王棋　葉晰

基金項目： 浙江省大學生科技創(chuàng)新活動計劃（新苗人才計劃）資助項目（2013R413034）

摘 要：本文首先介紹了分布式拒絕服務攻擊（DDoS）的實施原理，并通過模擬實驗實現(xiàn)了 最常見的DDoS攻擊，進而分析了DDoS攻擊對電子商務網(wǎng)站的危害。

關鍵詞：分布式拒絕服務攻擊；電子商務；網(wǎng)絡安全

電子商務指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進行各種商貿活動。然而隨著網(wǎng)絡技術的發(fā)展，拒絕服務攻擊也越來越成為電子商務網(wǎng)站始終如揮之不去的夢魘。

一、分布式拒絕服務攻擊的實施原理

拒絕服務攻擊（Denial Of Service，DoS）顧名思義就是使Internet中的受攻擊對象（主機、服務器、路由器等網(wǎng)絡設備）無法提供正常服務的一種攻擊。而分布式拒絕服務攻擊（Distributed Denial Of Service，DDoS）是DoS攻擊模式的升級形式，由多臺計算機一起合作，同時向目標發(fā)起攻擊。下面我們通過模擬實驗來分析分布式拒絕服務對電子商務的危害。

二、實驗工具和測試平臺的搭建

涉及研究的主要硬件有一臺型號為S2016B的華為16口以太網(wǎng)交換機，一臺型號為TP-WR340G+的TP-LINK無線路由器，一臺H3C MSR30-16路由器，一部型號為I9250的三星安卓智能手機和三臺個人電腦（配置見表），由于實驗中使用的是百兆交換機，故所有網(wǎng)卡的最大網(wǎng)速均為100Mbps。

三、DDoS攻擊的模擬實現(xiàn)

傳統(tǒng)的DDoS攻擊的實施原理都差不多，一般都是先抓數(shù)據(jù)包，再根據(jù)自身攻擊特點設置或修改數(shù)據(jù)包中的參數(shù)，然后再以較大速度重放，最終達到攻擊目標機器的目的?，F(xiàn)在我們模擬實現(xiàn)較為常見的SYN Flood。

1.SYN Flood 的攻擊原理。SYN Flood攻擊利用了TCP的三次握手機制，惡意的向被攻擊主機的TCP服務器端口發(fā)送大量帶有虛假源地址的TCP SYN分組。如果該端口正在監(jiān)聽連接請求（如Web服務器），那么被攻擊主機將通過回復SYN ACK分組對每個TCP SYN分組進行應答。由于攻擊者發(fā)送的分組的源地址是偽造地址，所以被攻擊主機一直等不到回傳信息，分配給這次請求的資源就維持著不釋放。雖然等待一段時間后，這次連接會因為超時而被丟棄，但如果攻擊者發(fā)送大量這種帶偽造地址的分組，被攻擊端將為了維護一個非常大的半開連接列表而消耗非常多的資源，包括CPU、內存和網(wǎng)絡資源，最后出現(xiàn)拒絕服務的現(xiàn)象。

2.攻擊實例-PackETH（Ethernet packet generator ）。本實例網(wǎng)絡拓撲圖見下圖，IBM ThinkPad T43 作為攻擊主機，操作系統(tǒng)為Linux，Acer aspire 4750G 作為目標主機，操作系統(tǒng)為Windows 7。測試機用來測試服務器是否能提供正常的Web服務。

PackETH是一款功能非常強大的以太網(wǎng)數(shù)據(jù)包生成器，不但可以隨意更改以太網(wǎng)數(shù)據(jù)包，還可以多種方式重放以太網(wǎng)數(shù)據(jù)包。具體攻擊過程為：首先PC1訪問架設在目標主機PC2上的Web服務器，并使用WireShark軟件捕獲TCP三次握手的第一條幀（即SYN 報文段），然后利用PackETH 軟件重放此幀。我們設置好攻擊參數(shù)后，開始對PC2發(fā)起攻擊。攻擊時PC1的CPU使用率在70%左右，運行正常，但是PC2已經(jīng)陷入癱瘓狀態(tài)。 在PC2被攻擊之前， CPU使用率很低（3%），網(wǎng)絡使用率幾乎為0。 被攻擊后，主機PC2的四核CPU使用率飆升至98%，電腦幾乎不能進行其他任何操作，陷入癱瘓狀態(tài)。

由此可見，當攻擊主機的配置升級，攻擊參數(shù)增大時，即使目標主機的配置非常高，在這樣的攻擊下也未必能夠幸免。但此類攻擊由于攻擊流量較大，比較容易被DDoS監(jiān)測器或防火墻識別出目標機器正在受到攻擊，因此攻擊的隱蔽性較差。

四、結束語

分布式拒絕服務攻擊（DDoS）嚴重威脅了電子商務網(wǎng)站的正常運作。通過模擬實驗，我們發(fā)現(xiàn)分布式拒絕服務攻擊的特點是被攻擊者在同一時間內收到大量從不同主機發(fā)來的請求或者數(shù)據(jù)包，由于那些請求或者數(shù)據(jù)包大多數(shù)采用了偽裝IP源技術，并且只要單個攻擊點的攻擊流量足夠低，那么想要徹底防御DDoS攻擊，幾乎是不可能的事，但只要我們理解了DDoS攻擊的實現(xiàn)原理和攻擊特點，則至少可以在被攻擊時能做到及早發(fā)現(xiàn)。

參考文獻：

[1]謝逸等.新網(wǎng)絡環(huán)境下應用層DDoS攻擊的剖析與防御.電信科學，2007年01期，89-93頁.

[2]李目海.基于流量的分布式拒絕服務攻擊檢測.華東師范大學2010年博士論文.endprint

基金項目： 浙江省大學生科技創(chuàng)新活動計劃（新苗人才計劃）資助項目（2013R413034）

摘 要：本文首先介紹了分布式拒絕服務攻擊（DDoS）的實施原理，并通過模擬實驗實現(xiàn)了 最常見的DDoS攻擊，進而分析了DDoS攻擊對電子商務網(wǎng)站的危害。

關鍵詞：分布式拒絕服務攻擊；電子商務；網(wǎng)絡安全

電子商務指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進行各種商貿活動。然而隨著網(wǎng)絡技術的發(fā)展，拒絕服務攻擊也越來越成為電子商務網(wǎng)站始終如揮之不去的夢魘。

一、分布式拒絕服務攻擊的實施原理

拒絕服務攻擊（Denial Of Service，DoS）顧名思義就是使Internet中的受攻擊對象（主機、服務器、路由器等網(wǎng)絡設備）無法提供正常服務的一種攻擊。而分布式拒絕服務攻擊（Distributed Denial Of Service，DDoS）是DoS攻擊模式的升級形式，由多臺計算機一起合作，同時向目標發(fā)起攻擊。下面我們通過模擬實驗來分析分布式拒絕服務對電子商務的危害。

二、實驗工具和測試平臺的搭建

涉及研究的主要硬件有一臺型號為S2016B的華為16口以太網(wǎng)交換機，一臺型號為TP-WR340G+的TP-LINK無線路由器，一臺H3C MSR30-16路由器，一部型號為I9250的三星安卓智能手機和三臺個人電腦（配置見表），由于實驗中使用的是百兆交換機，故所有網(wǎng)卡的最大網(wǎng)速均為100Mbps。

三、DDoS攻擊的模擬實現(xiàn)

傳統(tǒng)的DDoS攻擊的實施原理都差不多，一般都是先抓數(shù)據(jù)包，再根據(jù)自身攻擊特點設置或修改數(shù)據(jù)包中的參數(shù)，然后再以較大速度重放，最終達到攻擊目標機器的目的。現(xiàn)在我們模擬實現(xiàn)較為常見的SYN Flood。

1.SYN Flood 的攻擊原理。SYN Flood攻擊利用了TCP的三次握手機制，惡意的向被攻擊主機的TCP服務器端口發(fā)送大量帶有虛假源地址的TCP SYN分組。如果該端口正在監(jiān)聽連接請求（如Web服務器），那么被攻擊主機將通過回復SYN ACK分組對每個TCP SYN分組進行應答。由于攻擊者發(fā)送的分組的源地址是偽造地址，所以被攻擊主機一直等不到回傳信息，分配給這次請求的資源就維持著不釋放。雖然等待一段時間后，這次連接會因為超時而被丟棄，但如果攻擊者發(fā)送大量這種帶偽造地址的分組，被攻擊端將為了維護一個非常大的半開連接列表而消耗非常多的資源，包括CPU、內存和網(wǎng)絡資源，最后出現(xiàn)拒絕服務的現(xiàn)象。

2.攻擊實例-PackETH（Ethernet packet generator ）。本實例網(wǎng)絡拓撲圖見下圖，IBM ThinkPad T43 作為攻擊主機，操作系統(tǒng)為Linux，Acer aspire 4750G 作為目標主機，操作系統(tǒng)為Windows 7。測試機用來測試服務器是否能提供正常的Web服務。

PackETH是一款功能非常強大的以太網(wǎng)數(shù)據(jù)包生成器，不但可以隨意更改以太網(wǎng)數(shù)據(jù)包，還可以多種方式重放以太網(wǎng)數(shù)據(jù)包。具體攻擊過程為：首先PC1訪問架設在目標主機PC2上的Web服務器，并使用WireShark軟件捕獲TCP三次握手的第一條幀（即SYN 報文段），然后利用PackETH 軟件重放此幀。我們設置好攻擊參數(shù)后，開始對PC2發(fā)起攻擊。攻擊時PC1的CPU使用率在70%左右，運行正常，但是PC2已經(jīng)陷入癱瘓狀態(tài)。 在PC2被攻擊之前， CPU使用率很低（3%），網(wǎng)絡使用率幾乎為0。 被攻擊后，主機PC2的四核CPU使用率飆升至98%，電腦幾乎不能進行其他任何操作，陷入癱瘓狀態(tài)。

由此可見，當攻擊主機的配置升級，攻擊參數(shù)增大時，即使目標主機的配置非常高，在這樣的攻擊下也未必能夠幸免。但此類攻擊由于攻擊流量較大，比較容易被DDoS監(jiān)測器或防火墻識別出目標機器正在受到攻擊，因此攻擊的隱蔽性較差。

四、結束語

分布式拒絕服務攻擊（DDoS）嚴重威脅了電子商務網(wǎng)站的正常運作。通過模擬實驗，我們發(fā)現(xiàn)分布式拒絕服務攻擊的特點是被攻擊者在同一時間內收到大量從不同主機發(fā)來的請求或者數(shù)據(jù)包，由于那些請求或者數(shù)據(jù)包大多數(shù)采用了偽裝IP源技術，并且只要單個攻擊點的攻擊流量足夠低，那么想要徹底防御DDoS攻擊，幾乎是不可能的事，但只要我們理解了DDoS攻擊的實現(xiàn)原理和攻擊特點，則至少可以在被攻擊時能做到及早發(fā)現(xiàn)。

參考文獻：

[1]謝逸等.新網(wǎng)絡環(huán)境下應用層DDoS攻擊的剖析與防御.電信科學，2007年01期，89-93頁.

[2]李目海.基于流量的分布式拒絕服務攻擊檢測.華東師范大學2010年博士論文.endprint

基金項目： 浙江省大學生科技創(chuàng)新活動計劃（新苗人才計劃）資助項目（2013R413034）

摘 要：本文首先介紹了分布式拒絕服務攻擊（DDoS）的實施原理，并通過模擬實驗實現(xiàn)了 最常見的DDoS攻擊，進而分析了DDoS攻擊對電子商務網(wǎng)站的危害。

關鍵詞：分布式拒絕服務攻擊；電子商務；網(wǎng)絡安全

電子商務指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進行各種商貿活動。然而隨著網(wǎng)絡技術的發(fā)展，拒絕服務攻擊也越來越成為電子商務網(wǎng)站始終如揮之不去的夢魘。

一、分布式拒絕服務攻擊的實施原理

拒絕服務攻擊（Denial Of Service，DoS）顧名思義就是使Internet中的受攻擊對象（主機、服務器、路由器等網(wǎng)絡設備）無法提供正常服務的一種攻擊。而分布式拒絕服務攻擊（Distributed Denial Of Service，DDoS）是DoS攻擊模式的升級形式，由多臺計算機一起合作，同時向目標發(fā)起攻擊。下面我們通過模擬實驗來分析分布式拒絕服務對電子商務的危害。

二、實驗工具和測試平臺的搭建

涉及研究的主要硬件有一臺型號為S2016B的華為16口以太網(wǎng)交換機，一臺型號為TP-WR340G+的TP-LINK無線路由器，一臺H3C MSR30-16路由器，一部型號為I9250的三星安卓智能手機和三臺個人電腦（配置見表），由于實驗中使用的是百兆交換機，故所有網(wǎng)卡的最大網(wǎng)速均為100Mbps。

三、DDoS攻擊的模擬實現(xiàn)

傳統(tǒng)的DDoS攻擊的實施原理都差不多，一般都是先抓數(shù)據(jù)包，再根據(jù)自身攻擊特點設置或修改數(shù)據(jù)包中的參數(shù)，然后再以較大速度重放，最終達到攻擊目標機器的目的?，F(xiàn)在我們模擬實現(xiàn)較為常見的SYN Flood。

1.SYN Flood 的攻擊原理。SYN Flood攻擊利用了TCP的三次握手機制，惡意的向被攻擊主機的TCP服務器端口發(fā)送大量帶有虛假源地址的TCP SYN分組。如果該端口正在監(jiān)聽連接請求（如Web服務器），那么被攻擊主機將通過回復SYN ACK分組對每個TCP SYN分組進行應答。由于攻擊者發(fā)送的分組的源地址是偽造地址，所以被攻擊主機一直等不到回傳信息，分配給這次請求的資源就維持著不釋放。雖然等待一段時間后，這次連接會因為超時而被丟棄，但如果攻擊者發(fā)送大量這種帶偽造地址的分組，被攻擊端將為了維護一個非常大的半開連接列表而消耗非常多的資源，包括CPU、內存和網(wǎng)絡資源，最后出現(xiàn)拒絕服務的現(xiàn)象。

2.攻擊實例-PackETH（Ethernet packet generator ）。本實例網(wǎng)絡拓撲圖見下圖，IBM ThinkPad T43 作為攻擊主機，操作系統(tǒng)為Linux，Acer aspire 4750G 作為目標主機，操作系統(tǒng)為Windows 7。測試機用來測試服務器是否能提供正常的Web服務。

PackETH是一款功能非常強大的以太網(wǎng)數(shù)據(jù)包生成器，不但可以隨意更改以太網(wǎng)數(shù)據(jù)包，還可以多種方式重放以太網(wǎng)數(shù)據(jù)包。具體攻擊過程為：首先PC1訪問架設在目標主機PC2上的Web服務器，并使用WireShark軟件捕獲TCP三次握手的第一條幀（即SYN 報文段），然后利用PackETH 軟件重放此幀。我們設置好攻擊參數(shù)后，開始對PC2發(fā)起攻擊。攻擊時PC1的CPU使用率在70%左右，運行正常，但是PC2已經(jīng)陷入癱瘓狀態(tài)。 在PC2被攻擊之前， CPU使用率很低（3%），網(wǎng)絡使用率幾乎為0。 被攻擊后，主機PC2的四核CPU使用率飆升至98%，電腦幾乎不能進行其他任何操作，陷入癱瘓狀態(tài)。

由此可見，當攻擊主機的配置升級，攻擊參數(shù)增大時，即使目標主機的配置非常高，在這樣的攻擊下也未必能夠幸免。但此類攻擊由于攻擊流量較大，比較容易被DDoS監(jiān)測器或防火墻識別出目標機器正在受到攻擊，因此攻擊的隱蔽性較差。

四、結束語

分布式拒絕服務攻擊（DDoS）嚴重威脅了電子商務網(wǎng)站的正常運作。通過模擬實驗，我們發(fā)現(xiàn)分布式拒絕服務攻擊的特點是被攻擊者在同一時間內收到大量從不同主機發(fā)來的請求或者數(shù)據(jù)包，由于那些請求或者數(shù)據(jù)包大多數(shù)采用了偽裝IP源技術，并且只要單個攻擊點的攻擊流量足夠低，那么想要徹底防御DDoS攻擊，幾乎是不可能的事，但只要我們理解了DDoS攻擊的實現(xiàn)原理和攻擊特點，則至少可以在被攻擊時能做到及早發(fā)現(xiàn)。

參考文獻：

[1]謝逸等.新網(wǎng)絡環(huán)境下應用層DDoS攻擊的剖析與防御.電信科學，2007年01期，89-93頁.

[2]李目海.基于流量的分布式拒絕服務攻擊檢測.華東師范大學2010年博士論文.endprint