拒绝服务攻击 实验

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

实验内容与步骤:

【实验步骤】

一、登录到Windows实验台中

登录到Windows实验台,并从实验工具箱取得syn攻击工具XDoc。

二、Windows实验台cmd下运行xdos攻击工具

Xdos运行界面如图所示。

Xdos命令举例演示如下:xdos 192.168.1.43 139 –t 3 –s 55.55.55.55

172.20.1.19 为被攻击主机的ip地址(实验时请以被攻击主机真实ip为准)

139为连接端口

-t 3 表示开启的进程

-s 后跟的ip地址为syn数据包伪装的源地址的起始地址

图1

运行显示如图,Windows实验台正在对本地发送syn数据包。

图2

在目标主机使用wireshark抓包,如图所示,可以看到大量的syn向172.20.1.19主机发送,并且将源地址改为55.55.55.55后面的ip地址。

图3

三、本地主机状态

在目标主机使用命令netstat -an查看当前端口状态,如图所示,就会发现大量的syn_received状态的连接,表示172.20.1.19主机接受到syn数据包,但并未受到ack确认数据包,即tcp三次握手的第三个数据包。

图4 查看本地网络状态

当多台主机对一台服务器同时进行syn攻击,服务器的运行速度将变得非常缓慢。

【实验步骤】

(1)启动fakeping

从实验箱取得fakeping工具,在本地主机上启动fakeping,如图所示;

图5

Fakeping使用如下:Fakeping 伪装的源地址(即被攻击主机地址) 目的地址(除本机地址和伪装源地址以外,可以ping通伪装源地址的主机地址)数据包大小

举例演示:fakeping 172.20.3.43 172.20.1.7 100

在本地主机向172.20.1.7 发送伪装icmp请求信息,请求信息的伪装源地址为172.20.3.43。如图所示。

图6 攻击过程

(2)监听本地主机(172.20.1.7)上的icmp数据包,启动wireshark抓包工具,并设置数据包过滤

器为“icmp”:

图7

图8

如图所示,并未收到相应的icmp响应数据包及icmp reply。

(3)观察被攻击主机,启动wireshark抓包工具,设置数据包过滤器为“icmp”,抓取被攻击主机icmp的数据包如图所示,并分析。

图9

可以看到,172.20.3.43主机在没有发送icmp请求的的情况下却收到大量的icmp响应数据包。该数据包即为172.20.0.1伪造的源地址为172.20.3.4的发给172.20.1.7的请求数据包的响应icmp数据包。

当大量的主机同时发送伪造的icmp请求数据包,且源地址均为同一主机时,被攻击主机会耗费大量的计算机资源去处理请求数据包,从而形成了icmp分布式攻击。

相关文档
最新文档