拒绝服务攻击与防范实验

在被攻击的计算机10.0.27.10中可以查看收到的UDP 数据包，这需要事先对系统监视器进行配臵，依次执 行“控制面板”→“管理工具”→“性能”，首先在 系统监视器中单击右侧图文框上面的“+”按钮，弹出 “添加计数器”对话框，如图所示。在这个对话框中 添加对UDP数据包的监视，在“性能对象”组合框中 选择“UDP v4”协议，选择“从列表选择计数器”单 选按钮，并在下面的列表框中选择“Datagrams Received/sec”即对收到的UDP数据包进行计算，配臵 并保存在此计数器信息的日志文件。
DoS攻击可使用一些公开的软件进行攻击，发动较 为简单而且在较短的时间内即可达到效果，但要防止 这类攻击是非常困难的，从技术上看，目前还没有根 本的解决办法。 DoS攻击的实现方式主要包括：资源消耗、服务终 止、物理破坏等。例如：服务器的缓冲区满，不接受 新的请求。如SYN Flood洪泛攻击、Land攻击。 使用IP欺骗，迫使服务器将合法用户的连接复位， 影响连接。如Smurf攻击。
任务二 Land攻击演练
软件到ftp://10.0.91.2下载，如图所示
Land的使用方法是在命令提示符下，在Land15所在的目录下输入命令“LAND15 10.0.83.117 80”，过程如下：运行cmd ，进入命令模式。
进入Land所在的磁盘和目录（假设Land放在D盘），操作如下：d:回车， cd land15回车，如下图所示。
DDoSer.exe的运行及结果观察
在某台主机上运行DDoSer.exe，则这台主机就成 了攻击者的代理端，主机会自动发出大量的半连Fra Baidu bibliotek请 求，在命令提示符下输入“netstat”命令来查看网络 状态。 从图中可以看到，主机自动向目标服务器发起大 量的SYN请求，这就说明主机开始利用SYN Flood攻击 目标了。
还有一种Fraggle攻击，它和Smurf攻击原理相同，只不 过使用的是UDP应答消息而不是ICMP。可以通过在防火墙 上过滤UDP应答消息实现对这种攻击的防范。 UDP Flood攻击也是利用TCP/IP服务来进行，它利用了 Chagen和Echo来回传送毫无用处的数据来占用带宽。在攻 击过程中，伪造与某一计算机的Chargen服务之间的一次 UDP连接，而回复地址指向开着Echo服务的一台计算机， 这样就生成在两台计算机之间大量的无用数据流，导致带 宽完全被占用而拒绝提供服务。防范UDP Flood攻击的办法 是关掉不必要的TCP/IP服务，或者配臵防火墙以阻断来自 Internet的UDP服务请求。
三、实验环境
运行Windows 2008/XP的多台计算机，通过网络连 接，在其中某一台计算机上安装实验所需的软件。
任务一 UDP Flood攻击演练
实验软件到ftp://10.0.91.2下载，如图所示解压后可直接使用
UDP Flood是一种采用UDP Flood攻击方式的DoS软件， 它可以向特定的IP地址和端口发送UDP包。在 “IP/hostname”和“Port”文本框中指定目标主机的IP地 址和端口号，“Max duration（secs）”文本框中可设定最 长的攻击时间，在“Speed（pkts/sec）”中可以设臵UDP 包发送的速度，在“Data”选项区域中可定义UDP数据包中 包含的内容，默认情况下为UDP Flood.Serverstress test的 text文件内容。单击“Go”按钮即可对目标主机发起UDP Flood攻击，如图所示。从10.0.27.x（不同的机房IP不同）主 机发起UDP-Flood攻击，发包的速率为250包/秒。虽然本实 验只有一台攻击计算机，对网络带宽的占用率影响不大， 但攻击者数据很多时，对网络带宽的影响也不容忽视。
Smurf攻击的原理如图6-1所示，攻击者主要使用IP广播和IP欺骗 的方法，发送伪造的ICMP Echo Request报给目标网络的IP广播 地址。 当攻击者向某个网络的广播地址发送ICMP Echo Request包时， 如果路由器对发往网络广播地址的ICMP包不进行过滤，则所有 主机都可以接收到该ICMP包，并且都要向ICMP包所指示的源 地址发送ICMP Echo Reply响应包。如果攻击者将发送的ICMP包 的源地址伪造成被攻击者的地址，则该响应包都要发往被攻击 的主机。这不仅造成被攻击主机流量过载、减慢甚至停止正常 的服务，而且发出ICMP响应包的中间受害网络也会出现拥塞甚 至网络瘫痪。为了防范这种攻击，最好关闭外部路由器或防火 墙的地址广播功能。
DDoSer1.5的设置：打开DDoSmaker.exe程序，界面如图所示。 DDoS攻击者具体设置如下： 目标主机的域名或IP地址”：就是要攻击主机的域名或IP地址，建议使用域名，因为IP地址是可以经常变换的，而域名一般不会变。 “端口”：就是要攻击的端口，请注意，这里指的是TCP端口，因为此软件只能攻击基于TCP的服务。如80就是攻击HTTP的服务，21就是攻击FTP服务，25就是攻 击SMTP服务，110就是攻击POP3服务等。 “并发连接线程数”：就是同时并发多少个线程去连接这个指定的端口，当然此值越大对服务器的压力越大，当然占用本机资源也越大。建议使用默认值，即10 个线程。 “最大TCP连接数”：当连接上服务器后，如果立即断开这个连接显然不会对服务器造成什么压力，而是先保持这个连接一段时间，当本机的连接数大于此值时， 就会开始断开以前的连接，从而保证本机与服务器的连接数不会超过此值。同样，此值越大对服务器的压力越大，当然占用本机资源也越大。建议使用默认值， 即1000个连接。 “注册表启动项键名”：就是在注册表里写入的启动项键名，当然是越隐蔽越好。 “服务器端程序文件名”：就是在Windows系统目录中的文件名，同样也是越隐蔽越好。 “DDoS攻击者程序保存为”：就是生成的DDoS攻击者程序保存在何处、它的文件名是什么 按照图6-9所示的设置后，软件就会自动生成一个DDoSer.exe的可执行文件，这个文件就是攻击程序，这个程序在哪台主机上运行，哪台主机就会自动向目标发起 攻击。因此为了达到较好的效果，可以将这个攻击者程序复制到多台计算机上并同时运行。
DDoS攻击者1.5软件是一个DDoS攻击工具，程序运行后自动装入 系统，并在以后随系统启动，自动对事先设定好的目标进行攻击。 DDoS攻击者1.5软件分为生成器（DDoSMaker.exe）和DDoS攻 击者程序（DDoSer.exe）两部分。软件在下载安装后是没有DDoS 攻击者程序的，只有生成器DDoSMaker.exe，DDoS攻击者程序要 通过生成器进行生成。生成时可以自定义一些设臵，如攻击目标 的域名或IP地址、端口等。DDoS攻击者默认的文件名为 DDoSer.exe，可以在生成时或生成后任意改名。DDoS攻击者程序 类似于木马软件的服务器端程序，程序运行后不会显示任何界面， 看上去好像没有反应，其实它已经将自己复制到系统中，并且会 在每次开机时自动运行，此时可以将复制过去的安装程序删除。 它运行时唯一会做的工作就是源源不断地对事先设定好的目标进 行攻击。DDoSer使用的攻击手段是SYN Flood方式。
拒绝服务攻击与防范实验
一、实验目的

通过练习使用DoS/DDoS攻击工具对目标主机进 行攻击，理解DoS/DDoS攻击的原理及其实施过程， 掌握监测和防范Dos/DDoS攻击的措施
二、实验原理
拒绝服务（Denial of Service，DoS）攻击通常是针 对TCP/IP中的某个弱点，或者系统存在的某些漏洞，对 目标系统发起大规模的进攻，使服务器充斥大量要求 回复的信息，消耗网络带宽或系统资源，导致目标网 络或系统不胜负荷直至瘫痪、无法提供正常服务。 分布式拒绝服务（Distribute Denial of Service， DDoS）攻击是对传统DoS攻击的发展，攻击者首先侵 入并控制一些计算机，然后控制这些计算机同时向一 个特定的目标发起拒绝服务攻击。
在Land攻击中，一个特别打造的SYN包的源地址和 目标地址都被设臵成某一个服务器地址，这时将导致 接受服务器向它自己的地址发送SYN-ACK消息，结果 这个地址又发回ACK消息并创建一个空连接，每一个 这样的连接都将保留直到超时。对Land攻击，不同的 操作系统反应不同，许多UNIX将崩溃，而WindowsNT 会变得极其缓慢（大约持续5分钟）。 预防Land攻击的最好办法是通过配臵防火墙，过 滤从外部发来的含有内部源IP地址的数据包。
输入命令“land15 10.0.83.117 80（在不同的机房使用不同的IP）”回车， 得如图所示的结果，停止攻击按“Ctrl+c”键。
在攻击过程中，在被攻击的计算机上启动“任务管理器”，如图6-7所示， 可以看到CPU的使用率迅速上升，这说明Land攻击将导致被攻击主机的 CPU资源被耗费。
在被攻击的计算机上打开Ethereal工具，可以捕捉 由攻击者的计算机发到本地计算机的异常TCP数据包， 可以看到这些TCP数据包的源计算机和目标计算机IP地 址都是10.0.83.117，这正是Land攻击的明显特征。
任务三 DDoS攻击演练
软件下载：到ftp://10.0.91.2，如图所示
作业
将三个任务完成的过程和结果用截图的形式放入 Word文件，下课前发送到老师的信箱。
选择“可靠性和性能”单击
选择“性能监视器”单击
选择“+”号单击
弹出添加计数器如下图所示
选择Datagrams Received/sec后单击“添加”得下图所示，单击确定。
当入侵者发起UDP Flood攻击时，可以通过在被攻击计算 机中的系统监视器，查看系统监测到的UDP数据包信息，如 图所示，图中左半部分的凸起曲线，显示了UDP Flood攻击 从开始到结束的过程，接收UDP数据包的最大速率为250包/ 秒，由于图中显示比例为0.1，所以对应的坐标为25。 在被攻击的计算机上打开Ethereal工具，可以捕捉由攻击 者计算机发到本地计算机的UDP数据包，可以看到内容为 “UDP Flood.Server stress test”的大量UDP数据包。