分布式拒絕服務(wù)攻擊對(duì)電子商務(wù)網(wǎng)站的危害研究

王棋　葉晰

基金項(xiàng)目： 浙江省大學(xué)生科技創(chuàng)新活動(dòng)計(jì)劃（新苗人才計(jì)劃）資助項(xiàng)目（2013R413034）

摘 要：本文首先介紹了分布式拒絕服務(wù)攻擊（DDoS）的實(shí)施原理，并通過(guò)模擬實(shí)驗(yàn)實(shí)現(xiàn)了 最常見(jiàn)的DDoS攻擊，進(jìn)而分析了DDoS攻擊對(duì)電子商務(wù)網(wǎng)站的危害。

關(guān)鍵詞：分布式拒絕服務(wù)攻擊；電子商務(wù)；網(wǎng)絡(luò)安全

電子商務(wù)指的是利用簡(jiǎn)單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng)。然而隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，拒絕服務(wù)攻擊也越來(lái)越成為電子商務(wù)網(wǎng)站始終如揮之不去的夢(mèng)魘。

一、分布式拒絕服務(wù)攻擊的實(shí)施原理

拒絕服務(wù)攻擊（Denial Of Service，DoS）顧名思義就是使Internet中的受攻擊對(duì)象（主機(jī)、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備）無(wú)法提供正常服務(wù)的一種攻擊。而分布式拒絕服務(wù)攻擊（Distributed Denial Of Service，DDoS）是DoS攻擊模式的升級(jí)形式，由多臺(tái)計(jì)算機(jī)一起合作，同時(shí)向目標(biāo)發(fā)起攻擊。下面我們通過(guò)模擬實(shí)驗(yàn)來(lái)分析分布式拒絕服務(wù)對(duì)電子商務(wù)的危害。

二、實(shí)驗(yàn)工具和測(cè)試平臺(tái)的搭建

涉及研究的主要硬件有一臺(tái)型號(hào)為S2016B的華為16口以太網(wǎng)交換機(jī)，一臺(tái)型號(hào)為TP-WR340G+的TP-LINK無(wú)線路由器，一臺(tái)H3C MSR30-16路由器，一部型號(hào)為I9250的三星安卓智能手機(jī)和三臺(tái)個(gè)人電腦（配置見(jiàn)表），由于實(shí)驗(yàn)中使用的是百兆交換機(jī)，故所有網(wǎng)卡的最大網(wǎng)速均為100Mbps。

三、DDoS攻擊的模擬實(shí)現(xiàn)

傳統(tǒng)的DDoS攻擊的實(shí)施原理都差不多，一般都是先抓數(shù)據(jù)包，再根據(jù)自身攻擊特點(diǎn)設(shè)置或修改數(shù)據(jù)包中的參數(shù)，然后再以較大速度重放，最終達(dá)到攻擊目標(biāo)機(jī)器的目的。現(xiàn)在我們模擬實(shí)現(xiàn)較為常見(jiàn)的SYN Flood。

1.SYN Flood 的攻擊原理。SYN Flood攻擊利用了TCP的三次握手機(jī)制，惡意的向被攻擊主機(jī)的TCP服務(wù)器端口發(fā)送大量帶有虛假源地址的TCP SYN分組。如果該端口正在監(jiān)聽(tīng)連接請(qǐng)求（如Web服務(wù)器），那么被攻擊主機(jī)將通過(guò)回復(fù)SYN ACK分組對(duì)每個(gè)TCP SYN分組進(jìn)行應(yīng)答。由于攻擊者發(fā)送的分組的源地址是偽造地址，所以被攻擊主機(jī)一直等不到回傳信息，分配給這次請(qǐng)求的資源就維持著不釋放。雖然等待一段時(shí)間后，這次連接會(huì)因?yàn)槌瑫r(shí)而被丟棄，但如果攻擊者發(fā)送大量這種帶偽造地址的分組，被攻擊端將為了維護(hù)一個(gè)非常大的半開(kāi)連接列表而消耗非常多的資源，包括CPU、內(nèi)存和網(wǎng)絡(luò)資源，最后出現(xiàn)拒絕服務(wù)的現(xiàn)象。

2.攻擊實(shí)例-PackETH（Ethernet packet generator ）。本實(shí)例網(wǎng)絡(luò)拓?fù)鋱D見(jiàn)下圖，IBM ThinkPad T43 作為攻擊主機(jī)，操作系統(tǒng)為L(zhǎng)inux，Acer aspire 4750G 作為目標(biāo)主機(jī)，操作系統(tǒng)為Windows 7。測(cè)試機(jī)用來(lái)測(cè)試服務(wù)器是否能提供正常的Web服務(wù)。

PackETH是一款功能非常強(qiáng)大的以太網(wǎng)數(shù)據(jù)包生成器，不但可以隨意更改以太網(wǎng)數(shù)據(jù)包，還可以多種方式重放以太網(wǎng)數(shù)據(jù)包。具體攻擊過(guò)程為：首先PC1訪問(wèn)架設(shè)在目標(biāo)主機(jī)PC2上的Web服務(wù)器，并使用WireShark軟件捕獲TCP三次握手的第一條幀（即SYN 報(bào)文段），然后利用PackETH 軟件重放此幀。我們?cè)O(shè)置好攻擊參數(shù)后，開(kāi)始對(duì)PC2發(fā)起攻擊。攻擊時(shí)PC1的CPU使用率在70%左右，運(yùn)行正常，但是PC2已經(jīng)陷入癱瘓狀態(tài)。 在PC2被攻擊之前， CPU使用率很低（3%），網(wǎng)絡(luò)使用率幾乎為0。 被攻擊后，主機(jī)PC2的四核CPU使用率飆升至98%，電腦幾乎不能進(jìn)行其他任何操作，陷入癱瘓狀態(tài)。

由此可見(jiàn)，當(dāng)攻擊主機(jī)的配置升級(jí)，攻擊參數(shù)增大時(shí)，即使目標(biāo)主機(jī)的配置非常高，在這樣的攻擊下也未必能夠幸免。但此類攻擊由于攻擊流量較大，比較容易被DDoS監(jiān)測(cè)器或防火墻識(shí)別出目標(biāo)機(jī)器正在受到攻擊，因此攻擊的隱蔽性較差。

四、結(jié)束語(yǔ)

分布式拒絕服務(wù)攻擊（DDoS）嚴(yán)重威脅了電子商務(wù)網(wǎng)站的正常運(yùn)作。通過(guò)模擬實(shí)驗(yàn)，我們發(fā)現(xiàn)分布式拒絕服務(wù)攻擊的特點(diǎn)是被攻擊者在同一時(shí)間內(nèi)收到大量從不同主機(jī)發(fā)來(lái)的請(qǐng)求或者數(shù)據(jù)包，由于那些請(qǐng)求或者數(shù)據(jù)包大多數(shù)采用了偽裝IP源技術(shù)，并且只要單個(gè)攻擊點(diǎn)的攻擊流量足夠低，那么想要徹底防御DDoS攻擊，幾乎是不可能的事，但只要我們理解了DDoS攻擊的實(shí)現(xiàn)原理和攻擊特點(diǎn)，則至少可以在被攻擊時(shí)能做到及早發(fā)現(xiàn)。

參考文獻(xiàn)：

[1]謝逸等.新網(wǎng)絡(luò)環(huán)境下應(yīng)用層DDoS攻擊的剖析與防御.電信科學(xué)，2007年01期，89-93頁(yè).

[2]李目海.基于流量的分布式拒絕服務(wù)攻擊檢測(cè).華東師范大學(xué)2010年博士論文.endprint

基金項(xiàng)目： 浙江省大學(xué)生科技創(chuàng)新活動(dòng)計(jì)劃（新苗人才計(jì)劃）資助項(xiàng)目（2013R413034）

摘 要：本文首先介紹了分布式拒絕服務(wù)攻擊（DDoS）的實(shí)施原理，并通過(guò)模擬實(shí)驗(yàn)實(shí)現(xiàn)了 最常見(jiàn)的DDoS攻擊，進(jìn)而分析了DDoS攻擊對(duì)電子商務(wù)網(wǎng)站的危害。

關(guān)鍵詞：分布式拒絕服務(wù)攻擊；電子商務(wù)；網(wǎng)絡(luò)安全

電子商務(wù)指的是利用簡(jiǎn)單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng)。然而隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，拒絕服務(wù)攻擊也越來(lái)越成為電子商務(wù)網(wǎng)站始終如揮之不去的夢(mèng)魘。

一、分布式拒絕服務(wù)攻擊的實(shí)施原理

拒絕服務(wù)攻擊（Denial Of Service，DoS）顧名思義就是使Internet中的受攻擊對(duì)象（主機(jī)、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備）無(wú)法提供正常服務(wù)的一種攻擊。而分布式拒絕服務(wù)攻擊（Distributed Denial Of Service，DDoS）是DoS攻擊模式的升級(jí)形式，由多臺(tái)計(jì)算機(jī)一起合作，同時(shí)向目標(biāo)發(fā)起攻擊。下面我們通過(guò)模擬實(shí)驗(yàn)來(lái)分析分布式拒絕服務(wù)對(duì)電子商務(wù)的危害。

二、實(shí)驗(yàn)工具和測(cè)試平臺(tái)的搭建

涉及研究的主要硬件有一臺(tái)型號(hào)為S2016B的華為16口以太網(wǎng)交換機(jī)，一臺(tái)型號(hào)為TP-WR340G+的TP-LINK無(wú)線路由器，一臺(tái)H3C MSR30-16路由器，一部型號(hào)為I9250的三星安卓智能手機(jī)和三臺(tái)個(gè)人電腦（配置見(jiàn)表），由于實(shí)驗(yàn)中使用的是百兆交換機(jī)，故所有網(wǎng)卡的最大網(wǎng)速均為100Mbps。

三、DDoS攻擊的模擬實(shí)現(xiàn)

傳統(tǒng)的DDoS攻擊的實(shí)施原理都差不多，一般都是先抓數(shù)據(jù)包，再根據(jù)自身攻擊特點(diǎn)設(shè)置或修改數(shù)據(jù)包中的參數(shù)，然后再以較大速度重放，最終達(dá)到攻擊目標(biāo)機(jī)器的目的。現(xiàn)在我們模擬實(shí)現(xiàn)較為常見(jiàn)的SYN Flood。

1.SYN Flood 的攻擊原理。SYN Flood攻擊利用了TCP的三次握手機(jī)制，惡意的向被攻擊主機(jī)的TCP服務(wù)器端口發(fā)送大量帶有虛假源地址的TCP SYN分組。如果該端口正在監(jiān)聽(tīng)連接請(qǐng)求（如Web服務(wù)器），那么被攻擊主機(jī)將通過(guò)回復(fù)SYN ACK分組對(duì)每個(gè)TCP SYN分組進(jìn)行應(yīng)答。由于攻擊者發(fā)送的分組的源地址是偽造地址，所以被攻擊主機(jī)一直等不到回傳信息，分配給這次請(qǐng)求的資源就維持著不釋放。雖然等待一段時(shí)間后，這次連接會(huì)因?yàn)槌瑫r(shí)而被丟棄，但如果攻擊者發(fā)送大量這種帶偽造地址的分組，被攻擊端將為了維護(hù)一個(gè)非常大的半開(kāi)連接列表而消耗非常多的資源，包括CPU、內(nèi)存和網(wǎng)絡(luò)資源，最后出現(xiàn)拒絕服務(wù)的現(xiàn)象。

2.攻擊實(shí)例-PackETH（Ethernet packet generator ）。本實(shí)例網(wǎng)絡(luò)拓?fù)鋱D見(jiàn)下圖，IBM ThinkPad T43 作為攻擊主機(jī)，操作系統(tǒng)為L(zhǎng)inux，Acer aspire 4750G 作為目標(biāo)主機(jī)，操作系統(tǒng)為Windows 7。測(cè)試機(jī)用來(lái)測(cè)試服務(wù)器是否能提供正常的Web服務(wù)。

PackETH是一款功能非常強(qiáng)大的以太網(wǎng)數(shù)據(jù)包生成器，不但可以隨意更改以太網(wǎng)數(shù)據(jù)包，還可以多種方式重放以太網(wǎng)數(shù)據(jù)包。具體攻擊過(guò)程為：首先PC1訪問(wèn)架設(shè)在目標(biāo)主機(jī)PC2上的Web服務(wù)器，并使用WireShark軟件捕獲TCP三次握手的第一條幀（即SYN 報(bào)文段），然后利用PackETH 軟件重放此幀。我們?cè)O(shè)置好攻擊參數(shù)后，開(kāi)始對(duì)PC2發(fā)起攻擊。攻擊時(shí)PC1的CPU使用率在70%左右，運(yùn)行正常，但是PC2已經(jīng)陷入癱瘓狀態(tài)。 在PC2被攻擊之前， CPU使用率很低（3%），網(wǎng)絡(luò)使用率幾乎為0。 被攻擊后，主機(jī)PC2的四核CPU使用率飆升至98%，電腦幾乎不能進(jìn)行其他任何操作，陷入癱瘓狀態(tài)。

由此可見(jiàn)，當(dāng)攻擊主機(jī)的配置升級(jí)，攻擊參數(shù)增大時(shí)，即使目標(biāo)主機(jī)的配置非常高，在這樣的攻擊下也未必能夠幸免。但此類攻擊由于攻擊流量較大，比較容易被DDoS監(jiān)測(cè)器或防火墻識(shí)別出目標(biāo)機(jī)器正在受到攻擊，因此攻擊的隱蔽性較差。

四、結(jié)束語(yǔ)

分布式拒絕服務(wù)攻擊（DDoS）嚴(yán)重威脅了電子商務(wù)網(wǎng)站的正常運(yùn)作。通過(guò)模擬實(shí)驗(yàn)，我們發(fā)現(xiàn)分布式拒絕服務(wù)攻擊的特點(diǎn)是被攻擊者在同一時(shí)間內(nèi)收到大量從不同主機(jī)發(fā)來(lái)的請(qǐng)求或者數(shù)據(jù)包，由于那些請(qǐng)求或者數(shù)據(jù)包大多數(shù)采用了偽裝IP源技術(shù)，并且只要單個(gè)攻擊點(diǎn)的攻擊流量足夠低，那么想要徹底防御DDoS攻擊，幾乎是不可能的事，但只要我們理解了DDoS攻擊的實(shí)現(xiàn)原理和攻擊特點(diǎn)，則至少可以在被攻擊時(shí)能做到及早發(fā)現(xiàn)。

參考文獻(xiàn)：

[1]謝逸等.新網(wǎng)絡(luò)環(huán)境下應(yīng)用層DDoS攻擊的剖析與防御.電信科學(xué)，2007年01期，89-93頁(yè).

[2]李目海.基于流量的分布式拒絕服務(wù)攻擊檢測(cè).華東師范大學(xué)2010年博士論文.endprint

基金項(xiàng)目： 浙江省大學(xué)生科技創(chuàng)新活動(dòng)計(jì)劃（新苗人才計(jì)劃）資助項(xiàng)目（2013R413034）

摘 要：本文首先介紹了分布式拒絕服務(wù)攻擊（DDoS）的實(shí)施原理，并通過(guò)模擬實(shí)驗(yàn)實(shí)現(xiàn)了 最常見(jiàn)的DDoS攻擊，進(jìn)而分析了DDoS攻擊對(duì)電子商務(wù)網(wǎng)站的危害。

關(guān)鍵詞：分布式拒絕服務(wù)攻擊；電子商務(wù)；網(wǎng)絡(luò)安全

電子商務(wù)指的是利用簡(jiǎn)單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng)。然而隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，拒絕服務(wù)攻擊也越來(lái)越成為電子商務(wù)網(wǎng)站始終如揮之不去的夢(mèng)魘。

一、分布式拒絕服務(wù)攻擊的實(shí)施原理

拒絕服務(wù)攻擊（Denial Of Service，DoS）顧名思義就是使Internet中的受攻擊對(duì)象（主機(jī)、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備）無(wú)法提供正常服務(wù)的一種攻擊。而分布式拒絕服務(wù)攻擊（Distributed Denial Of Service，DDoS）是DoS攻擊模式的升級(jí)形式，由多臺(tái)計(jì)算機(jī)一起合作，同時(shí)向目標(biāo)發(fā)起攻擊。下面我們通過(guò)模擬實(shí)驗(yàn)來(lái)分析分布式拒絕服務(wù)對(duì)電子商務(wù)的危害。

二、實(shí)驗(yàn)工具和測(cè)試平臺(tái)的搭建

涉及研究的主要硬件有一臺(tái)型號(hào)為S2016B的華為16口以太網(wǎng)交換機(jī)，一臺(tái)型號(hào)為TP-WR340G+的TP-LINK無(wú)線路由器，一臺(tái)H3C MSR30-16路由器，一部型號(hào)為I9250的三星安卓智能手機(jī)和三臺(tái)個(gè)人電腦（配置見(jiàn)表），由于實(shí)驗(yàn)中使用的是百兆交換機(jī)，故所有網(wǎng)卡的最大網(wǎng)速均為100Mbps。

三、DDoS攻擊的模擬實(shí)現(xiàn)

傳統(tǒng)的DDoS攻擊的實(shí)施原理都差不多，一般都是先抓數(shù)據(jù)包，再根據(jù)自身攻擊特點(diǎn)設(shè)置或修改數(shù)據(jù)包中的參數(shù)，然后再以較大速度重放，最終達(dá)到攻擊目標(biāo)機(jī)器的目的。現(xiàn)在我們模擬實(shí)現(xiàn)較為常見(jiàn)的SYN Flood。

1.SYN Flood 的攻擊原理。SYN Flood攻擊利用了TCP的三次握手機(jī)制，惡意的向被攻擊主機(jī)的TCP服務(wù)器端口發(fā)送大量帶有虛假源地址的TCP SYN分組。如果該端口正在監(jiān)聽(tīng)連接請(qǐng)求（如Web服務(wù)器），那么被攻擊主機(jī)將通過(guò)回復(fù)SYN ACK分組對(duì)每個(gè)TCP SYN分組進(jìn)行應(yīng)答。由于攻擊者發(fā)送的分組的源地址是偽造地址，所以被攻擊主機(jī)一直等不到回傳信息，分配給這次請(qǐng)求的資源就維持著不釋放。雖然等待一段時(shí)間后，這次連接會(huì)因?yàn)槌瑫r(shí)而被丟棄，但如果攻擊者發(fā)送大量這種帶偽造地址的分組，被攻擊端將為了維護(hù)一個(gè)非常大的半開(kāi)連接列表而消耗非常多的資源，包括CPU、內(nèi)存和網(wǎng)絡(luò)資源，最后出現(xiàn)拒絕服務(wù)的現(xiàn)象。

2.攻擊實(shí)例-PackETH（Ethernet packet generator ）。本實(shí)例網(wǎng)絡(luò)拓?fù)鋱D見(jiàn)下圖，IBM ThinkPad T43 作為攻擊主機(jī)，操作系統(tǒng)為L(zhǎng)inux，Acer aspire 4750G 作為目標(biāo)主機(jī)，操作系統(tǒng)為Windows 7。測(cè)試機(jī)用來(lái)測(cè)試服務(wù)器是否能提供正常的Web服務(wù)。

PackETH是一款功能非常強(qiáng)大的以太網(wǎng)數(shù)據(jù)包生成器，不但可以隨意更改以太網(wǎng)數(shù)據(jù)包，還可以多種方式重放以太網(wǎng)數(shù)據(jù)包。具體攻擊過(guò)程為：首先PC1訪問(wèn)架設(shè)在目標(biāo)主機(jī)PC2上的Web服務(wù)器，并使用WireShark軟件捕獲TCP三次握手的第一條幀（即SYN 報(bào)文段），然后利用PackETH 軟件重放此幀。我們?cè)O(shè)置好攻擊參數(shù)后，開(kāi)始對(duì)PC2發(fā)起攻擊。攻擊時(shí)PC1的CPU使用率在70%左右，運(yùn)行正常，但是PC2已經(jīng)陷入癱瘓狀態(tài)。 在PC2被攻擊之前， CPU使用率很低（3%），網(wǎng)絡(luò)使用率幾乎為0。 被攻擊后，主機(jī)PC2的四核CPU使用率飆升至98%，電腦幾乎不能進(jìn)行其他任何操作，陷入癱瘓狀態(tài)。

由此可見(jiàn)，當(dāng)攻擊主機(jī)的配置升級(jí)，攻擊參數(shù)增大時(shí)，即使目標(biāo)主機(jī)的配置非常高，在這樣的攻擊下也未必能夠幸免。但此類攻擊由于攻擊流量較大，比較容易被DDoS監(jiān)測(cè)器或防火墻識(shí)別出目標(biāo)機(jī)器正在受到攻擊，因此攻擊的隱蔽性較差。

四、結(jié)束語(yǔ)

分布式拒絕服務(wù)攻擊（DDoS）嚴(yán)重威脅了電子商務(wù)網(wǎng)站的正常運(yùn)作。通過(guò)模擬實(shí)驗(yàn)，我們發(fā)現(xiàn)分布式拒絕服務(wù)攻擊的特點(diǎn)是被攻擊者在同一時(shí)間內(nèi)收到大量從不同主機(jī)發(fā)來(lái)的請(qǐng)求或者數(shù)據(jù)包，由于那些請(qǐng)求或者數(shù)據(jù)包大多數(shù)采用了偽裝IP源技術(shù)，并且只要單個(gè)攻擊點(diǎn)的攻擊流量足夠低，那么想要徹底防御DDoS攻擊，幾乎是不可能的事，但只要我們理解了DDoS攻擊的實(shí)現(xiàn)原理和攻擊特點(diǎn)，則至少可以在被攻擊時(shí)能做到及早發(fā)現(xiàn)。

參考文獻(xiàn)：

[1]謝逸等.新網(wǎng)絡(luò)環(huán)境下應(yīng)用層DDoS攻擊的剖析與防御.電信科學(xué)，2007年01期，89-93頁(yè).

[2]李目海.基于流量的分布式拒絕服務(wù)攻擊檢測(cè).華東師范大學(xué)2010年博士論文.endprint