的搭建
1.操作系统和应用软件简介
本系列研究涉及的主要软件有:用于模拟DDoS攻击的DoSHTTP,用于实现包重放的TcpReplay,用于配置网络交换机的SecureCRT,用于捕获数据包的Wireshark,用于修改数据包参数的PackETH,用于对Web进行压力测试的Microsoft Web Application Stress Tool(WAS),用于检测电脑CPU等硬件使用率的Windows 资源监视器和Ubuntu 系统监视器。各类DDoS攻击检测软件和防火墙软件等。
2.Web服务器的搭建
为了使模拟环境最大限度的贴近真实应用环境,并测试DoS攻击对不同类型Web服务器的影响,我们搭建了三种的Web 服务器,分别为:(1)搭建Wampserver作为Web服务器,操作系统为Windows7;(2)Linux系统上安装了Apache+PHP+MySQL的Web服务器;(3)搭建了IIS作为Web服务器。
三、传统的基于网络层和传输层DoS攻击的模拟实现
传统的DoS攻击的实施原理都差不多,一般都是先抓数据包,再根据自身攻击特点设置或修改数据包中(网络层或传输层层面)的参数,然后再以较大速度重放,最终达到攻击目标机器的目的。典型的攻击类型包括:SYN Flood、ACK Flood、UDP Flood、ICMP Flood、Smurf、Land、畸形TCP报文攻击等。现在我们模拟实验较为常见的SYN Flood。
1.SYN Flood的攻击原理
SYN Flood攻击利用了TCP的三次握手机制,恶意的向被攻击主机的TCP服务器端口发送大量带有虚假源地址的TCP SYN分组。如果该端口正在监听连接请求(如Web服务器),那么被攻击主机将通过回复SYN ACK分组对每个TCP SYN分组进行应答。由于攻击者发送的分组的源地址是伪造地址,所以被攻击主机一直等不到回传信息,分配给这次请求的资源就维持着不释放。虽然等待一段时间后,这次连接会因为超时而被丢弃,但如果攻击者发送大量这种带伪造地址的分组,被攻击端将为了维护一个非常大的半开连接列表而消耗非常多的资源,包括CPU、内存和网络资源,最后出现拒绝服务的现象。
2.攻击实例-PackETH(Ethernet packet generator )
本实例网络拓扑图见图,IBM ThinkPad T43作为攻击主机,操作系统为Linux,Acer aspire 4750G作为目标主机,操作系统为Windows7。测试机用来测试服务器是否能提供正常的Web服务。
SYN Flood攻击的网络拓扑图
PackETH是一款功能非常强大的以太网数据包生成器,不但可以随意更改以太网数据包,还可以多种方式重放以太网数据包。具体攻击过程为:首先PC1访问架设在目标主机PC2上的Web服务器,并使用WireShark软件捕获TCP三次握手的第一条帧(即SYN 报文段),然后利用PackETH 软件重放此帧。我们设置好攻击参数后,开始对PC2发起攻击。攻击时PC1的CPU使用率在70%左右,运行正常,但是PC2已经陷入瘫痪状态。在PC2被攻击之前, CPU使用率很低(3%),网络使用率几乎为0。被攻击后,主机PC2的四核CPU使用率飙升至98%,电脑几乎不能进行其他任何操作,陷入瘫痪状态。
四、结束语
作为一种新颖的商务活动过程,电子商务将带来一场史无前例的革命,而电子商务的安全性问题也越来越受到人们的重视。拒绝服务攻击(DoS)严重威胁了电子商务网站的正常运作。总体上来说,我们认为可以采取以下的措施来防范DoS攻击。如开启防火墙,关闭本机的Ping响应,关闭不必要的端口服务等。另一个可行的思路就是运用均衡负载技术,就是把应用业务分布到几台不同的服务器上。这样一来,当DoS攻击发生时不至于所有的服务一下子瘫痪掉。
参考文献:
[1]谢逸等.新网络环境下应用层DDoS攻击的剖析与防御.电信科学,2007(01):89-93.
[2]李目海.基于流量的分布式拒绝服务攻击检测.华东师范大学,2010.
基金项目:浙江省大学生科技创新活动计划(新苗人才计划)资助项目(2013R413034)
摘 要:本文首先介绍了拒绝服务攻击(DoS)对电子商务网站的巨大危害,进而分析了DoS攻击的产生原理,并模拟实现了常见的DoS攻击,最后提出了防范DoS攻击的具体措施。
关键词:DoS;网络安全;电子商务;拒绝服务攻击
电子商务指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。而DoS攻击是一种很难被彻底解决的电子商务网站安全问题,其危害较大,往往可造成网站访问延时甚至瘫痪。
一、DoS攻击的介绍
拒绝服务攻击(Denial Of Service,DoS)顾名思义就是使Internet中的受攻击对象(主机、服务器、路由器等网络设备)无法提供正常服务的一种攻击。而分布式拒绝服务攻击(Distributed Denial Of Service,DDoS)是DoS攻击模式的升级形式,由多台计算机一起合作,同时向目标发起攻击。传统的拒绝服务攻击一般都是基于网络层或传输层的,比如UDP泛洪攻击、SYN泛洪攻击和ICMP泛洪攻击等。本文中我们首先模拟实验了常见的DoS攻击,通过详细分析DoS攻击时网络流量和目标机器软硬件使用情况等数据,我们进一步总结了DoS攻击的特征并提出了相应的防御方案。
二、实验工具和测试平台的搭建
1.操作系统和应用软件简介
本系列研究涉及的主要软件有:用于模拟DDoS攻击的DoSHTTP,用于实现包重放的TcpReplay,用于配置网络交换机的SecureCRT,用于捕获数据包的Wireshark,用于修改数据包参数的PackETH,用于对Web进行压力测试的Microsoft Web Application Stress Tool(WAS),用于检测电脑CPU等硬件使用率的Windows 资源监视器和Ubuntu 系统监视器。各类DDoS攻击检测软件和防火墙软件等。
2.Web服务器的搭建
为了使模拟环境最大限度的贴近真实应用环境,并测试DoS攻击对不同类型Web服务器的影响,我们搭建了三种的Web 服务器,分别为:(1)搭建Wampserver作为Web服务器,操作系统为Windows7;(2)Linux系统上安装了Apache+PHP+MySQL的Web服务器;(3)搭建了IIS作为Web服务器。
三、传统的基于网络层和传输层DoS攻击的模拟实现
传统的DoS攻击的实施原理都差不多,一般都是先抓数据包,再根据自身攻击特点设置或修改数据包中(网络层或传输层层面)的参数,然后再以较大速度重放,最终达到攻击目标机器的目的。典型的攻击类型包括:SYN Flood、ACK Flood、UDP Flood、ICMP Flood、Smurf、Land、畸形TCP报文攻击等。现在我们模拟实验较为常见的SYN Flood。
1.SYN Flood的攻击原理
SYN Flood攻击利用了TCP的三次握手机制,恶意的向被攻击主机的TCP服务器端口发送大量带有虚假源地址的TCP SYN分组。如果该端口正在监听连接请求(如Web服务器),那么被攻击主机将通过回复SYN ACK分组对每个TCP SYN分组进行应答。由于攻击者发送的分组的源地址是伪造地址,所以被攻击主机一直等不到回传信息,分配给这次请求的资源就维持着不释放。虽然等待一段时间后,这次连接会因为超时而被丢弃,但如果攻击者发送大量这种带伪造地址的分组,被攻击端将为了维护一个非常大的半开连接列表而消耗非常多的资源,包括CPU、内存和网络资源,最后出现拒绝服务的现象。
2.攻击实例-PackETH(Ethernet packet generator )
本实例网络拓扑图见图,IBM ThinkPad T43作为攻击主机,操作系统为Linux,Acer aspire 4750G作为目标主机,操作系统为Windows7。测试机用来测试服务器是否能提供正常的Web服务。
SYN Flood攻击的网络拓扑图
PackETH是一款功能非常强大的以太网数据包生成器,不但可以随意更改以太网数据包,还可以多种方式重放以太网数据包。具体攻击过程为:首先PC1访问架设在目标主机PC2上的Web服务器,并使用WireShark软件捕获TCP三次握手的第一条帧(即SYN 报文段),然后利用PackETH 软件重放此帧。我们设置好攻击参数后,开始对PC2发起攻击。攻击时PC1的CPU使用率在70%左右,运行正常,但是PC2已经陷入瘫痪状态。在PC2被攻击之前, CPU使用率很低(3%),网络使用率几乎为0。被攻击后,主机PC2的四核CPU使用率飙升至98%,电脑几乎不能进行其他任何操作,陷入瘫痪状态。
四、结束语
作为一种新颖的商务活动过程,电子商务将带来一场史无前例的革命,而电子商务的安全性问题也越来越受到人们的重视。拒绝服务攻击(DoS)严重威胁了电子商务网站的正常运作。总体上来说,我们认为可以采取以下的措施来防范DoS攻击。如开启防火墙,关闭本机的Ping响应,关闭不必要的端口服务等。另一个可行的思路就是运用均衡负载技术,就是把应用业务分布到几台不同的服务器上。这样一来,当DoS攻击发生时不至于所有的服务一下子瘫痪掉。
参考文献:
[1]谢逸等.新网络环境下应用层DDoS攻击的剖析与防御.电信科学,2007(01):89-93.
[2]李目海.基于流量的分布式拒绝服务攻击检测.华东师范大学,2010.
