亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        拒絕服務(wù)攻擊的一種防御對(duì)策研究

        2012-04-29 00:00:00張祥麗
        企業(yè)導(dǎo)報(bào) 2012年11期

        (重慶大學(xué)通信工程學(xué)院,重慶 400030;重慶電子工程職業(yè)學(xué)院,重慶 401331)

        【摘 要】本文針對(duì)拒絕服務(wù)攻擊中的SYN/Flooding攻擊,提出了采用一種利用計(jì)時(shí)位,進(jìn)行FIFO(先進(jìn)先出)替換法的策略研究。采用Linux平臺(tái),通過模擬攻擊實(shí)驗(yàn)驗(yàn)證該方法的防御效果。

        【關(guān)鍵詞】拒絕服務(wù)攻擊;SYN/Flooding;FIFO(先進(jìn)先出)

        在網(wǎng)絡(luò)攻擊技術(shù)中,拒絕服務(wù)攻擊是常用的一種,它是一種遍布全球的系統(tǒng)漏洞,這種攻擊主要是用來攻擊域名服務(wù)器、路由器以及其它網(wǎng)絡(luò)操作服務(wù),使被攻擊者無法正常的服務(wù),這是一類危害極大的攻擊方式,嚴(yán)重的時(shí)候可以導(dǎo)致一個(gè)網(wǎng)絡(luò)癱瘓。本文模擬了一種SYN/Flooding攻擊實(shí)驗(yàn)并提出了一種FIFO(先進(jìn)先出)淘汰法的對(duì)策研究。

        一、方案設(shè)計(jì)

        1.攻擊實(shí)驗(yàn)。本實(shí)驗(yàn)起用了兩臺(tái)Linux主機(jī)作為攻擊工作站。為了檢驗(yàn)啟用防御方法的有效性,首先做了一個(gè)攻擊實(shí)驗(yàn):一臺(tái)Linux主機(jī)作為攻擊目標(biāo),另一臺(tái)主機(jī)作為攻擊方。具體操作如下:用netstat -na命令觀察服務(wù)器在沒受攻擊情況下的狀況。用編譯好的syn攻擊程序在攻擊方主機(jī)上運(yùn)行,攻擊linux主機(jī),并偽裝一個(gè)攻擊主機(jī)IP地址為202.115.1.1,在被攻擊方Linux主機(jī)上用netstat-na命令觀察。將結(jié)果比較,在正常情況下,其連接狀態(tài)一般處于ESTABLISHED ,而在系統(tǒng)受到攻擊時(shí),發(fā)現(xiàn)收到很多來自IP地址為202.115.1.1的連接請求,其狀態(tài)處于SYN_RECV,占用了很大的空間,說明受到了syn/flooding攻擊。

        2.對(duì)策研究。(1)加大工作站的backlog長度,這樣可以延長隊(duì)列被占滿的時(shí)間。在Linux系統(tǒng)下,為了能方便有效的比較改變隊(duì)列長度前后的不同,先把被攻擊的Linux主機(jī)的隊(duì)列改小一些,設(shè)置成長度為16。通過下面的語句來實(shí)行:echo 16>/proc/sys/net/ipv4/tcp_max_syn_backlog,在改變了系統(tǒng)的backlog隊(duì)列參數(shù)后,在主機(jī)上運(yùn)行syn攻擊程序來進(jìn)行一組攻擊實(shí)驗(yàn)。首先偽裝IP地址為202.115.1.3,同樣使用netstat -na命令,觀察被攻擊方的工作狀態(tài)。結(jié)果發(fā)現(xiàn)緩沖隊(duì)列很快就被填滿,通過連接被攻擊的端口,此時(shí)已經(jīng)連接不上了,這說明此端口已經(jīng)癱瘓掉。接下來執(zhí)行第二步工作,加大backlog隊(duì)列的長度,例如設(shè)置其值為2048,同樣使用下面的命令:echo2048>/proc/sys/net/ipv4/tcp_max_syn_backlog,再利用攻擊程序來看看改變參數(shù)后的情況。這次采用偽IP地址為202.115.1.2,使用netstat-na命令查看攻擊情況,觀察到比加大緩沖隊(duì)列以前的連接請求容許數(shù)量增多。這時(shí)連接被攻擊端口,發(fā)現(xiàn)被攻擊工作站還是可以連接上,加大緩沖隊(duì)列后端口并沒有癱瘓,說明加大隊(duì)列的長度相對(duì)提高了抗攻擊能力。(2)查找計(jì)時(shí)位,進(jìn)行FIFO替換:由于緩存隊(duì)列中自身帶有對(duì)收到的每個(gè)連接請求設(shè)置的計(jì)時(shí)位,以便在超時(shí)后刪除此項(xiàng)?,F(xiàn)在利用這一超時(shí)計(jì)時(shí)位,當(dāng)backlog隊(duì)列滿而又有新的連接請求到達(dá)時(shí),查找隊(duì)列中各項(xiàng)的計(jì)時(shí)位并進(jìn)行比較,將新到達(dá)的連接請求替換計(jì)時(shí)位最大的項(xiàng),達(dá)到服務(wù)器總不拒絕新的連接請求。此項(xiàng)步驟總的流程如下:當(dāng)新的syn請求來到時(shí),首先查看緩存隊(duì)列是否已滿,若未滿,按照正常情況加入隊(duì)列中保存下來,轉(zhuǎn)到步驟3。若緩存已滿,查找隊(duì)列中時(shí)間最大的項(xiàng),用新的syn請求替換它。查找方法如圖1所示。

        注:Timemax為隊(duì)列中最大時(shí)間值,Timequeue[i]是backlog隊(duì)列中第i項(xiàng)的時(shí)間值,Lengthqueue為backlog隊(duì)列的最大長度。返回的i既為查找的緩存隊(duì)列中時(shí)間最大的項(xiàng)。我們就用新的請求替換第i項(xiàng)。(3)新的連接請求入緩沖隊(duì)列以后,按照原來的TCP/IP協(xié)議棧三次握手原則進(jìn)行syn請求連接。

        二、實(shí)驗(yàn)分析

        該方法的優(yōu)點(diǎn)是不管受到怎樣高強(qiáng)度的SYN/Flooding攻擊,系統(tǒng)總不拒絕新來的連接請求,可以滿足高速的合法用戶請求連接,就不會(huì)因?yàn)椴荒芙邮照埱蠖c瘓,這種思想彌補(bǔ)了傳統(tǒng)防范技術(shù)的不足。但加大backlog隊(duì)列,替換backlog隊(duì)列中時(shí)間最長的請求,也導(dǎo)致一些缺陷:一是消耗了系統(tǒng)資源;二是可能替換了合法的用戶請求。

        參 考 文 獻(xiàn)

        [1]Eric Cole.黑客——攻擊透析與防范[M].電子工業(yè)出版社

        [2]張小斌.嚴(yán)望佳.黑客分析與防范技術(shù)[M].清華大學(xué)出版社

        [3]張明猛,趙天福.DDoS攻擊檢測技術(shù)研究[J].計(jì)算機(jī)與信息技術(shù)

        [4]陳明奇.分布式拒絕服務(wù)攻擊處理實(shí)例分析[J].信息網(wǎng)絡(luò)安全

        国产自拍视频一区在线| 狠狠躁夜夜躁人人爽天天天天97| 亚洲综合性色一区| 在线观看国产精品自拍| 熟女人妻在线中文字幕| 国内精品伊人久久久久网站| 特级毛片a级毛片在线播放www | 蜜桃传媒网站在线观看| 亚洲欧美乱日韩乱国产| 精品国产午夜福利在线观看| 中文字幕色视频在线播放| 精品久久中文字幕系列| 久久精品夜色国产亚洲av| 国产不卡一区二区三区免费视| 91精品亚洲一区二区三区| 亚洲一区二区三区精品视频| 性色av免费网站| 国产v视频| 五月停停开心中文字幕| 午夜免费观看日韩一级视频| 少妇性饥渴bbbbb搡bbbb| 少妇无码av无码去区钱| 国产一区二区三区在线影院| 日日噜噜夜夜狠狠va视频v| a级黑人大硬长爽猛出猛进| 无码天堂在线视频| 久久在一区二区三区视频免费观看| 国产精品无码一区二区在线看| 亚洲av日韩aⅴ永久无码| 日韩亚洲在线一区二区| 丰满熟妇乱又伦精品| 无码精品黑人一区二区三区| 天堂网av在线| 成人av在线久色播放| 天天天天躁天天爱天天碰| 久久中文字幕日韩无码视频| 自拍偷区亚洲综合第一页| 成人无码网www在线观看| 97成人精品| 久久免费看视频少妇高潮| 国产激情无码视频在线播放性色|