拒绝服务攻击与防范

实验七拒绝服务攻击与防范
一、实验目的
1.掌握网络监听工具Sniffer Pro（WireShark）的基本使用方法。

2.掌握拒绝服务攻击工具HGOD的原理和使用方法
二、实验内容
1.使用sniffer（WireShark）工具网络监听。

2.使用sniffer（WireShark）工具对监听到得网络数据进行分析
3.进行拒绝服务攻击
4.使用sniffer（WireShark）软件监视网络状态
三、实验要求
1．局域网连通，多台计算机
2．Sniffer Pro4.7.5sp5网络监听工具（WireShark抓包工具）和HGod拒绝服务攻击工具
四、说明
本实验亦可以使用Wireshark作为抓包工具，对抓取得数据包进行分析。

在实验之前请关闭防火墙及杀毒软件，防止工具工具被杀毒软件杀掉。

五、实验步骤
步骤1 用sniffer抓icmp和IP包
1．设置过滤器，在地址中设置捕获IP数据，（注意，位置1处必须填本机的IP地址），在高级中选择IP协议里面的ICMP协议，如图所示：
图
1
图 2
2．使用ping 命令时进行捕获：
选择“捕获开始”按钮→运行ping 命令，ping 任意主机→当“捕获停止并查看”按钮变成黑色时，点击它
捕获停止捕获条件
选择捕获捕获开始
捕获暂停
捕获停止并查看捕获查看
编辑条件
图3
在弹出的对话框中点击“解码系统”就可以看到捕获的数据了
位置1
图4 将捕获到的图粘帖在下方：
抓包分析如图：
图 5
图 6
在①中，表示 次 请求和应答。

在②中，显示的是以太网帧头，目的地址是 。

封装的协议是 。

帧大小为 。

在③中，显示的是 数据报，封装的协议是 ，TTL 值为 ，是否分段 。

在④中，显示的是 数据报，类型为 ，表示 。

在⑤中，帧到达的时间为 。

因此可以判定从发送方到接收方传输数据的一次往返时间为 。

在⑥中TTL 值为 ，为什么和③中的TTL 值不同？
在⑦中，显示的是 数据报，类型为 ，表示 。

步骤2 使用Sniffer 软件监视网络的状态
1．在被攻击的主机上打开Sniffer Pro ，选择Monitor/Matrix 命令，打开Traffic Map 视图，可以查看任意主机发给被攻击主机的IP 数据包。

图7 将打开的Traffic Map视图粘帖在下方：
2.查看当前的报文统计，打开Dashbord面板
统计平均数据
为统计图选择或总和
连续的统计图
统计指标图8
将当前的报文统计粘贴在下方：
步骤3使用HGod拒绝服务攻击软件
注意：部分杀毒软件可把此程序当成病毒杀掉，所以在使用时可能需要关闭杀毒软件
1.将该软件直接解压到磁盘根目录下，如D:
2.运行“开始”→“运行”，输入“cmd”，打开cmd命令行对话窗口
3.输入“cd\”直接退到磁盘根目录下，进入D盘盘符，如图所示
图9
4.运行HGod拒绝服务攻击工具对某台主机进行攻击
图10
<Target>为要攻击的目标,可以是计算机名,域名或者IP地址.
<StartPort> 为要攻击的目标端口. IGMP/ICMP攻击模式可以随便设置一个端口.
如果是SYN Flood可以支持多端口同时攻击.
如SYN Flood攻击20-80的端口,则设为 20-80
如SYN Flood攻击21,23,80端口,则设为 21,23,80. 端口总数不能多于100个.
[Option] 为攻击参数选项. 各参数如下:
-a:AttackTime 为攻击时间选项,为0-14400分钟, 设0为一直攻击, 默认为0.
如果要攻击1个小时, 请设为 -a:60
如果要攻击1天, 请设为 -a:1440
最大设为10天.大于10天,请不要设置.
-b:Packsize 为攻击时发送的数据包大小, 为1-65400比特. (SYN Flood 不用设置包大小.)
如果定制数据包的大小为10000, 请设为 -b:10000
-d:Delay 为发送数据包之间的延时, 为0-1000ms. 默认为10ms. (SYN Flood不用设置延时.)
如果定制延时为1ms, 请设为 -b:1
-l:Speed 网络连接速度选择, 为1-200M, 只为 SYN Flood攻击参数. 如果你的网速小于10M, 必须设置.
如果你的网速为<1M, 请设为 -l:1
如果你的网速为<2M, 请设为 -l:2
类推, 程序自动设置最佳攻击方式.
-m:Mode 使用的攻击种类, 为 SYN/UDP/ICMP/IGMP, 默认为SYN.
如果你要使用IGMP炸弹攻击, 请使用 -m:igmp
-n:Num 设置源IP变化的范围, 可以设为1-65535. 只为 SYN Flood 攻击参数.
如果你想源IP变化的范围为一个c段, 请使用 -n:255\
-p:SourcePort 设置攻击时的源端口, 默认为不用设置, 程序自动产生随机源端口并封装. ICMP/IGMP不用设置.
如果你设端口为80, 请使用 -p:80
-s:SourceIP 设置攻击时的源IP地址, 默认为不用设置, 程序自动产生随机IP并封装, IGMP不用设置.
如果设源IP为192.168.0.1, 请使用 -s:192.168.0.1
ICMP攻击模式中, 你可以设攻击IP为源IP, 把目标IP设为一个广播地址. 这样可以让源IP收到多倍的数据包.
-t:Thread 攻击时使用的线程数, 为1-100, 默认为10个线程.
如果要设为使用1个线程进行攻击, 请使用 -t:1
按照用法对某台主机进行攻击,比如输入：
hgod 192.168.0.1 80
hgod 192.168.0.1 21,23,80 -t:20 -l:10 -s:192.168.0.1 -n:65535
hgod 192.168.0.255 4000 -m:icmp -t:20 -d:1 -s:192.168.0.1 hgod 192.168.0.1 4000 -m:igmp -d:1 -a:1000
步骤4 在被攻击主机上使用Sniffer查看计算机的处理速度
1.查看Traffic Map视图中，与本机的连接图，粘贴在下方
2.使用报文统计，将当前的报文统计粘贴在下方。