泛洪攻击

攻击源利用TCP漏洞向服务器发出攻击，使得服务器(靶机)网络资源被耗尽，观察攻击的过程。

备注：需开启连接windows和linux靶机，在linux运行synflood.py对windows进行攻击，并通过观察浏览网页发现问题（工具在root->gongfang->synflood->synflood.py）。

洪泛攻击是拒绝服务攻击中最有效、最常见的方式，在很多时候这两个概念甚至可以互换。该攻击方式几乎是从互联网络的诞生以来，就伴随着互联网络的发展而一直存在也不断发展和升级。要引起注意的是，许多黑客乐意把他们开发的DoS攻击软件放在互联网上供各种感兴趣的人免费下载，任何一个上网都能够轻松的从Internet上获得这些工具，从某种意义上说，任何一个上网者都可能构成网络安全的潜在威胁。DoS攻击给飞速发展的互联网络安全带来重大的威胁。就目前而言，DoS 攻击永远不会消失而且从技术上目前没有根本的解决办法。

1、掌握泛洪攻击的基本原理；

2、思考防范泛洪攻击的手段；

泛洪攻击利用的是TCP的三次握手机制，攻击端利用伪造的IP地址向被攻击端发出请求，而被攻击端发出的响应报文将永远发送不到目的地，那么被攻击端在等待关闭这个连接的过程中消耗了资源，如果有成千上万的这种连接，主机资源将被耗尽，从而达到攻击的目的。

在服务器与客户端之间传输数据时，先建立tcp连接是必须的，在传送tcp数据时，必须建立一个虚电路，即tcp连接。服务器与客户端建立tcp连接的标准过程被称为三次握手。SYN 洪泛攻击通过故意不完成三次握手过程，造成连接一方的资源耗尽。攻击者向靶机发送一个SYN报文后就拒接返回报文，这样靶机在发出SYN +ACK 应答报文后是无法收到客户端的ACK报文的，这样第三次握手就无法完成，这种情况下，靶机即被攻击的服务器端一般会重试再发送SYN+ACK给客户端，并等待一段时间后丢弃这个未完成的连接，这段时间称为SYN Timeout，一般来说这个时间大约为1分钟。通常，一个用户出现这种异常的情况，并不会造成很大的问题，但是对于攻击者来说，一定会大量的模拟这种情况，这样就有可能造成靶机即服务器不能正常提供服务，最后有可能导致服务器崩溃。因为服务器为了维护大量的半连接列表要消耗非常多的资源，例如计算机需要消耗CPU时间对半连接列表中的ip进行SYN+ACK的重试，还要分配内存存储的协议信息，TCP状态信息，IP地址信息，端口号，IP头，定时器信息，顺序号，指向目的主机的路由信息等。

1、如何通过泛洪攻击实现对目标服务器端的攻击？

2、防范泛洪攻击的手段有哪些？

3、泛洪攻击是在TCP/IP协议的第几层？

DDOS攻击拓扑图如下：

备注：登录控制台开启windows靶机和linux靶机，在windows靶机上运行ddos.exe对linux进行ddos攻击，linux靶机终端使用iptraf监控（

传统上，攻击者所面临的主要问题是网络带宽，由于较小的网络规模和较慢的网络速度的限制，攻击者无法发出过多的请求。虽然类似"the ping of death "的攻击类型只需要较少量的包就可以摧毁一个没有打过补丁的UNIX系统，但大多数的DoS攻击还是需要相当大的带宽的，而以个人为单位的黑客们很难使用高带宽的资源。为了克服这个缺点，DoS攻击者开发了分布式的DoS攻击方式，这就是DDoS攻击。

和DoS 比较起来, 其破坏性和危害程度更大, 涉及范围更广, 也更难发现攻击者。传统的DoS 攻击利用了软件漏洞或系统负荷过度从而使计算机系统无法被正常访问, 一般只是一台机器向受害者发起攻击。而DDoS是黑客利用在已经侵入并已控制的不同的高带宽主机（可能是数百，甚至成千上万台）上安装大量的DoS服务程序，它们等待来自中央攻击控制中心的命令，中央攻击控制中心在适时启动全体受控主机的DoS服务进程，让它们对一个特定目标发送尽可能多的网络访问请求，形成一股DoS洪流冲击目标系统，猛烈的DoS攻击同一个网站。在寡不敌众的力量抗衡下，被攻击的目标网站会很快失去反应而不能及时处理正常的访问甚至系统瘫痪崩溃。由于被攻击者在同一时间内收到大量数据包不是一台主机发送来的, 这使得防御变得非常困难。同时, 因为攻击来自广泛的IP 地址, 而且来自每台主机的少量数据包有可能从入侵检测系统(IrionDetectionSystems,IDS) 眼皮下溜掉, 所以探测和阻止也就变得更加困难。

一、ddos原理

拒绝服务就是用超出被攻击目标处理能力的海量数据包消耗可用系统，带宽资源，致使网络服务瘫痪的一种攻击手段。在早期，拒绝服务攻击主要是针对处理能力比较弱的单机，如个人pc，或是窄带宽连接的网站，对拥有高带宽连接，高性能设备的网站影响不大，但在99年底，伴随着DDoS 的出现，这种高端网站高枕无忧的局面不复存在，与早期的DoS攻击由单台攻击主机发起，单兵作战相比较，DDoS实现是借助数百，甚至数千台被植入攻击守护进程的攻击主机同时发起的集团作战行为，在这种几百，几千对一的较量中，网络服务提供商所面对的破坏力是空前巨大的。

分布式拒绝服务攻击,攻击者利用因特网上成百上千的“Zombie”(僵尸)：被利用主机，对攻击目标发动威力巨大的拒绝服务攻击。攻击者的身份很难确认。

所有DDoS 攻击均由三部分组成:

1、客户端程序：Client Program（黑客）

2、主控端：Master Server

通常安装在ISP或大学网络

- 带宽保证

- 网络性能

3、“僵尸”：Agent (Zombie) Program

4、在TFN中，Master与Zombie间的通讯只是ICMP_ECHOREPLY数据包，没有TCP/UDP 通信DoS/DDoS攻击通常不会对敏感数据产生直接威胁。攻击者主要目的是让被攻击系统停止正常服务，而不是窃取资料。

但是，DoS/DDoS经常被利用来掩盖真正的入侵攻击。另外，网络管理人员在对付拒绝服务攻击时，往往修改系统或网络

设备的一些设置，从而留下其他可能被黑客利用的漏洞，例如停止或重新启动某种服务，就可能产生问题。修改网络配置时，一定要清楚可能造成的后果。

二、攻击类型

1、TCP全连接攻击

和SYN攻击不同，它是用合法并完整的连接攻击对方，SYN攻击采用的是半连接攻击方式，而全连接攻击是完整的，合法的请求，防火墙一般都无法过滤掉这种攻击，这种攻击在现在的DDOS 软件中非常常见，有UDP碎片还有SYN洪水，甚至还有TCP洪水攻击，这些攻击都是针对服务器的常见流量攻击

SYN变种攻击

发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节这种攻击会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。

2、TCP混乱数据包攻击

发送伪造源IP的TCP数据包，TCP头的TCP Flags 部分是混乱的可能是

syn,ack,syn+ack,syn+rst等等，会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。

3、针对用UDP协议的攻击

很多聊天室，视频音频软件，都是通过UDP数据包传输的，攻击者针对分析要攻击的网络软件协议，发送和正常数据一样的数据包，这种攻击非常难防护，一般防火墙通过拦截攻击数据包的特征码防护，但是这样会造成正常的数据包也会被拦截

4、针对WEB Server的多连接攻击

通过控制大量肉鸡同时连接访问网站，造成网站无法处理瘫痪，这种攻击和正常访问网站是一样