拒绝服务攻击与防范实验
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在被攻击的计算机10.0.27.10中可以查看收到的UDP 数据包,这需要事先对系统监视器进行配臵,依次执 行“控制面板”→“管理工具”→“性能”,首先在 系统监视器中单击右侧图文框上面的“+”按钮,弹出 “添加计数器”对话框,如图所示。在这个对话框中 添加对UDP数据包的监视,在“性能对象”组合框中 选择“UDP v4”协议,选择“从列表选择计数器”单 选按钮,并在下面的列表框中选择“Datagrams Received/sec”即对收到的UDP数据包进行计算,配臵 并保存在此计数器信息的日志文件。
DoS攻击可使用一些公开的软件进行攻击,发动较 为简单而且在较短的时间内即可达到效果,但要防止 这类攻击是非常困难的,从技术上看,目前还没有根 本的解决办法。 DoS攻击的实现方式主要包括:资源消耗、服务终 止、物理破坏等。例如:服务器的缓冲区满,不接受 新的请求。如SYN Flood洪泛攻击、Land攻击。 使用IP欺骗,迫使服务器将合法用户的连接复位, 影响连接。如Smurf攻击。
任务二 Land攻击演练
软件到ftp://10.0.91.2下载,如图所示
Land的使用方法是在命令提示符下,在Land15所在的目录下输入命令“LAND15 10.0.83.117 80”,过程如下:运行cmd ,进入命令模式。
进入Land所在的磁盘和目录(假设Land放在D盘),操作如下:d:回车, cd land15回车,如下图所示。
DDoSer.exe的运行及结果观察
在某台主机上运行DDoSer.exe,则这台主机就成 了攻击者的代理端,主机会自动发出大量的半连Fra Baidu bibliotek请 求,在命令提示符下输入“netstat”命令来查看网络 状态。 从图中可以看到,主机自动向目标服务器发起大 量的SYN请求,这就说明主机开始利用SYN Flood攻击 目标了。
还有一种Fraggle攻击,它和Smurf攻击原理相同,只不 过使用的是UDP应答消息而不是ICMP。可以通过在防火墙 上过滤UDP应答消息实现对这种攻击的防范。 UDP Flood攻击也是利用TCP/IP服务来进行,它利用了 Chagen和Echo来回传送毫无用处的数据来占用带宽。在攻 击过程中,伪造与某一计算机的Chargen服务之间的一次 UDP连接,而回复地址指向开着Echo服务的一台计算机, 这样就生成在两台计算机之间大量的无用数据流,导致带 宽完全被占用而拒绝提供服务。防范UDP Flood攻击的办法 是关掉不必要的TCP/IP服务,或者配臵防火墙以阻断来自 Internet的UDP服务请求。
三、实验环境
运行Windows 2008/XP的多台计算机,通过网络连 接,在其中某一台计算机上安装实验所需的软件。
任务一 UDP Flood攻击演练
实验软件到ftp://10.0.91.2下载,如图所示解压后可直接使用
UDP Flood是一种采用UDP Flood攻击方式的DoS软件, 它可以向特定的IP地址和端口发送UDP包。在 “IP/hostname”和“Port”文本框中指定目标主机的IP地 址和端口号,“Max duration(secs)”文本框中可设定最 长的攻击时间,在“Speed(pkts/sec)”中可以设臵UDP 包发送的速度,在“Data”选项区域中可定义UDP数据包中 包含的内容,默认情况下为UDP Flood.Serverstress test的 text文件内容。单击“Go”按钮即可对目标主机发起UDP Flood攻击,如图所示。从10.0.27.x(不同的机房IP不同)主 机发起UDP-Flood攻击,发包的速率为250包/秒。虽然本实 验只有一台攻击计算机,对网络带宽的占用率影响不大, 但攻击者数据很多时,对网络带宽的影响也不容忽视。
Smurf攻击的原理如图6-1所示,攻击者主要使用IP广播和IP欺骗 的方法,发送伪造的ICMP Echo Request报给目标网络的IP广播 地址。 当攻击者向某个网络的广播地址发送ICMP Echo Request包时, 如果路由器对发往网络广播地址的ICMP包不进行过滤,则所有 主机都可以接收到该ICMP包,并且都要向ICMP包所指示的源 地址发送ICMP Echo Reply响应包。如果攻击者将发送的ICMP包 的源地址伪造成被攻击者的地址,则该响应包都要发往被攻击 的主机。这不仅造成被攻击主机流量过载、减慢甚至停止正常 的服务,而且发出ICMP响应包的中间受害网络也会出现拥塞甚 至网络瘫痪。为了防范这种攻击,最好关闭外部路由器或防火 墙的地址广播功能。
DDoSer1.5的设置:打开DDoSmaker.exe程序,界面如图所示。 DDoS攻击者具体设置如下: 目标主机的域名或IP地址”:就是要攻击主机的域名或IP地址,建议使用域名,因为IP地址是可以经常变换的,而域名一般不会变。 “端口”:就是要攻击的端口,请注意,这里指的是TCP端口,因为此软件只能攻击基于TCP的服务。如80就是攻击HTTP的服务,21就是攻击FTP服务,25就是攻 击SMTP服务,110就是攻击POP3服务等。 “并发连接线程数”:就是同时并发多少个线程去连接这个指定的端口,当然此值越大对服务器的压力越大,当然占用本机资源也越大。建议使用默认值,即10 个线程。 “最大TCP连接数”:当连接上服务器后,如果立即断开这个连接显然不会对服务器造成什么压力,而是先保持这个连接一段时间,当本机的连接数大于此值时, 就会开始断开以前的连接,从而保证本机与服务器的连接数不会超过此值。同样,此值越大对服务器的压力越大,当然占用本机资源也越大。建议使用默认值, 即1000个连接。 “注册表启动项键名”:就是在注册表里写入的启动项键名,当然是越隐蔽越好。 “服务器端程序文件名”:就是在Windows系统目录中的文件名,同样也是越隐蔽越好。 “DDoS攻击者程序保存为”:就是生成的DDoS攻击者程序保存在何处、它的文件名是什么 按照图6-9所示的设置后,软件就会自动生成一个DDoSer.exe的可执行文件,这个文件就是攻击程序,这个程序在哪台主机上运行,哪台主机就会自动向目标发起 攻击。因此为了达到较好的效果,可以将这个攻击者程序复制到多台计算机上并同时运行。
DDoS攻击者1.5软件是一个DDoS攻击工具,程序运行后自动装入 系统,并在以后随系统启动,自动对事先设定好的目标进行攻击。 DDoS攻击者1.5软件分为生成器(DDoSMaker.exe)和DDoS攻 击者程序(DDoSer.exe)两部分。软件在下载安装后是没有DDoS 攻击者程序的,只有生成器DDoSMaker.exe,DDoS攻击者程序要 通过生成器进行生成。生成时可以自定义一些设臵,如攻击目标 的域名或IP地址、端口等。DDoS攻击者默认的文件名为 DDoSer.exe,可以在生成时或生成后任意改名。DDoS攻击者程序 类似于木马软件的服务器端程序,程序运行后不会显示任何界面, 看上去好像没有反应,其实它已经将自己复制到系统中,并且会 在每次开机时自动运行,此时可以将复制过去的安装程序删除。 它运行时唯一会做的工作就是源源不断地对事先设定好的目标进 行攻击。DDoSer使用的攻击手段是SYN Flood方式。
拒绝服务攻击与防范实验
一、实验目的
通过练习使用DoS/DDoS攻击工具对目标主机进 行攻击,理解DoS/DDoS攻击的原理及其实施过程, 掌握监测和防范Dos/DDoS攻击的措施
二、实验原理
拒绝服务(Denial of Service,DoS)攻击通常是针 对TCP/IP中的某个弱点,或者系统存在的某些漏洞,对 目标系统发起大规模的进攻,使服务器充斥大量要求 回复的信息,消耗网络带宽或系统资源,导致目标网 络或系统不胜负荷直至瘫痪、无法提供正常服务。 分布式拒绝服务(Distribute Denial of Service, DDoS)攻击是对传统DoS攻击的发展,攻击者首先侵 入并控制一些计算机,然后控制这些计算机同时向一 个特定的目标发起拒绝服务攻击。
在Land攻击中,一个特别打造的SYN包的源地址和 目标地址都被设臵成某一个服务器地址,这时将导致 接受服务器向它自己的地址发送SYN-ACK消息,结果 这个地址又发回ACK消息并创建一个空连接,每一个 这样的连接都将保留直到超时。对Land攻击,不同的 操作系统反应不同,许多UNIX将崩溃,而WindowsNT 会变得极其缓慢(大约持续5分钟)。 预防Land攻击的最好办法是通过配臵防火墙,过 滤从外部发来的含有内部源IP地址的数据包。
输入命令“land15 10.0.83.117 80(在不同的机房使用不同的IP)”回车, 得如图所示的结果,停止攻击按“Ctrl+c”键。
在攻击过程中,在被攻击的计算机上启动“任务管理器”,如图6-7所示, 可以看到CPU的使用率迅速上升,这说明Land攻击将导致被攻击主机的 CPU资源被耗费。
在被攻击的计算机上打开Ethereal工具,可以捕捉 由攻击者的计算机发到本地计算机的异常TCP数据包, 可以看到这些TCP数据包的源计算机和目标计算机IP地 址都是10.0.83.117,这正是Land攻击的明显特征。
任务三 DDoS攻击演练
软件下载:到ftp://10.0.91.2,如图所示
作业
将三个任务完成的过程和结果用截图的形式放入 Word文件,下课前发送到老师的信箱。
选择“可靠性和性能”单击
选择“性能监视器”单击
选择“+”号单击
弹出添加计数器如下图所示
选择Datagrams Received/sec后单击“添加”得下图所示,单击确定。
当入侵者发起UDP Flood攻击时,可以通过在被攻击计算 机中的系统监视器,查看系统监测到的UDP数据包信息,如 图所示,图中左半部分的凸起曲线,显示了UDP Flood攻击 从开始到结束的过程,接收UDP数据包的最大速率为250包/ 秒,由于图中显示比例为0.1,所以对应的坐标为25。 在被攻击的计算机上打开Ethereal工具,可以捕捉由攻击 者计算机发到本地计算机的UDP数据包,可以看到内容为 “UDP Flood.Server stress test”的大量UDP数据包。