分布式拒絕服務攻擊對電子商務網站的危害研究

王棋　葉晰

基金項目： 浙江省大學生科技創新活動計劃（新苗人才計劃）資助項目（2013R413034）

摘 要：本文首先介紹了分布式拒絕服務攻擊（DDoS）的實施原理，并通過模擬實驗實現了 最常見的DDoS攻擊，進而分析了DDoS攻擊對電子商務網站的危害。

關鍵詞：分布式拒絕服務攻擊；電子商務；網絡安全

電子商務指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進行各種商貿活動。然而隨著網絡技術的發展，拒絕服務攻擊也越來越成為電子商務網站始終如揮之不去的夢魘。

一、分布式拒絕服務攻擊的實施原理

拒絕服務攻擊（Denial Of Service，DoS）顧名思義就是使Internet中的受攻擊對象（主機、服務器、路由器等網絡設備）無法提供正常服務的一種攻擊。而分布式拒絕服務攻擊（Distributed Denial Of Service，DDoS）是DoS攻擊模式的升級形式，由多臺計算機一起合作，同時向目標發起攻擊。下面我們通過模擬實驗來分析分布式拒絕服務對電子商務的危害。

二、實驗工具和測試平臺的搭建

涉及研究的主要硬件有一臺型號為S2016B的華為16口以太網交換機，一臺型號為TP-WR340G+的TP-LINK無線路由器，一臺H3C MSR30-16路由器，一部型號為I9250的三星安卓智能手機和三臺個人電腦（配置見表），由于實驗中使用的是百兆交換機，故所有網卡的最大網速均為100Mbps。

三、DDoS攻擊的模擬實現

傳統的DDoS攻擊的實施原理都差不多，一般都是先抓數據包，再根據自身攻擊特點設置或修改數據包中的參數，然后再以較大速度重放，最終達到攻擊目標機器的目的。現在我們模擬實現較為常見的SYN Flood。

1.SYN Flood 的攻擊原理。SYN Flood攻擊利用了TCP的三次握手機制，惡意的向被攻擊主機的TCP服務器端口發送大量帶有虛假源地址的TCP SYN分組。如果該端口正在監聽連接請求（如Web服務器），那么被攻擊主機將通過回復SYN ACK分組對每個TCP SYN分組進行應答。由于攻擊者發送的分組的源地址是偽造地址，所以被攻擊主機一直等不到回傳信息，分配給這次請求的資源就維持著不釋放。雖然等待一段時間后，這次連接會因為超時而被丟棄，但如果攻擊者發送大量這種帶偽造地址的分組，被攻擊端將為了維護一個非常大的半開連接列表而消耗非常多的資源，包括CPU、內存和網絡資源，最后出現拒絕服務的現象。

2.攻擊實例-PackETH（Ethernet packet generator ）。本實例網絡拓撲圖見下圖，IBM ThinkPad T43 作為攻擊主機，操作系統為Linux，Acer aspire 4750G 作為目標主機，操作系統為Windows 7。測試機用來測試服務器是否能提供正常的Web服務。

PackETH是一款功能非常強大的以太網數據包生成器，不但可以隨意更改以太網數據包，還可以多種方式重放以太網數據包。具體攻擊過程為：首先PC1訪問架設在目標主機PC2上的Web服務器，并使用WireShark軟件捕獲TCP三次握手的第一條幀（即SYN 報文段），然后利用PackETH 軟件重放此幀。我們設置好攻擊參數后，開始對PC2發起攻擊。攻擊時PC1的CPU使用率在70%左右，運行正常，但是PC2已經陷入癱瘓狀態。 在PC2被攻擊之前， CPU使用率很低（3%），網絡使用率幾乎為0。 被攻擊后，主機PC2的四核CPU使用率飆升至98%，電腦幾乎不能進行其他任何操作，陷入癱瘓狀態。

由此可見，當攻擊主機的配置升級，攻擊參數增大時，即使目標主機的配置非常高，在這樣的攻擊下也未必能夠幸免。但此類攻擊由于攻擊流量較大，比較容易被DDoS監測器或防火墻識別出目標機器正在受到攻擊，因此攻擊的隱蔽性較差。

四、結束語

分布式拒絕服務攻擊（DDoS）嚴重威脅了電子商務網站的正常運作。通過模擬實驗，我們發現分布式拒絕服務攻擊的特點是被攻擊者在同一時間內收到大量從不同主機發來的請求或者數據包，由于那些請求或者數據包大多數采用了偽裝IP源技術，并且只要單個攻擊點的攻擊流量足夠低，那么想要徹底防御DDoS攻擊，幾乎是不可能的事，但只要我們理解了DDoS攻擊的實現原理和攻擊特點，則至少可以在被攻擊時能做到及早發現。

參考文獻：

[1]謝逸等.新網絡環境下應用層DDoS攻擊的剖析與防御.電信科學，2007年01期，89-93頁.

[2]李目海.基于流量的分布式拒絕服務攻擊檢測.華東師范大學2010年博士論文.endprint

基金項目： 浙江省大學生科技創新活動計劃（新苗人才計劃）資助項目（2013R413034）

摘 要：本文首先介紹了分布式拒絕服務攻擊（DDoS）的實施原理，并通過模擬實驗實現了 最常見的DDoS攻擊，進而分析了DDoS攻擊對電子商務網站的危害。

關鍵詞：分布式拒絕服務攻擊；電子商務；網絡安全

電子商務指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進行各種商貿活動。然而隨著網絡技術的發展，拒絕服務攻擊也越來越成為電子商務網站始終如揮之不去的夢魘。

一、分布式拒絕服務攻擊的實施原理

拒絕服務攻擊（Denial Of Service，DoS）顧名思義就是使Internet中的受攻擊對象（主機、服務器、路由器等網絡設備）無法提供正常服務的一種攻擊。而分布式拒絕服務攻擊（Distributed Denial Of Service，DDoS）是DoS攻擊模式的升級形式，由多臺計算機一起合作，同時向目標發起攻擊。下面我們通過模擬實驗來分析分布式拒絕服務對電子商務的危害。

二、實驗工具和測試平臺的搭建

涉及研究的主要硬件有一臺型號為S2016B的華為16口以太網交換機，一臺型號為TP-WR340G+的TP-LINK無線路由器，一臺H3C MSR30-16路由器，一部型號為I9250的三星安卓智能手機和三臺個人電腦（配置見表），由于實驗中使用的是百兆交換機，故所有網卡的最大網速均為100Mbps。

三、DDoS攻擊的模擬實現

傳統的DDoS攻擊的實施原理都差不多，一般都是先抓數據包，再根據自身攻擊特點設置或修改數據包中的參數，然后再以較大速度重放，最終達到攻擊目標機器的目的。現在我們模擬實現較為常見的SYN Flood。

1.SYN Flood 的攻擊原理。SYN Flood攻擊利用了TCP的三次握手機制，惡意的向被攻擊主機的TCP服務器端口發送大量帶有虛假源地址的TCP SYN分組。如果該端口正在監聽連接請求（如Web服務器），那么被攻擊主機將通過回復SYN ACK分組對每個TCP SYN分組進行應答。由于攻擊者發送的分組的源地址是偽造地址，所以被攻擊主機一直等不到回傳信息，分配給這次請求的資源就維持著不釋放。雖然等待一段時間后，這次連接會因為超時而被丟棄，但如果攻擊者發送大量這種帶偽造地址的分組，被攻擊端將為了維護一個非常大的半開連接列表而消耗非常多的資源，包括CPU、內存和網絡資源，最后出現拒絕服務的現象。

2.攻擊實例-PackETH（Ethernet packet generator ）。本實例網絡拓撲圖見下圖，IBM ThinkPad T43 作為攻擊主機，操作系統為Linux，Acer aspire 4750G 作為目標主機，操作系統為Windows 7。測試機用來測試服務器是否能提供正常的Web服務。

PackETH是一款功能非常強大的以太網數據包生成器，不但可以隨意更改以太網數據包，還可以多種方式重放以太網數據包。具體攻擊過程為：首先PC1訪問架設在目標主機PC2上的Web服務器，并使用WireShark軟件捕獲TCP三次握手的第一條幀（即SYN 報文段），然后利用PackETH 軟件重放此幀。我們設置好攻擊參數后，開始對PC2發起攻擊。攻擊時PC1的CPU使用率在70%左右，運行正常，但是PC2已經陷入癱瘓狀態。 在PC2被攻擊之前， CPU使用率很低（3%），網絡使用率幾乎為0。 被攻擊后，主機PC2的四核CPU使用率飆升至98%，電腦幾乎不能進行其他任何操作，陷入癱瘓狀態。

由此可見，當攻擊主機的配置升級，攻擊參數增大時，即使目標主機的配置非常高，在這樣的攻擊下也未必能夠幸免。但此類攻擊由于攻擊流量較大，比較容易被DDoS監測器或防火墻識別出目標機器正在受到攻擊，因此攻擊的隱蔽性較差。

四、結束語

分布式拒絕服務攻擊（DDoS）嚴重威脅了電子商務網站的正常運作。通過模擬實驗，我們發現分布式拒絕服務攻擊的特點是被攻擊者在同一時間內收到大量從不同主機發來的請求或者數據包，由于那些請求或者數據包大多數采用了偽裝IP源技術，并且只要單個攻擊點的攻擊流量足夠低，那么想要徹底防御DDoS攻擊，幾乎是不可能的事，但只要我們理解了DDoS攻擊的實現原理和攻擊特點，則至少可以在被攻擊時能做到及早發現。

參考文獻：

[1]謝逸等.新網絡環境下應用層DDoS攻擊的剖析與防御.電信科學，2007年01期，89-93頁.

[2]李目海.基于流量的分布式拒絕服務攻擊檢測.華東師范大學2010年博士論文.endprint

基金項目： 浙江省大學生科技創新活動計劃（新苗人才計劃）資助項目（2013R413034）

摘 要：本文首先介紹了分布式拒絕服務攻擊（DDoS）的實施原理，并通過模擬實驗實現了 最常見的DDoS攻擊，進而分析了DDoS攻擊對電子商務網站的危害。

關鍵詞：分布式拒絕服務攻擊；電子商務；網絡安全

電子商務指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進行各種商貿活動。然而隨著網絡技術的發展，拒絕服務攻擊也越來越成為電子商務網站始終如揮之不去的夢魘。

一、分布式拒絕服務攻擊的實施原理

拒絕服務攻擊（Denial Of Service，DoS）顧名思義就是使Internet中的受攻擊對象（主機、服務器、路由器等網絡設備）無法提供正常服務的一種攻擊。而分布式拒絕服務攻擊（Distributed Denial Of Service，DDoS）是DoS攻擊模式的升級形式，由多臺計算機一起合作，同時向目標發起攻擊。下面我們通過模擬實驗來分析分布式拒絕服務對電子商務的危害。

二、實驗工具和測試平臺的搭建

涉及研究的主要硬件有一臺型號為S2016B的華為16口以太網交換機，一臺型號為TP-WR340G+的TP-LINK無線路由器，一臺H3C MSR30-16路由器，一部型號為I9250的三星安卓智能手機和三臺個人電腦（配置見表），由于實驗中使用的是百兆交換機，故所有網卡的最大網速均為100Mbps。

三、DDoS攻擊的模擬實現

傳統的DDoS攻擊的實施原理都差不多，一般都是先抓數據包，再根據自身攻擊特點設置或修改數據包中的參數，然后再以較大速度重放，最終達到攻擊目標機器的目的。現在我們模擬實現較為常見的SYN Flood。

1.SYN Flood 的攻擊原理。SYN Flood攻擊利用了TCP的三次握手機制，惡意的向被攻擊主機的TCP服務器端口發送大量帶有虛假源地址的TCP SYN分組。如果該端口正在監聽連接請求（如Web服務器），那么被攻擊主機將通過回復SYN ACK分組對每個TCP SYN分組進行應答。由于攻擊者發送的分組的源地址是偽造地址，所以被攻擊主機一直等不到回傳信息，分配給這次請求的資源就維持著不釋放。雖然等待一段時間后，這次連接會因為超時而被丟棄，但如果攻擊者發送大量這種帶偽造地址的分組，被攻擊端將為了維護一個非常大的半開連接列表而消耗非常多的資源，包括CPU、內存和網絡資源，最后出現拒絕服務的現象。

2.攻擊實例-PackETH（Ethernet packet generator ）。本實例網絡拓撲圖見下圖，IBM ThinkPad T43 作為攻擊主機，操作系統為Linux，Acer aspire 4750G 作為目標主機，操作系統為Windows 7。測試機用來測試服務器是否能提供正常的Web服務。

PackETH是一款功能非常強大的以太網數據包生成器，不但可以隨意更改以太網數據包，還可以多種方式重放以太網數據包。具體攻擊過程為：首先PC1訪問架設在目標主機PC2上的Web服務器，并使用WireShark軟件捕獲TCP三次握手的第一條幀（即SYN 報文段），然后利用PackETH 軟件重放此幀。我們設置好攻擊參數后，開始對PC2發起攻擊。攻擊時PC1的CPU使用率在70%左右，運行正常，但是PC2已經陷入癱瘓狀態。 在PC2被攻擊之前， CPU使用率很低（3%），網絡使用率幾乎為0。 被攻擊后，主機PC2的四核CPU使用率飆升至98%，電腦幾乎不能進行其他任何操作，陷入癱瘓狀態。

由此可見，當攻擊主機的配置升級，攻擊參數增大時，即使目標主機的配置非常高，在這樣的攻擊下也未必能夠幸免。但此類攻擊由于攻擊流量較大，比較容易被DDoS監測器或防火墻識別出目標機器正在受到攻擊，因此攻擊的隱蔽性較差。

四、結束語

分布式拒絕服務攻擊（DDoS）嚴重威脅了電子商務網站的正常運作。通過模擬實驗，我們發現分布式拒絕服務攻擊的特點是被攻擊者在同一時間內收到大量從不同主機發來的請求或者數據包，由于那些請求或者數據包大多數采用了偽裝IP源技術，并且只要單個攻擊點的攻擊流量足夠低，那么想要徹底防御DDoS攻擊，幾乎是不可能的事，但只要我們理解了DDoS攻擊的實現原理和攻擊特點，則至少可以在被攻擊時能做到及早發現。

參考文獻：

[1]謝逸等.新網絡環境下應用層DDoS攻擊的剖析與防御.電信科學，2007年01期，89-93頁.

[2]李目海.基于流量的分布式拒絕服務攻擊檢測.華東師范大學2010年博士論文.endprint