拒绝服务攻击 实验
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验内容与步骤:
【实验步骤】
一、登录到Windows实验台中
登录到Windows实验台,并从实验工具箱取得syn攻击工具XDoc。
二、Windows实验台cmd下运行xdos攻击工具
Xdos运行界面如图所示。
Xdos命令举例演示如下:xdos 192.168.1.43 139 –t 3 –s 55.55.55.55
172.20.1.19 为被攻击主机的ip地址(实验时请以被攻击主机真实ip为准)
139为连接端口
-t 3 表示开启的进程
-s 后跟的ip地址为syn数据包伪装的源地址的起始地址
图1
运行显示如图,Windows实验台正在对本地发送syn数据包。
图2
在目标主机使用wireshark抓包,如图所示,可以看到大量的syn向172.20.1.19主机发送,并且将源地址改为55.55.55.55后面的ip地址。
图3
三、本地主机状态
在目标主机使用命令netstat -an查看当前端口状态,如图所示,就会发现大量的syn_received状态的连接,表示172.20.1.19主机接受到syn数据包,但并未受到ack确认数据包,即tcp三次握手的第三个数据包。
图4 查看本地网络状态
当多台主机对一台服务器同时进行syn攻击,服务器的运行速度将变得非常缓慢。
【实验步骤】
(1)启动fakeping
从实验箱取得fakeping工具,在本地主机上启动fakeping,如图所示;
图5
Fakeping使用如下:Fakeping 伪装的源地址(即被攻击主机地址) 目的地址(除本机地址和伪装源地址以外,可以ping通伪装源地址的主机地址)数据包大小
举例演示:fakeping 172.20.3.43 172.20.1.7 100
在本地主机向172.20.1.7 发送伪装icmp请求信息,请求信息的伪装源地址为172.20.3.43。如图所示。
图6 攻击过程
(2)监听本地主机(172.20.1.7)上的icmp数据包,启动wireshark抓包工具,并设置数据包过滤
器为“icmp”:
图7
图8
如图所示,并未收到相应的icmp响应数据包及icmp reply。
(3)观察被攻击主机,启动wireshark抓包工具,设置数据包过滤器为“icmp”,抓取被攻击主机icmp的数据包如图所示,并分析。
图9
可以看到,172.20.3.43主机在没有发送icmp请求的的情况下却收到大量的icmp响应数据包。该数据包即为172.20.0.1伪造的源地址为172.20.3.4的发给172.20.1.7的请求数据包的响应icmp数据包。
当大量的主机同时发送伪造的icmp请求数据包,且源地址均为同一主机时,被攻击主机会耗费大量的计算机资源去处理请求数据包,从而形成了icmp分布式攻击。