“拒绝服务攻击”技术研究与及实现课程设计
网络安全实验报告 - 拒绝服务攻击
一、实验目的
1.SYN洪水攻击
2.ICMP洪水攻击
二、实验内容与步骤
(1)SYN洪水攻击
对目标主机实施SYN洪水攻击的命令:nmap -v –sS -T5 靶机IP地址
(2)ICMP洪水攻击
启用实验平台ICMP洪水攻击工具
三、实验小结
SYN洪水攻击和ICMP洪水攻击尽管都能实现洪水攻击,但是二者的原理不同
1.SYN洪水攻击原理
在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发送SYN+ACK应答报文后是无法收到客户端的ACK报文的,即第三次握手无法完成,成为半连接状态。
这种情况下服务器端一般会新开一个等待线程来负责等待一段时间(SYN Timeout),而服务器里面用来存放等待线程的堆栈一般不会很大。
因此黑客可以大量模拟这种情况,使服务器忙于处理这种半连接状态,最终等待堆栈溢出
2.ICMP洪水攻击原理
a..直接Flood
源IP就是黑客自己的IP,回应ICMP发回到黑客自己
b.伪造IP的Flood
伪造源IP
c.Smurf
结合IP地址欺骗和ICMP回复的方法,使大量回应报文发向攻击目标主机,引起攻击目标系统瘫痪。
网络攻防论文(拒接服务攻击dos)
网络攻防技术——拒绝服务攻击(DOS)课程名称:网络攻防技术论文题目:拒绝服务攻击(DOS)目录一、拒绝服务攻击的原理 (1)1.1拒接服务(DoS)攻击 (1)1.2分布式拒接服务(DDoS)攻击 (1)1.3 DDOS网络 (1)1.4拒绝服务攻击的分类 (2)1.5 拒绝服务攻击的现象 (2)二、DDOS攻击的步骤 (2)2.1 获取目标信息 (2)2.2 占领傀儡机和控制台 (5)2.3 实施攻击 (5)三、拒绝服务攻击实例 (5)3.1 SYN Flood攻击 (5)3.2 TCP连接耗尽攻击 (6)3.3 独裁者Autocrat攻击工具的使用(基于课本实验) (7)3.3.1 Server端 (7)3.3.2 Client端 (7)3.4 独裁者攻击器的使用步骤 (8)3.4.1 添加主机 (8)3.4.2 检查Server状态 (9)3.4.3 清理无效主机 (9)3.4.4 检查文件 (11)3.4.5 攻击 (11)3.4.6 停止攻击: (14)3.5 手工命令 (14)3.6 HTTP控制 (14)四、拒绝服务攻击的防御 (20)4.1、拒绝服务攻击的终端防御 (20)4.1.1增强容忍性 (20)4.1.2、提高主机系统或网络安全性 (20)4.1.3、入口过滤 (21)4.2、拒绝服务攻击的源端防御 (21)4.3、拒绝服务攻击的中端防御 (21)4.4、傀儡网络与傀儡程序的检测与控制 (21)五、拒绝服务攻击的检测 (21)5.1、主机异常现象检测 (21)5.2、伪造数据包的检测 (23)5.3、SYN风暴检测 (23)六、参考文献 (23)拒绝服务攻击一、拒绝服务攻击的原理1.1拒接服务(DoS)攻击拒接服务攻击(Denial of Service Attack)是指终端或者完全拒绝对合法用户、网络、系统和其他资源的服务的攻击方法,其意图就是彻底破坏,这也是比较容易实现的攻击方法。
网络攻击与防范-拒绝服务攻击实验
华北电力大学
实验报告|
|
实验名称拒绝服务攻击实验
课程名称网络攻击与防范
|
|
专业班级:网络学生姓名:
学号:成绩:
指导教师:曹锦纲实验日期:
3、此时打开百度页面,可以看到能抓到所有发给PC2的ip数据包。
4、在PC1上打开XDos.exe,命令的格式为:xdos <目标主机IP> 端口号 -t 线程数 [-s <插入随机IP>]。
输入命令:xdos 192.168.137.3 80 -t 200 -s*,回车即可攻击,192.168.137.3是PC2的IP地址。
5、在PC2中可以看到大量伪造IP地址的主机请求与PC2的电脑建立连接。
且能通过捕捉到的数据包看到都是只请求不应答,以至于PC2保持有大量的半开连接。
6、停止攻击后,PC2不再接收到数据包。
五、拒绝式服务防范
几乎所有的主机平台都有抵御DoS的设置,常见的有以下几种:
(1)关闭不必要的服务。
(2)限制同时打开的Syn半连接数目。
(3)缩短Syn半连接的time out时间。
(4)及时更新系统补丁.
六、实验心得与体会。
信息安全-拒绝服务攻击
信息安全——拒绝服务式攻击班级:9班姓名:周杰学号:53080907一.实验设计1.使用sniffer 工具网络监听。
2.使用sniffer 工具对监听到得网络数据进行分析3.进行拒绝服务攻击4.使用sniffer 软件监视网络状态 二.实验步骤步骤1 用sniffer 抓icmp 和IP 包1.设置过滤器,在地址中设置捕获IP 数据,(注意,位置1处必须填本机的IP 地址),在高级中选择IP 协议里面的ICMP 协议,如图所示:图1图 22.使用ping 命令时进行捕获:选择“捕获开始”按钮→运行ping 命令,ping 任意主机→当“捕获停止并查看”按钮变成黑色时,点击它位置1图3在弹出的对话框中点击“解码系统”就可以看到捕获的数据了图4将捕获到的图粘帖在下方抓包分析如图:图 5图 6步骤2 使用Sniffer 软件监视网络的状态1.在被攻击的主机上打开Sniffer Pro ,选择Monitor/Matrix 命令,打开Traffic Map 视图,可以查看任意主机发给被攻击主机的IP 数据包。
图7 将打开的Traffic Map视图粘帖在下方:2.查看当前的报文统计,打开Dashbord面板统计平均数据或总和为统计图选择统计指标图8步骤3使用HGod拒绝服务攻击软件注意:部分杀毒软件可把此程序当成病毒杀掉,所以在使用时可能需要关闭杀毒软件将该软件直接解压到磁盘根目录下,如D:运行“开始”→“运行”,输入“cmd”,打开cmd命令行对话窗口输入“cd\”直接退到磁盘根目录下,进入D盘盘符,如图所示图9运行HGod拒绝服务攻击工具对某台主机进行攻击图10<Target>为要攻击的目标,可以是计算机名,域名或者IP地址.<StartPort> 为要攻击的目标端口. IGMP/ICMP攻击模式可以随便设置一个端口如果是SYN Flood可以支持多端口同时攻击.如SYN Flood攻击20-80的端口,则设为20-80如SYN Flood攻击21,23,80端口,则设为21,23,80. 端口总数不能多于100个.[Option] 为攻击参数选项.各参数如下:-a:AttackTime 为攻击时间选项,为0-14400分钟, 设0为一直攻击, 默认为0.如果要攻击1个小时, 请设为-a:60如果要攻击1天, 请设为-a:1440最大设为10天.大于10天,请不要设置.-b:Packsize 为攻击时发送的数据包大小, 为1-65400比特. (SYN Flood 不用设置包大小.)如果定制数据包的大小为10000, 请设为 -b:10000-d:Delay 为发送数据包之间的延时, 为0-1000ms. 默认为10ms. (SYN Flood 不用设置延时.)如果定制延时为1ms, 请设为-b:1-l:Speed 网络连接速度选择, 为1-200M, 只为SYN Flood攻击参数. 如果你的网速小于10M, 必须设置.如果你的网速为<1M, 请设为 -l:1如果你的网速为<2M, 请设为 -l:2类推, 程序自动设置最佳攻击方式.-m:Mode 使用的攻击种类, 为SYN/UDP/ICMP/IGMP, 默认为SYN.如果你要使用IGMP炸弹攻击, 请使用-m:igmp-n:Num 设置源IP变化的范围, 可以设为1-65535. 只为SYN Flood攻击参数.如果你想源IP变化的范围为一个c段, 请使用 -n:255 -p:SourcePort设置攻击时的源端口, 默认为不用设置, 程序自动产生随机源端口并封装. ICMP/IGMP不用设置.如果你设端口为80, 请使用-p:80 -s:SourceIP 设置攻击时的源IP地址, 默认为不用设置, 程序自动产生随机IP并封装, IGMP不用设置.如果设源IP为192.168.0.1, 请使用-s:192.168.0.1ICMP攻击模式中, 你可以设攻击IP为源IP, 把目标IP设为一个广播地址. 这样可以让源IP收到多倍的数据包.-t:Thread 攻击时使用的线程数, 为1-100, 默认为10个线程.如果要设为使用1个线程进行攻击, 请使用 -t:1按照用法对某台主机进行攻击,比如输入:hgod 192.168.0.1 80hgod 192.168.0.1 21,23,80 -t:20 -l:10 -s:192.168.0.1 -n:65535hgod 192.168.0.255 4000 -m:icmp -t:20 -d:1 -s:192.168.0.1hgod 192.168.0.1 4000 -m:igmp -d:1 -a:1000步骤4 在被攻击主机上使用Sniffer查看计算机的处理速度三.参考文献:[1]李德全著,拒绝服务攻击,电子工业出版社,第一版。
拒绝服务攻击与防范实验讲解
在被攻击的计算机10.0.27.10中可以查看收到的UDP 数据包,这需要事先对系统监视器进行配置,依次执
行“控制面板”→“管理工具”→“性能”,首先在 系统监视器中单击右侧图文框上面的“+”按钮,弹出 “添加计数器”对话框,如图所示。在这个对话框中
添加对UDP数据包的监视,在“性能对象”组合框中 选择“UDP v4”协议,选择“从列表选择计数器”单 选按钮,并在下面的列表框中选择“Datagrams Received/sec”即对收到的UDP数据包进行计算,配置 并保存在此计数器信息的日志文件。
作业
将三个任务完成的过程和结果用截图的形式放入 Word文件,下课前发送到老师的信箱。
DDoS攻击者1.5软件是一个DDoS攻击工具,程序运行后自动装入 系统,并在以后随系统启动,自动对事先设定好的目标进行攻击。
DDoS攻击者1.5软件分为生成器(DDoSMaker.exe)和DDoS攻 击者程序(DDoSer.exe)两部分。软件在下载安装后是没有DDoS 攻击者程序的,只有生成器DDoSMaker.exe,DDoS攻击者程序要 通过生成器进行生成。生成时可以自定义一些设置,如攻击目标 的域名或IP地址、端口等。DDoS攻击者默认的文件名为 DDoSer.exe,可以在生成时或生成后任意改名。DDoS攻击者程序 类似于木马软件的服务器端程序,程序运行后不会显示任何界面, 看上去好像没有反应,其实它已经将自己复制到系统中,并且会 在每次开机时自动运行,此时可以将复制过去的安装程序删除。 它运行时唯一会做的工作就是源源不断地对事先设定好的目标进 行攻击。DDoSer使用的攻击手段是SYN Flood方式。
信息安全技术实验四拒绝服务攻击实验
任务一UDP Flood攻击练习UDP Flood是一种采用UDP-Flood 攻击方式的DoS软件,它可以向特定的IP地址和端口发送UDP包。
在IP/hostname和port窗口中指定目标主机的IP地址和端口号,Max duration设定最长的攻击时间,在speed 窗口中可以设置UDP包发送的速度,在data框中,定义UDP数据包包含的内容,缺省情况下为UDP Flood.Server stress test的text文本内容。
单击Go按钮即可对目标主机发起UDP-Flood攻击。
如下图所示。
在被攻击主机中可以查看收到的UDP数据包,这需要事先对系统监视器进行配置。
打开“控制面板→管理工具→性能”,首先在系统监视器中单击右侧图文框上面的“+”按纽或单击鼠标右键,弹出“添加计数器”对话框。
在这个窗口中添加对UDP数据包的监视,在“性能对象”框中选择UDP协议,在“从列表选择计数器”中,选择“Datagram Received/Sec”即对收到的UDP数据包进行计数,然后配置好包村计数器信息的日志文件。
如下图所示。
当入侵者发起UDP Flood攻击时,就可以通过系统监视器查看系统检测到的UDP数据包信息了。
实验结果如下图所示在被攻击主机上打开Sniffer工具,可以捕获由攻击者计算机发到本地计算机的UDP数据包,可以看到内容为UDP Flood.Server stress test的大量UDP数据包,如下图所示任务二CC攻击练习CC主要是用来攻击页面的。
对于论坛,访问的人越多,论坛的页面越多,数据库就越大,被访问的频率也越高,占用的系统资源也就相当可观。
CC就是充分利用这个特点,模拟多个用户(多少线程就是多少用户)不停的进行访问(访问那些需要大量数据操作,就是需要大量CPU时间的页面)。
代理可以有效地隐藏身份,也可以绕开所有的防火墙,因为几乎所有的防火墙都会检测并发的TCP/IP连接数目,超过一定数目一定频率就会被认为是Connection-Flood。
拒绝服务攻击与防范
实验报告课程名称:网络安全维护与管理实验项目名称:拒绝服务攻击与防范学生姓名:专业:计算机网络技术学号:同组学生姓名:实验地点:实验日期:2012 年10 月9 日一、实验目的及要求了解黑客攻击的手段及步骤,掌握拒绝服务攻击的防范方法二、实验的内容及原理应用xdos模拟拒绝服务攻击,通过Sniffer监视网络的状态、数据流动情况并辨析攻击前后的数据变化情况,并进行适当的防御。
三、实验的环境1、网络环境:校园局域网中实训用计算机,计算机配置为……2、软件:VMware 5.3 及Windows Server 2003的虚拟机;3、Sniffer的安装软件。
4、IP为192.168.10.13进行攻击IP为192.168.10.18的计算机。
四、实验方法和步骤1、打开虚拟机,配置网络为192.168.18.13 ,计算机名为zss。
网络为192.168.18.18的计算机名为km.2、在计算机名为km的计算机上安装Sniffer软件。
(1)打开安装软件。
如图1图1(2)单击下一步。
如图2图2(3)依次选择下一步,到是否同意协议时选择是。
如图3图3(4)填写名字和公司,可随意填写。
如图4图4(5)选择安装路径,单击下一步。
如图5图5(6)软件进行安装。
如图6图6(7)填写名称、地址等,可随意填写。
如图7、图8、图9图7图8图9(8)选中NOT.....复选框,单击下一步。
如图10图10(9)单击完成按钮。
如图11图11(10)单击确定按钮。
如图12图12(11)单击完成按钮完成Sniffer软件的安装。
如图13图133、用计算机名为ZSS的计算机ping IP192.168.18.18可以ping通。
如图14图144、用计算机名为km的Sniffer软件对计算机进行检测,发现CPU的占用很少。
如图15图155、用IP为192.168.18.13的计算机向IP为192.168.18.18的计算机发送大量的数据包,进行攻击。
CIW-03(拒绝服务攻击DDOS)
攻击表象
•
利用代理服务器向受害者发 起大量HTTP Get请求
•
受害者(Web Server)
攻击者
主要请求动态页面,涉及到 数据库访问操作
数据库负载以及数据库连接 池负载极高,无法响应正常 请求
•
占 用
占 用
占 用
正常用户
DB连接池 用完啦!!
DB连接池
受害者DoS攻击介绍——ACK Flood
查查看表 内有没有
攻击表象
ACK Flood 攻击原理
ACK/PSH (连接确认) ACK/PSH (连接确认) ACK/PSH (连接确认) ACK/PSH (连接确认) ACK/PSH (连接确认) ACK/PSH (连接确认)
• 大量ACK冲击服务器
• 受害者资源消耗
经典DoS攻击技术
•
超长数据包 这是最早出现的Dos攻击技术之一,攻击者在一 台Windows系统上发出“Ping of death ”(运行“ ping -1 65510 192.168.2.3”命令,其中“192.168.2.3”是被攻击者的IP 地址)是这种攻击技术的典型运用之一。Jolt程序也属于这类攻 击工具,攻击者可以利用这个简单的C程序在操作系统自带的 Ping命令无法生成超长数据包时发动这种攻击。 数据包片断重叠 这种攻击技术的要点是迫使目标系统的操 作系统去处理彼此有重叠的TCP/IP数据包片断,而这将导致很 多系统发生崩溃或出现资源耗尽问题。这类工具主要有 :teardrop、bonk和nestea。 自反馈洪水 这类攻击的早期经典实现之一是利用UNIX系统 上的Chargen服务生成一个数据流并把这个数据流的目的地设 置为同一个系统上echo服务,这样就形成一个无限循环,而那 台系统将被他自己生成的数据“冲”垮。
拒绝服务攻击与防范实验
选择“可靠性和性能”单击
选择“性能监视器”单击
选择“+”号单击
弹出添加计数器如下图所示
选择Datagrams Received/sec后单击“添加”得下图所示,单击确定。
当入侵者发起UDP Flood攻击时,可以通过在被攻击计算 机中的系统监视器,查看系统监测到的UDP数据包信息,如 图所示,图中左半部分的凸起曲线,显示了UDP Flood攻击 从开始到结束的过程,接收UDP数据包的最大速率为250包/ 秒,由于图中显示比例为0.1,所以对应的坐标为25。 在被攻击的计算机上打开Ethereal工具,可以捕捉由攻击 者计算机发到本地计算机的UDP数据包,可以看到内容为 “UDP Flood.Server stress test”的大量UDP数据包。
拒绝服务攻击与防范实验
一、实验目的
通过练习使用DoS/DDoS攻击工具对目标主机进 行攻击,理解DoS/DDoS攻击的原理及其实施过程, 掌握监测和防范Dos/DDoS攻击的措施
二、实验原理
拒绝服务(Denial of Service,DoS)攻击通常是针 对TCP/IP中的某个弱点,或者系统存在的某些漏洞,对 目标系统发起大规模的进攻,使服务器充斥大量要求 回复的信息,消耗网络带宽或系统资源,导致目标网 络或系统不胜负荷直至瘫痪、无法提供正常服务。 分布式拒绝服务(Distribute Denial of Service, DDoS)攻击是对传统DoS攻击的发展,攻击者首先侵 入并控制一些计算机,然后控制这些计算机同时向一 个特定的目标发起拒绝服务攻击。
在被攻击的计算机上打开Ethereal工具,可以捕捉 由攻击者的计算机发到本地计算机的异常TCP数据包, 可以看到这些TCP数据包的源计算机和目标计算机IP地 址都是10.0.83.117,这正是Land攻击的明显特征。
拒绝服务攻击的实现
拒绝服务攻击的实现一、实验目的通过联系使用DoS/DDoS攻击工具对目标主机进行攻击;理解DoS/DDoS攻击的原理和实施过程;掌握检测和防范DoS/DDoS攻击的措施。
二、实验内容1、UDP Flood 攻击练习UDP Flood 是一种采用UDP Flood 攻击方式的DoS 软件,它可以向特定的IP地址和端口发送UDP包。
在ip/hostname和Port窗口中制定目标主机的IP地址和端口号;在Max duration 设定最长攻击时间,在Speed窗口中设置UDP包发送的速度,在data中定义数据包中的内容;单击Go就可以对目标主机发起攻击。
如下图所示:2、在192.168.1.1计算机中可以查看收到的UDP数据包,这需要事先对系统监视器进行配置。
打开“性能”对话框,如下图所示,我们在这个窗口中添加对UDP数据包的监视,在性能对象中选择UDP协议,在从列表选择计数器中选择Datagram Received/Sec 即对收到的UDP计数。
2、DDoSer的使用DDoSer是一种DDos的攻击工具,程序运行后自动转如系统,并在以后随系统启动,自动对事先设定好的目标进行攻击。
本软件分为生成器和攻击者程序。
软件下载后是没有DDoS攻击者程序的,需要通过生成器DDoSmaker.exe进行生成。
DDoSer使用的攻击手段是SYN Flood 方式。
如下图所示:设置并生成DDoS攻击者程序:首先运行生成器(DDoSMaker.exe),会弹出一个对话框,在生成前要先进行必要的设置,其中:“目标主机的域名或IP地址”:就是你要攻击主机的域名或IP地址,这里我们建议使用域名,因为IP地址是经常变换的,而域名是不会变的。
“端口”:就是你要攻击的端口,请注意,这里指的是TCP端口,因为本软件只能攻击基于TCP的服务。
80就是攻击HTTP服务,21就是攻击FTP服务,25就是攻击SMTP服务,110就是攻击POP3服务等等。
拒绝服务攻击原理解析
拒绝服务攻击 实验
实验内容与步骤:<SYN攻击实验>【实验步骤】一、登录到Windows实验台中登录到Windows实验台,并从实验工具箱取得syn攻击工具XDoc。
二、Windows实验台cmd下运行xdos攻击工具Xdos运行界面如图所示。
Xdos命令举例演示如下:xdos 192.168.1.43 139 –t 3 –s 55.55.55.55172.20.1.19 为被攻击主机的ip地址(实验时请以被攻击主机真实ip为准)139为连接端口-t 3 表示开启的进程-s 后跟的ip地址为syn数据包伪装的源地址的起始地址图1运行显示如图,Windows实验台正在对本地发送syn数据包。
图2在目标主机使用wireshark抓包,如图所示,可以看到大量的syn向172.20.1.19主机发送,并且将源地址改为55.55.55.55后面的ip地址。
图3三、本地主机状态在目标主机使用命令netstat -an查看当前端口状态,如图所示,就会发现大量的syn_received状态的连接,表示172.20.1.19主机接受到syn数据包,但并未受到ack确认数据包,即tcp三次握手的第三个数据包。
图4 查看本地网络状态当多台主机对一台服务器同时进行syn攻击,服务器的运行速度将变得非常缓慢。
<ICMP攻击实验>【实验步骤】(1)启动fakeping从实验箱取得fakeping工具,在本地主机上启动fakeping,如图所示;图5Fakeping使用如下:Fakeping 伪装的源地址(即被攻击主机地址) 目的地址(除本机地址和伪装源地址以外,可以ping通伪装源地址的主机地址)数据包大小举例演示:fakeping 172.20.3.43 172.20.1.7 100在本地主机向172.20.1.7 发送伪装icmp请求信息,请求信息的伪装源地址为172.20.3.43。
如图所示。
图6 攻击过程(2)监听本地主机(172.20.1.7)上的icmp数据包,启动wireshark抓包工具,并设置数据包过滤器为“icmp”:图7图8如图所示,并未收到相应的icmp响应数据包及icmp reply。
实验五拒绝服务攻击与防范实验报告
实验五报告课程名称计算机网络安全实验成绩实验名称拒绝服务攻击与防范实验学号姓名班级日期课程设计报告一、实验目的及要求:1.实验目的通过本实验对DoS/DDoS攻击的深入介绍和实验操作;了解DoS/DDoS攻击的原理和危害,并且具体掌握利用TCP、UDP、ICMP等协议的DoS/DDoS 攻击原理;了解针对DoS/DDoS攻击的防范措施和手段。
通过实验掌握DoS/DDoS攻击的原理;2.实验要求(1)使用拒绝服务攻击工具对另一台主机进行攻击。
(2)启动进行抓包工具,并分析TCP、UDP、ICMP等协议的DoS/DDoS攻击原理与危害。
(3)给出针对DoS/DDoS攻击的防范措施和手段。
二、实验过程及要点:实验过程:攻击机(192.168.13.33)目标机(192.168.13.22)原理:SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。
此次模拟攻击为虚拟大量IP与目标建立不完整三次握手连接。
SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake),而SYN Flood拒绝服务攻击就是通过三次握手而实现的。
(1) 攻击者向被攻击服务器发送一个包含SYN标志的TCP报文,SYN(Synchronize)即同步报文。
同步报文会指明客户端使用的端口以及TCP连接的初始序号。
这时同被攻击服务器建立了第一次握手。
(2) 受害服务器在收到攻击者的SYN报文后,将返回一个SYN+ACK的报文,表示攻击者的请求被接受,同时TCP序号被加一,ACK(Acknowledgment)即确认,这样就同被攻击服务器建立了第二次握手。
(3) 攻击者也返回一个确认报文ACK给受害服务器,同样TCP序列号被加一,到此一个TCP连接完成,三次握手完成。
具体原理是:TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。
论文格式模板
山东凯文科技职业学院2011届毕业论文拒绝服务攻击----SYN FLOOD攻击方法的研究与实现(课题名称)学院:________________学生姓名:________________指导教师:专业:________________班级:________________完成时间:________________摘要拒绝服务攻击技术是网络入侵的一种基本方法。
对攻击方法的掌握,我们能够更好的实现系统的安全防护,及时有效的采取防护措施,降低攻击的危害程度。
在充分分析TCP/IP原理的基础上,给出了TCP SYN FLOOD攻击的原理及实现模型。
在TCP SYN FLOOD攻击实现模型的基础上,使用Visual C++ 6.0开发工具实现了基于Windows 2000平台的TCP SYN FLOOD攻击程序。
其中,使用了原始套接字编程来发送构造的IP数据包。
试验表明在目标主机没有采取有效防护的情况下可以顺利完成SYN FLOOD攻击,使目标主机系统暂时瘫痪。
关键词:TCP/IP协议,拒绝服务攻击,SYN标志位,原始套接字ABSTRACTDenial of Service technology is network a kind of basic method of invading. For attack method grasp , we can be better to realize systematic safe protection , are in time effective to adopt preventive measure , reduce the harm level of attack.On the foundation of the ample analysis principle of TCP/IP I have given TCP SYN FLOOD realization and the principle of attack model.On the foundation that the attack of TCP SYN FLOOD realizes model used Visual C + + 6.0 development tools I have realized the attack program of TCP SYN FLOOD based on Windows2000 platform. In which, have used the IP data bale that the programming of the raw socket dispatches structure. Test to show in goal main computer do not take off with the condition of effective protection can complete the attack of SYN FLOOD attack,and make the goal system of main computer temporary paralysisKey words:The agreement of TCP/IP,Denial of Service,SYN marks position,Raw socket目录1 引言 (1)1.1 ********概述 (1)1.1.1 小节标题 (1)1.1.2 ******** ........................错误!未定义书签。
实验3:拒绝服务攻击
实验 23 拒绝服务攻击拒绝服务攻击的目的就是让被攻击目标无法正常地工作,的连接速度减慢或者完全瘫痪,那么攻击者的目的也就达到了。
从攻击方式的解释看来,而在被攻击的一方看来,目标当遭到攻击时,系统会出现一些异常的现象。
练习一洪泛攻击【实验目的】理解带宽攻击原理理解资源消耗攻击原理掌握洪泛攻击网络行为特征【实验人数】每组 2人【系统环境】Windows【网络环境】企业网络结构【实验工具】Nmap洪泛工具网络协议分析器【实验原理】见《原理篇》实验23|练习一。
【实验步骤】本练习主机A、B 为一组, C、 D为一组, E、 F 为一组。
实验角色说明如下:实验主机实验角色主机 A、 C、E攻击者(扫描主机)主机 B、 D、F靶机(被扫描主机)首先使用“快照X”恢复 Windows 系统环境。
一. SYN洪水攻击1.捕获洪水数据(1)攻击者单击实验平台工具栏中的“协议分析器”按钮,启动协议分析器。
单击工具栏“定义过滤器”按钮,在弹出的“定义过滤器”窗口中设置如下过滤条件:在“网络地址”属性页中输入“any<-> 同组主机IP地址”;在“协议过滤”属性页中选中“协议树”|“ETHER”|“ IP ”|“ TCP”结点项。
单击“确定“按钮使过滤条件生效。
单击“新建捕获窗口”按钮,点击“选择过滤器”按钮,确定过滤信息。
在新建捕获窗口工具栏中点击“开始捕获数据包”按钮,开始捕获数据包。
2.性能分析( 1)靶机启动系统“性能监视器”,监视在遭受到洪水攻击时本机CPU、内存消耗情况,具体操作如下:依次单击“开始”|“程序”|“管理工具”|“性能”。
在监视视图区点击鼠标右键,选择“属性”打开“系统监视器属性”窗口,在“数据”属性页中将“计数器”列表框中的条目删除;单击“添加”按钮,打开“添加计数器”对话框,在“性能对象”中选择“TCPv4”,在“从列表选择计数器”中选中“Segments Received/sec ”, 单击“添加”按钮,然后“关闭”添加计数器对话框;单击“系统监视器属性” 对话框中的“确定” 按钮,使策略生效。
拒绝服务攻击实验报告
网络攻防对抗实验报告实验名称:拒绝服务攻击(实验五)指导教师:专业班级:姓名:学号: ______电子邮件:___ 实验地点:实验日期:实验成绩:____________________一、实验目的1. 通过练习使用DoS/DDoS攻击工具对目标主机进行攻击;2.理解DoS/DDoS攻击的原理及其实施过程;3.掌握检测和防范DoS/DDoS攻击的措施。
二、实验原理1. 拒绝服务(DoS)攻击这是一种非常有效的攻击技术,它利用协议或系统的缺陷,采用欺骗的策略进行网络攻击,最终目的是使目标主机因为资源全部被占用而不能处理合法用户提出的请求,即对外表现为拒绝提供服务。
有几种常见的DoS攻击方法:(1)Synflood:该攻击以多个随机的源主机地址向目的主机发送SYN 包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。
(2)Land-based:攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,被攻击主机与自己建立空连接并保留连接,从而很大程度地降低了系统性能。
(3)洪水(UDP flood) :echo服务会显示接收到的每一个数据包,而chargen服务会在收到每一个数据包时随机反馈一些字符。
UDP flood 假冒攻击就是利用这两个简单的TCP/IP 服务的漏洞进行恶意攻击,通过伪造与某一主机的Chargen服务之间的一次的UDP 连接,回复地址指向开着Echo 服务的一台主机,通过将Chargen和Echo服务互指,来回传送毫无用处且占满带宽的垃圾数据,在两台主机之间生成足够多的无用数据流,这一拒绝服务攻击飞快地导致网络可用带宽耗尽。
(4)Smurf、UDP-Flood、Teardrop、PingSweep、Pingflood、Ping of Death2. DDoS的原理分布式拒绝服务(DDoS)是基于DoS攻击的一种特殊形式。
拒绝服务攻击防范的实践和探索
拒绝服务攻击防范的实践和探索摘要:本文介绍了拒绝服务攻击的现状及成因,并且从评估加固、事件检测、安全防御三方面详细阐述了防范和解决拒绝服务攻击的技术和方法。
关键词:拒绝服务攻击、分布式拒绝服务攻击、DoS、DDoS、1、知己知彼DoS(Denial of Service)和DDoS(Distributed Denial of Service)是近年Internet上黑客最常用的也是最难防御的攻击方式。
2001年,世界许多知名机构和网站都不同程度的遭受了它的攻击,世界最大的门户网站雅虎()遭受损失高达上亿美元。
2002年10月21日,分别位于美国、瑞典、英国和日本的13台肩负Internet域名解析(或称寻址)重任的根服务器遭到来历不明的网络攻击,造成各地网络服务中断1小时。
后来得知是受到了DoS攻击。
2002年12月,IDC发布的关于IT产业预测的报告中提到,2003年会发生一次大规模的网络恐怖袭击事件,其发动形式将包括DoS/DDoS。
近几年,随着网络带宽的增加,拒绝服务的手法和途径的更新,拒绝服务攻击越来越频繁的发生。
电信运营商为大家提供的高速广泛连接带来了方便,也为DDoS攻击创造了极为有利的条件。
在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。
而现在电信运营商骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G或更大的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
拒绝服务方式的攻击行为使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的服务,最常见的DoS 攻击有网络带宽攻击和连通性攻击。
带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过,比如smurf 攻击。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录1拒接服务攻击简介 (2)2拒接服务攻击的原理 (2)2.1 SYN Flood (2)2.2 UDP洪水攻击 (4)2.3Ping洪流攻击 (5)2.4其他方式的攻击原理 (6)3攻击过程或步骤流程 (6)3.1攻击使用的工具 (6)3.2 SYN flood攻击模拟过程 (7)4此次攻击的功能或后果 (10)5对拒绝服务防范手段与措施 (10)5.1增强网络的容忍性 (10)5.2提高主机系统的或网络安全性 (11)5.3入口过滤 (11)5.4出口过滤 (11)5.5主机异常的检测 (12)6个人观点 (12)7参考文献 (12)“拒绝服务攻击”技术研究与及实现1拒接服务攻击简介所谓的拒绝服务攻击简单说即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。
其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。
拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。
攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
2拒接服务攻击的原理2.1 SYN FloodSYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式,这种攻击容易操作并且效果明显具体过程是通过三次握手协议实现的假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。
这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒~2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址),服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。
即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。
实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃——即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况就称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
TCP三次握手示意图DDOS分布式示意图2.2 UDP洪水攻击攻击者利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。
通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间存在很多的无用数据流,这些无用数据流就会导致带宽的服务攻击。
在实际情况下,攻击者会利用一定数量级的傀儡机器同时进行攻击,这时候就有可能发生受害机UDP淹没。
被UDP攻击机示意图2.3Ping洪流攻击这种攻击方式是早期的方式,又被陈为死芒之PING,是利用系统的自身漏洞实现的,具体原理是许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。
当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方死机。
2.4其他方式的攻击原理teardrop攻击:是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击Land攻击:用一个特别打造的SYN包,它的原地址和目标地址都被设置成某一个服务器地址。
Smurf攻击:通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行3攻击过程或步骤流程3.1攻击使用的工具TFNTFN由主控端程序和代理端程序两部分组成,它主要采取的攻击方法为:SYN风暴、Ping风暴、UDP炸弹和SMURF,具有伪造数据包的能力TrinooTrinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包,在处理这些超出其处理能力的垃圾数据包的过程中,被攻击主机的网络性能不断下降,直到不能提供正常服务,乃至崩溃。
它对IP地址不做假,采用的通讯端口是:NETWOX网络工具包NETWOX是一款综合性的工具包,包含上百种的网络工具,采用字符界面形式,功能性能强大3.2 SYN flood攻击模拟过程1启动两个虚拟机系统,一个为WIN2008(A机),一个为XP(B机)。
然后在Win2003虚拟机(A机)上运行抓包软件SmartSniff,查看当前的网络通信情况。
两架计算机连通正常2在XP上运行smartsniff查看当前的网络状态当前网络良好3在宿主机上用NETWOX对XP虚拟机进行拒绝服务攻击,命令如下:netwox 76 –i “[A机IP]”–p 804此时查看靶机XP上的网络状况此时靶机XP已近处于假死机状态,通过上面的网络监听数据看,说明此次SYN flood攻击成功4此次攻击的功能或后果这次的攻击主要是通过当前流行的SYN flood攻击,包括TCP和UDP连接,占用靶机的大量的网络资源,致使受害机CPU和内存被大量占用,进一步使其死机,甚至瘫痪状态。
在是、SYN洪水攻击中,我们也可以通过这一种混沌状态,入侵目标主机,配合其他攻击的方式5对拒绝服务防范手段与措施首先我们必须知道,拒绝服务式的攻击是本身协议的缺陷,我们目前还不太可能做到对这种攻击百分百的防御,但是积极部署防御措施,还是能在很大程度上缓解和抵御这类安全威胁的。
另外,加强用户的安全防范意识,提高网络系统的安全性也是很重要的措施,现在根据目前的防御手段主要有以下几种5.1增强网络的容忍性首先具体设施有我们修改内核参数即可有效缓解。
主要参数如下:net.ipv4.tcp_syncookies = 1net.ipv4.tcp_max_syn_backlog = 9000net.ipv4.tcp_synack_retries = 2分别为启用SYN Cookie、设置SYN最大队列长度以及设置SYN+ACK最大重试次数。
SYN Cookie的作用是缓解服务器资源压力。
启用之前,服务器在接到SYN 数据包后,立即分配存储空间,并随机化一个数字作为SYN号发送SYN+ACK数据包。
然后保存连接的状态信息等待客户端确认。
启用SYN Cookie之后,服务器不再分配存储空间,而且通过基于时间种子的随机数算法设置一个SYN号,替代完全随机的SYN号。
发送完SYN+ACK确认报文之后,清空资源不保存任何状态信息。
直到服务器接到客户端的最终ACK包,通过Cookie检验算法鉴定是否与发出去的SYN+ACK报文序列号匹配,匹配则通过完成握手,失败则丢弃其次tcp_max_syn_backlog则是使用服务器的内存资源,换取更大的等待队列长度,让攻击数据包不至于占满所有连接而导致正常用户无法完成握手。
net.ipv4.tcp_synack_retries是降低服务器SYN+ACK报文重试次数,尽快释放等待资源5.2提高主机系统的或网络安全性第一我们进行流量控制,通过一种手段来控制在指定时间内(带宽限制),被发送到网络中的数据量,或者是最大速率的数据流量发送,避免攻击机无限制的占用网络资源。
其次我们也可以对服务器进行冗余备份,增大服务器处理能力,关闭不必要的服务端口,实行严格的补丁管理,避免服务器的漏洞曝光,最后我们也可以自我对服务器进行压力测试,查看服务器的最大处理能力,最后形成在遭遇攻击,系统崩溃的紧急处理机制5.3入口过滤第一我们对端口和协议过滤,对一些恶意地址加入黑名单,进行过滤,合理的编写,排列防火墙规则和路由器的访问控制列表,合理过滤数据流,其次正确配置边界路由,禁止转发指向广播地址的数据包,对于ICMP数据包,只允许必须的类型和代码进出网络,如果网络不需要使用IRC,P2P服以及即使消息,则阻止向外发出这类连接5.4出口过滤用户网络或者其他ISP网络的比边界路由器被配置成在其转发出的数据包时,阻塞源IP地址是非法的数据包,以免其外出到外网5.5主机异常的检测对于以下几种异常现象我们需要即使的查明原因,实行可行的决解方案,第一受害网络通信流量超出工作极限,出现特大型ICMP和UDP数据包,数据段内容只含有数字字符的数据包收到大量的SYN风暴数据包6个人观点在早期拒绝服务式攻击是比较困难的,但是随着一些黑客推出傻瓜式的攻击工具,导致网民能够随便下载工具,从而实施一些攻击,或恶意破坏,,有些人是为了作为练习手段,或炫耀,或者为了报酬或报仇,不管怎样,我都觉得一个真真的黑客不会以纯粹的破坏和捣乱为目的,不会只用一些傻瓜式工具来进行攻击,所以我们也需要遵守一定的黑客准则,才真正可能成为网络高手,7参考文献网络攻防技术与实践(诸葛建伟著)网络攻防技术(吴灏著)百度百科知识51CTO网络安全论坛交流。