网络攻防课程设计完整版

网络攻防课程设计 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

目录

“拒绝服务攻击”技术研究与实现

姓名：江志明班级：YA 学号：

1拒接服务攻击简介

所谓的拒绝服务攻击简单说即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影

响合法用户的连接。

2拒接服务攻击的原理

SYN Flood

SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式，这种攻击容易操作并且效果明显

具体过程是通过三次握手协议实现的假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK 报文的(第三次握手无法完成)，这种情况下服务器端一般会重试(再次发送SYN+ACK 给客户端)并等待一段时间后丢弃这个未完成的连接。这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级(大约为30秒~2分钟)；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址)，服务器端将为了维护一个非常大的半

连接列表而消耗非常多的资源。即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服

务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃——即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小)，此时从正常客户的角度看来，服务器失去响应，这种情况就称作：服务器端受到了SYN Flood攻击(SYN洪水攻击)。

TCP三次握手示意图

DDOS分布式示意图

UDP洪水攻击

攻击者利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间存在很多的无用数据

流，这些无用数据流就会导致带宽的服务攻击。在实际情况下，攻击者会利用一定数量级的傀儡机器同时进行攻击，这时候就有可能发生受害机UDP淹没。

被UDP攻击机示意图

洪流攻击

这种攻击方式是早期的方式，又被陈为死芒之PING，是利用系统的自身漏洞实现的，具体原理是许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方死机。

其他方式的攻击原理

teardrop攻击：是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击

Land攻击：用一个特别打造的SYN包，它的原地址和目标地址都被设置成某一个服务器地址。

Smurf攻击：通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行

3攻击过程或步骤流程

攻击使用的工具

TFN

TFN由主控端程序和代理端程序两部分组成，它主要采取的攻击方法为：SYN风暴、Ping风暴、UDP炸弹和SMURF，具有伪造数据包的能力

Trinoo

Trinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对IP地址不做假，采用的通讯端口是：NETWOX网络工具包

NETWOX是一款综合性的工具包，包含上百种的网络工具，采用字符界面形式，功能性能强大

SYN flood攻击模拟过程

1 启动两个虚拟机系统，一个为WIN2008（A机），一个为XP（B 机）。然后在Win2003虚拟机（A机）上运行抓包软件SmartSniff，查看当前的网络通信情况。

两架计算机连通正常

2在XP上运行smartsniff查看当前的网络状态

当前网络良好

3在宿主机上用NETWOX对XP虚拟机进行拒绝服务攻击，命令如下：

netwox 76 –i “[A机IP]”–p 80

4此时查看靶机XP上的网络状况

此时靶机XP已近处于假死机状态，通过上面的网络监听数据看，说明此次SYN flood攻击成功

4此次攻击的功能或后果

这次的攻击主要是通过当前流行的SYN flood攻击，包括TCP和UDP连接，占用靶机的大量的网络资源，致使受害机CPU和内存被大量占用，进一步使其死机，甚至瘫痪状态。在是、SYN洪水攻击中，我们也可以通过这一种混沌状态，入侵目标主机，配合其他攻击的方式

5对拒绝服务防范手段与措施

首先我们必须知道，拒绝服务式的攻击是本身协议的缺陷，我们目前还不太可能做到对这种攻击百分百的防御，但是积极部署防御措施，还是能在很大程度上缓解和抵御这类安全威胁的。另外，加强用户的安全防范意识，提高网络系统的安全性也是很重要的措施，现在根据目前的防御手段主要有以下几种

增强网络的容忍性

首先具体设施有我们修改内核参数即可有效缓解。主要参数如下：

= 9000

分别为启用SYN Cookie、设置SYN最大队列长度以及设置SYN+ACK最大重试次数。

SYN Cookie的作用是缓解服务器资源压力。启用之前，服务器在接到SYN数据包后，立即分配存储空间，并随机化一个数字作为SYN号发送SYN+ACK数据包。然后保存连接的状态信息等待客户端确认。启用SYN Cookie之后，服务器不再分配存储空间，而且通过基于时间种子的随机数算法设置一个SYN号，替代完全随机的SYN号。发送完SYN+ACK确认报文之后，清空资源不保存任何状态信息。直到服务器接到客户端的最终ACK包，通过Cookie检验算法鉴定是否与发出去的SYN+ACK 报文序列号匹配，匹配则通过完成握手，失败则丢弃

其次

提高主机系统的或网络安全性