拒绝服务攻击 实验

实验内容与步骤：

【实验步骤】

一、登录到Windows实验台中

登录到Windows实验台，并从实验工具箱取得syn攻击工具XDoc。

二、Windows实验台cmd下运行xdos攻击工具

Xdos运行界面如图所示。

Xdos命令举例演示如下：xdos 192.168.1.43 139 –t 3 –s 55.55.55.55

172.20.1.19 为被攻击主机的ip地址（实验时请以被攻击主机真实ip为准）

139为连接端口

-t 3 表示开启的进程

-s 后跟的ip地址为syn数据包伪装的源地址的起始地址

图1

运行显示如图，Windows实验台正在对本地发送syn数据包。

图2

在目标主机使用wireshark抓包，如图所示，可以看到大量的syn向172.20.1.19主机发送，并且将源地址改为55.55.55.55后面的ip地址。

图3

三、本地主机状态

在目标主机使用命令netstat -an查看当前端口状态，如图所示，就会发现大量的syn_received状态的连接，表示172.20.1.19主机接受到syn数据包，但并未受到ack确认数据包，即tcp三次握手的第三个数据包。

图4 查看本地网络状态

当多台主机对一台服务器同时进行syn攻击，服务器的运行速度将变得非常缓慢。

【实验步骤】

(1)启动fakeping

从实验箱取得fakeping工具，在本地主机上启动fakeping，如图所示；

图5

Fakeping使用如下：Fakeping 伪装的源地址(即被攻击主机地址) 目的地址（除本机地址和伪装源地址以外，可以ping通伪装源地址的主机地址）数据包大小

举例演示：fakeping 172.20.3.43 172.20.1.7 100

在本地主机向172.20.1.7 发送伪装icmp请求信息，请求信息的伪装源地址为172.20.3.43。如图所示。

图6 攻击过程

(2)监听本地主机（172.20.1.7）上的icmp数据包，启动wireshark抓包工具，并设置数据包过滤

器为“icmp”：

图7

图8

如图所示，并未收到相应的icmp响应数据包及icmp reply。

(3)观察被攻击主机，启动wireshark抓包工具，设置数据包过滤器为“icmp”，抓取被攻击主机icmp的数据包如图所示，并分析。

图9

可以看到，172.20.3.43主机在没有发送icmp请求的的情况下却收到大量的icmp响应数据包。该数据包即为172.20.0.1伪造的源地址为172.20.3.4的发给172.20.1.7的请求数据包的响应icmp数据包。

当大量的主机同时发送伪造的icmp请求数据包，且源地址均为同一主机时，被攻击主机会耗费大量的计算机资源去处理请求数据包，从而形成了icmp分布式攻击。