DoS攻擊對電子商務網站的危害及其防御方案

葉晰+賴葉蕾

基金項目：浙江省大學生科技創新活動計劃（新苗人才計劃）資助項目（2013R413034）

摘 要：本文首先介紹了拒絕服務攻擊（DoS）對電子商務網站的巨大危害，進而分析了DoS攻擊的產生原理，并模擬實現了常見的DoS攻擊，最后提出了防范DoS攻擊的具體措施。

關鍵詞：DoS；網絡安全；電子商務；拒絕服務攻擊

電子商務指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進行各種商貿活動。而DoS攻擊是一種很難被徹底解決的電子商務網站安全問題，其危害較大，往往可造成網站訪問延時甚至癱瘓。

一、DoS攻擊的介紹

拒絕服務攻擊（Denial Of Service，DoS）顧名思義就是使Internet中的受攻擊對象（主機、服務器、路由器等網絡設備）無法提供正常服務的一種攻擊。而分布式拒絕服務攻擊（Distributed Denial Of Service，DDoS）是DoS攻擊模式的升級形式，由多臺計算機一起合作，同時向目標發起攻擊。傳統的拒絕服務攻擊一般都是基于網絡層或傳輸層的，比如UDP泛洪攻擊、SYN泛洪攻擊和ICMP泛洪攻擊等。本文中我們首先模擬實驗了常見的DoS攻擊，通過詳細分析DoS攻擊時網絡流量和目標機器軟硬件使用情況等數據，我們進一步總結了DoS攻擊的特征并提出了相應的防御方案。

二、實驗工具和測試平臺的搭建

1.操作系統和應用軟件簡介

本系列研究涉及的主要軟件有：用于模擬DDoS攻擊的DoSHTTP，用于實現包重放的TcpReplay，用于配置網絡交換機的SecureCRT，用于捕獲數據包的Wireshark，用于修改數據包參數的PackETH，用于對Web進行壓力測試的Microsoft Web Application Stress Tool（WAS），用于檢測電腦CPU等硬件使用率的Windows 資源監視器和Ubuntu 系統監視器。各類DDoS攻擊檢測軟件和防火墻軟件等。

2.Web服務器的搭建

為了使模擬環境最大限度的貼近真實應用環境，并測試DoS攻擊對不同類型Web服務器的影響，我們搭建了三種的Web 服務器，分別為：（1）搭建Wampserver作為Web服務器，操作系統為Windows7；（2）Linux系統上安裝了Apache+PHP+MySQL的Web服務器；（3）搭建了IIS作為Web服務器。

三、傳統的基于網絡層和傳輸層DoS攻擊的模擬實現

傳統的DoS攻擊的實施原理都差不多，一般都是先抓數據包，再根據自身攻擊特點設置或修改數據包中（網絡層或傳輸層層面）的參數，然后再以較大速度重放，最終達到攻擊目標機器的目的。典型的攻擊類型包括：SYN Flood、ACK Flood、UDP Flood、ICMP Flood、Smurf、Land、畸形TCP報文攻擊等。現在我們模擬實驗較為常見的SYN Flood。

1.SYN Flood的攻擊原理

SYN Flood攻擊利用了TCP的三次握手機制，惡意的向被攻擊主機的TCP服務器端口發送大量帶有虛假源地址的TCP SYN分組。如果該端口正在監聽連接請求（如Web服務器），那么被攻擊主機將通過回復SYN ACK分組對每個TCP SYN分組進行應答。由于攻擊者發送的分組的源地址是偽造地址，所以被攻擊主機一直等不到回傳信息，分配給這次請求的資源就維持著不釋放。雖然等待一段時間后，這次連接會因為超時而被丟棄，但如果攻擊者發送大量這種帶偽造地址的分組，被攻擊端將為了維護一個非常大的半開連接列表而消耗非常多的資源，包括CPU、內存和網絡資源，最后出現拒絕服務的現象。

2.攻擊實例-PackETH（Ethernet packet generator ）

本實例網絡拓撲圖見圖，IBM ThinkPad T43作為攻擊主機，操作系統為Linux，Acer aspire 4750G作為目標主機，操作系統為Windows7。測試機用來測試服務器是否能提供正常的Web服務。

SYN Flood攻擊的網絡拓撲圖

PackETH是一款功能非常強大的以太網數據包生成器，不但可以隨意更改以太網數據包，還可以多種方式重放以太網數據包。具體攻擊過程為：首先PC1訪問架設在目標主機PC2上的Web服務器，并使用WireShark軟件捕獲TCP三次握手的第一條幀（即SYN 報文段），然后利用PackETH 軟件重放此幀。我們設置好攻擊參數后，開始對PC2發起攻擊。攻擊時PC1的CPU使用率在70%左右，運行正常，但是PC2已經陷入癱瘓狀態。在PC2被攻擊之前， CPU使用率很低（3%），網絡使用率幾乎為0。被攻擊后，主機PC2的四核CPU使用率飆升至98%，電腦幾乎不能進行其他任何操作，陷入癱瘓狀態。

四、結束語

作為一種新穎的商務活動過程，電子商務將帶來一場史無前例的革命，而電子商務的安全性問題也越來越受到人們的重視。拒絕服務攻擊（DoS）嚴重威脅了電子商務網站的正常運作。總體上來說，我們認為可以采取以下的措施來防范DoS攻擊。如開啟防火墻，關閉本機的Ping響應，關閉不必要的端口服務等。另一個可行的思路就是運用均衡負載技術，就是把應用業務分布到幾臺不同的服務器上。這樣一來，當DoS攻擊發生時不至于所有的服務一下子癱瘓掉。

參考文獻：

[1]謝逸等.新網絡環境下應用層DDoS攻擊的剖析與防御.電信科學，2007（01）：89-93.

[2]李目海.基于流量的分布式拒絕服務攻擊檢測.華東師范大學，2010.

基金項目：浙江省大學生科技創新活動計劃（新苗人才計劃）資助項目（2013R413034）

摘 要：本文首先介紹了拒絕服務攻擊（DoS）對電子商務網站的巨大危害，進而分析了DoS攻擊的產生原理，并模擬實現了常見的DoS攻擊，最后提出了防范DoS攻擊的具體措施。

關鍵詞：DoS；網絡安全；電子商務；拒絕服務攻擊

電子商務指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進行各種商貿活動。而DoS攻擊是一種很難被徹底解決的電子商務網站安全問題，其危害較大，往往可造成網站訪問延時甚至癱瘓。

一、DoS攻擊的介紹

拒絕服務攻擊（Denial Of Service，DoS）顧名思義就是使Internet中的受攻擊對象（主機、服務器、路由器等網絡設備）無法提供正常服務的一種攻擊。而分布式拒絕服務攻擊（Distributed Denial Of Service，DDoS）是DoS攻擊模式的升級形式，由多臺計算機一起合作，同時向目標發起攻擊。傳統的拒絕服務攻擊一般都是基于網絡層或傳輸層的，比如UDP泛洪攻擊、SYN泛洪攻擊和ICMP泛洪攻擊等。本文中我們首先模擬實驗了常見的DoS攻擊，通過詳細分析DoS攻擊時網絡流量和目標機器軟硬件使用情況等數據，我們進一步總結了DoS攻擊的特征并提出了相應的防御方案。

二、實驗工具和測試平臺的搭建

1.操作系統和應用軟件簡介

本系列研究涉及的主要軟件有：用于模擬DDoS攻擊的DoSHTTP，用于實現包重放的TcpReplay，用于配置網絡交換機的SecureCRT，用于捕獲數據包的Wireshark，用于修改數據包參數的PackETH，用于對Web進行壓力測試的Microsoft Web Application Stress Tool（WAS），用于檢測電腦CPU等硬件使用率的Windows 資源監視器和Ubuntu 系統監視器。各類DDoS攻擊檢測軟件和防火墻軟件等。

2.Web服務器的搭建

為了使模擬環境最大限度的貼近真實應用環境，并測試DoS攻擊對不同類型Web服務器的影響，我們搭建了三種的Web 服務器，分別為：（1）搭建Wampserver作為Web服務器，操作系統為Windows7；（2）Linux系統上安裝了Apache+PHP+MySQL的Web服務器；（3）搭建了IIS作為Web服務器。

三、傳統的基于網絡層和傳輸層DoS攻擊的模擬實現

傳統的DoS攻擊的實施原理都差不多，一般都是先抓數據包，再根據自身攻擊特點設置或修改數據包中（網絡層或傳輸層層面）的參數，然后再以較大速度重放，最終達到攻擊目標機器的目的。典型的攻擊類型包括：SYN Flood、ACK Flood、UDP Flood、ICMP Flood、Smurf、Land、畸形TCP報文攻擊等。現在我們模擬實驗較為常見的SYN Flood。

1.SYN Flood的攻擊原理

SYN Flood攻擊利用了TCP的三次握手機制，惡意的向被攻擊主機的TCP服務器端口發送大量帶有虛假源地址的TCP SYN分組。如果該端口正在監聽連接請求（如Web服務器），那么被攻擊主機將通過回復SYN ACK分組對每個TCP SYN分組進行應答。由于攻擊者發送的分組的源地址是偽造地址，所以被攻擊主機一直等不到回傳信息，分配給這次請求的資源就維持著不釋放。雖然等待一段時間后，這次連接會因為超時而被丟棄，但如果攻擊者發送大量這種帶偽造地址的分組，被攻擊端將為了維護一個非常大的半開連接列表而消耗非常多的資源，包括CPU、內存和網絡資源，最后出現拒絕服務的現象。

2.攻擊實例-PackETH（Ethernet packet generator ）

本實例網絡拓撲圖見圖，IBM ThinkPad T43作為攻擊主機，操作系統為Linux，Acer aspire 4750G作為目標主機，操作系統為Windows7。測試機用來測試服務器是否能提供正常的Web服務。

SYN Flood攻擊的網絡拓撲圖

PackETH是一款功能非常強大的以太網數據包生成器，不但可以隨意更改以太網數據包，還可以多種方式重放以太網數據包。具體攻擊過程為：首先PC1訪問架設在目標主機PC2上的Web服務器，并使用WireShark軟件捕獲TCP三次握手的第一條幀（即SYN 報文段），然后利用PackETH 軟件重放此幀。我們設置好攻擊參數后，開始對PC2發起攻擊。攻擊時PC1的CPU使用率在70%左右，運行正常，但是PC2已經陷入癱瘓狀態。在PC2被攻擊之前， CPU使用率很低（3%），網絡使用率幾乎為0。被攻擊后，主機PC2的四核CPU使用率飆升至98%，電腦幾乎不能進行其他任何操作，陷入癱瘓狀態。

四、結束語

作為一種新穎的商務活動過程，電子商務將帶來一場史無前例的革命，而電子商務的安全性問題也越來越受到人們的重視。拒絕服務攻擊（DoS）嚴重威脅了電子商務網站的正常運作。總體上來說，我們認為可以采取以下的措施來防范DoS攻擊。如開啟防火墻，關閉本機的Ping響應，關閉不必要的端口服務等。另一個可行的思路就是運用均衡負載技術，就是把應用業務分布到幾臺不同的服務器上。這樣一來，當DoS攻擊發生時不至于所有的服務一下子癱瘓掉。

參考文獻：

[1]謝逸等.新網絡環境下應用層DDoS攻擊的剖析與防御.電信科學，2007（01）：89-93.

[2]李目海.基于流量的分布式拒絕服務攻擊檢測.華東師范大學，2010.

基金項目：浙江省大學生科技創新活動計劃（新苗人才計劃）資助項目（2013R413034）

摘 要：本文首先介紹了拒絕服務攻擊（DoS）對電子商務網站的巨大危害，進而分析了DoS攻擊的產生原理，并模擬實現了常見的DoS攻擊，最后提出了防范DoS攻擊的具體措施。

關鍵詞：DoS；網絡安全；電子商務；拒絕服務攻擊

電子商務指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進行各種商貿活動。而DoS攻擊是一種很難被徹底解決的電子商務網站安全問題，其危害較大，往往可造成網站訪問延時甚至癱瘓。

一、DoS攻擊的介紹

拒絕服務攻擊（Denial Of Service，DoS）顧名思義就是使Internet中的受攻擊對象（主機、服務器、路由器等網絡設備）無法提供正常服務的一種攻擊。而分布式拒絕服務攻擊（Distributed Denial Of Service，DDoS）是DoS攻擊模式的升級形式，由多臺計算機一起合作，同時向目標發起攻擊。傳統的拒絕服務攻擊一般都是基于網絡層或傳輸層的，比如UDP泛洪攻擊、SYN泛洪攻擊和ICMP泛洪攻擊等。本文中我們首先模擬實驗了常見的DoS攻擊，通過詳細分析DoS攻擊時網絡流量和目標機器軟硬件使用情況等數據，我們進一步總結了DoS攻擊的特征并提出了相應的防御方案。

二、實驗工具和測試平臺的搭建

1.操作系統和應用軟件簡介

本系列研究涉及的主要軟件有：用于模擬DDoS攻擊的DoSHTTP，用于實現包重放的TcpReplay，用于配置網絡交換機的SecureCRT，用于捕獲數據包的Wireshark，用于修改數據包參數的PackETH，用于對Web進行壓力測試的Microsoft Web Application Stress Tool（WAS），用于檢測電腦CPU等硬件使用率的Windows 資源監視器和Ubuntu 系統監視器。各類DDoS攻擊檢測軟件和防火墻軟件等。

2.Web服務器的搭建

為了使模擬環境最大限度的貼近真實應用環境，并測試DoS攻擊對不同類型Web服務器的影響，我們搭建了三種的Web 服務器，分別為：（1）搭建Wampserver作為Web服務器，操作系統為Windows7；（2）Linux系統上安裝了Apache+PHP+MySQL的Web服務器；（3）搭建了IIS作為Web服務器。

三、傳統的基于網絡層和傳輸層DoS攻擊的模擬實現

傳統的DoS攻擊的實施原理都差不多，一般都是先抓數據包，再根據自身攻擊特點設置或修改數據包中（網絡層或傳輸層層面）的參數，然后再以較大速度重放，最終達到攻擊目標機器的目的。典型的攻擊類型包括：SYN Flood、ACK Flood、UDP Flood、ICMP Flood、Smurf、Land、畸形TCP報文攻擊等。現在我們模擬實驗較為常見的SYN Flood。

1.SYN Flood的攻擊原理

SYN Flood攻擊利用了TCP的三次握手機制，惡意的向被攻擊主機的TCP服務器端口發送大量帶有虛假源地址的TCP SYN分組。如果該端口正在監聽連接請求（如Web服務器），那么被攻擊主機將通過回復SYN ACK分組對每個TCP SYN分組進行應答。由于攻擊者發送的分組的源地址是偽造地址，所以被攻擊主機一直等不到回傳信息，分配給這次請求的資源就維持著不釋放。雖然等待一段時間后，這次連接會因為超時而被丟棄，但如果攻擊者發送大量這種帶偽造地址的分組，被攻擊端將為了維護一個非常大的半開連接列表而消耗非常多的資源，包括CPU、內存和網絡資源，最后出現拒絕服務的現象。

2.攻擊實例-PackETH（Ethernet packet generator ）

本實例網絡拓撲圖見圖，IBM ThinkPad T43作為攻擊主機，操作系統為Linux，Acer aspire 4750G作為目標主機，操作系統為Windows7。測試機用來測試服務器是否能提供正常的Web服務。

SYN Flood攻擊的網絡拓撲圖

PackETH是一款功能非常強大的以太網數據包生成器，不但可以隨意更改以太網數據包，還可以多種方式重放以太網數據包。具體攻擊過程為：首先PC1訪問架設在目標主機PC2上的Web服務器，并使用WireShark軟件捕獲TCP三次握手的第一條幀（即SYN 報文段），然后利用PackETH 軟件重放此幀。我們設置好攻擊參數后，開始對PC2發起攻擊。攻擊時PC1的CPU使用率在70%左右，運行正常，但是PC2已經陷入癱瘓狀態。在PC2被攻擊之前， CPU使用率很低（3%），網絡使用率幾乎為0。被攻擊后，主機PC2的四核CPU使用率飆升至98%，電腦幾乎不能進行其他任何操作，陷入癱瘓狀態。

四、結束語

作為一種新穎的商務活動過程，電子商務將帶來一場史無前例的革命，而電子商務的安全性問題也越來越受到人們的重視。拒絕服務攻擊（DoS）嚴重威脅了電子商務網站的正常運作。總體上來說，我們認為可以采取以下的措施來防范DoS攻擊。如開啟防火墻，關閉本機的Ping響應，關閉不必要的端口服務等。另一個可行的思路就是運用均衡負載技術，就是把應用業務分布到幾臺不同的服務器上。這樣一來，當DoS攻擊發生時不至于所有的服務一下子癱瘓掉。

參考文獻：

[1]謝逸等.新網絡環境下應用層DDoS攻擊的剖析與防御.電信科學，2007（01）：89-93.

[2]李目海.基于流量的分布式拒絕服務攻擊檢測.華東師范大學，2010.