turnitin查重免费入口
turnitin查重 > 管理学 > 一种电子商务网站抵御分布式拒绝服务攻击的方案

一种电子商务网站抵御分布式拒绝服务攻击的方案

时间:2024-02-17 点赞:52250 浏览:109003 作者原创标记本站原创

本文是一篇电子商务网站论文范文,关于电子商务网站相关自考毕业论文开题报告,关于一种电子商务网站抵御分布式拒绝服务攻击的方案相关开题报告范文。适合电子商务网站及电子商务及数据库方面的的大学硕士和本科毕业论文以及电子商务网站相关开题报告范文和职称论文写作参考文献资料下载。

摘 要:本文首先介绍了分布式拒绝服务攻击(DDoS)的实施原理,进而分析了DDoS攻击对电子商务网站和DNS服务器的危害,最后提出了一种防御基于DNS放大DDoS攻击的方案.

关 键 词:分布式拒绝服务攻击DNSUDP放大攻击反射攻击

电子商务指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动.然而随着网络技术的发展,拒绝服务攻击也越来越成为电子商务网站始终如挥之不去的梦魇.

一、分布式拒绝服务攻击的实施原理

拒绝服务攻击(DoS)一般可以被归纳为两大类.第一种DoS攻击主要是利用网络协议漏洞、操作系统或应用软件的缺陷来达到攻击的目的,如比较有名的pingofdeath攻击.第二种是攻击者直接向目标机器发送大量精心伪造的数据包,其主要目标往往是目标系统中最稀缺的资源,如内存,CPU或者网络带宽等.此类型的拒绝服务攻击一般被称为泛洪(flooding)攻击,如SYN-Flood攻击就是属于此类攻击.

二、分布式拒绝服务攻击的危害性

拒绝服务攻击威胁着因特网上所有类型的服务,DNS服务器也不例外.与DNS服务器相关的攻击也可以分为两种.第一种情况是以DNS服务器为攻击目标,即攻击者直接向DNS服务器发送大量的DNS查询请求或其他无用的UDP流量进而影响DNS服务器的正常工作.防御这种蛮力攻击的简单有效的方法是使用Cluster集群技术进行负载平衡,这也是众多世界级公司惯用的抵御DoS攻击的措施.第二种DNS相关攻击更为精巧和策略性,攻击者往往利用DNS服务器来放大攻击流量(也就是所谓的DNS放大攻击或反射攻击).其基本原理是攻击者发送一个伪造的DNS询问请求给DNS服务器,而这个DNS询问请求的源地址被设置为目标地址(即被攻击者地址).由于DNS应答数据包的字节数远大于DNS询问数据包,故无形中攻击流量被放大了.因此DNS放大攻击会不但会耗尽被攻击者的下行带宽,也会消耗被利用DNS服务器的上行带宽.由于攻击流量会被放大,故一个攻击者可以轻易的耗尽带宽比自己大数倍的目标机器的带宽.

三、DNS放大攻击的防御措施研究

一个有效的防御方案的主要任务是在可承受的计算能力和内存消耗下,能区分出正常的DNS应答数据流量和攻击流量.具体来说,正常情况下发送的DNS询问请求数据包和收到的DNS应答数据包都是对应的(当然未必是一一对应,由于某些请求可能未得到回应,故请求数据包的数量一般大于应答数据包,但真实的应答数据包必然有相对应的询问数据包),而当攻击发生时被攻击机器将会收到大量没有相应发送请求记录的应答数据包(我们可称这些数据包为未配对数据包),这些数据包就可以被标志为可疑的数据包.

我们使用snort来监视进出机器的DNS询问请求和应答数据包.同时我们使用PHP语言编写了一个DNS放大攻击检测软件DDAA(DetectingDNAAmplificationAttacks)来实时处理我们捕获到的数据并把这些信息存放到数据库中,其中我们根据端口53来区分是否是DNS数据流量.其次我们可以把机器接收到的DNS应答数据包按照其特征可以被划分为正常或可疑.

下图显示了我们提出的防御方案的总体架构.简而言之,当DDAA引擎检测到DNS数据包时先判定数据包是询问请求包还是应答包(可根据源端口和目的端口来判定).如果是询问请求数据包,DDAA会把该包的信息写入数据表,并供以后查询.当确认是应答数据包后,DDAA会在数据库表中寻找与之匹配的询问请求数据包.如果未能在相应时间段内(如5秒内)查询到与之匹配的请求数据包,则可判定该应答数据包为可疑数据包.当可疑数据包的数目超过一个阀值后,如下图所示,DDAA将会产生一个警报信号并改写防火墙的设置来阻塞来自该IP地址的所有数据.DDAA软件中的所有参数设置(如阀值等)都可以根据系统管理员的安全策略而动态的变化.


为了评估本方案的识别攻击的准确度,我们按照图1架构了系统并模拟了攻击.根据我们前面所述的场景,攻击者伪造了DNS请求数据包并发送给本地DNS服务器,以便产生DoS攻击.此场景下受害者可以是DNS服务器本身或者是其他网络里的机器(只要DNS请求数据包里的源地址设为受害者地址即可).当攻击者的攻击达到一定强度(即警报数超过一定阀值),DDAA会向防火墙发出信息,以阻塞该IP地址对系统的攻击.一个指示防火墙阻塞IP地址202.116.64.106的命令如下:

iptables-IRH-Firewall-1-INPUT-pudp-s202.116.64.106-m-tateNEW-

mudp-sport53-jREJECT

四、结束语

分布式拒绝服务攻击(DDoS)严重威胁了电子商务网站的正常运作.本文中我们主要讨论了基于DNS放大的DDoS攻击的产生机理,并提出了一种新颖,有效和易实现的方法来减低此种攻击对客户机的危害.部署本方案可以较好的保护本地DNS服务器和主机,可以把攻击带来的损失降低到最小,从而提高了电子商务活动的安全性.

相关论文

电子商务网站安全中的DDoS攻击防御新

本文是一篇电子商务论文范文,电子商务有关毕业论文格式,关于电子商务网站安全中的DDoS攻击防御新相关电大毕业论文范文。适合电子商务及信息。

我国电子商务网站盈利模式

本文是一篇电子商务论文范文,电子商务类有关专科毕业论文开题报告,关于我国电子商务网站盈利模式相关硕士学位毕业论文范文。适合电子商务及。

电子商务网站存储系统

本文是一篇电子商务网站论文范文,关于电子商务网站自考毕业论文开题报告,关于电子商务网站存储系统相关开题报告范文。适合电子商务网站及电。

基于AHP与DEA的电子商务网站评价

本文是一篇电子商务网站论文范文,关于电子商务网站学士学位论文,关于基于AHP与DEA的电子商务网站评价相关本科毕业论文范文。适合电子商务网。

基于SEO的电子商务网站优化探究

本文是一篇电子商务网站论文范文,电子商务网站类有关毕业论文题目,关于基于SEO的电子商务网站优化探究相关毕业论文模板范文。适合电子商务。

电子商务网站规划

这是一篇关于网络营销类毕业论文开题报告范文,与电子商务网站规划相关毕业论文参考文献格式。是结业论文专业与网络营销及电子商务及骨干教。

旅行社电子商务网站问题

本文是一篇企业网站论文范文,关于企业网站类在职研究生毕业论文,关于旅行社电子商务网站问题相关毕业论文模板范文。适合企业网站及电子商务。

电子商务网站诚信度的模糊综合评价

本论文是一篇关于电子商务类电子商务专业论文,关于电子商务网站诚信度的模糊综合评价相关毕业论文格式范文。免费优秀的关于电子商务及电子。

推荐栏目

热门阅读