没有合适的资源?快使用搜索试试~ 我知道了~
6-2019051121-林晓旭-DDOS1
需积分: 0 0 下载量 126 浏览量
2022-08-08
18:49:59
上传
评论
收藏 955KB DOCX 举报
温馨提示
试读
17页
3、了解针对DoS/DDoS攻击的防御措施和手段 5、拒绝服务攻击的防范(1)DoS特征 6、DDoS攻击工具 2、ICMP洪水攻击 (1)攻击者启动协议分析器
资源详情
资源评论
资源推荐
暨南大学本科实验报告专用纸
课程名称 网络安全实验 成绩评定
实验项目名称 DDOS 攻击 指导教师 潘冰
实验项目编号 6 实验项目类型 验证型 实验地点
学生姓名 林晓旭 学号 2019051121
学院 智能科学与工程 系 专业 信息安全
实验时间 2022 年 4 月 15 日 下 午~ 4 月 15 日 下 午
一、 实验目的
1、了解 DoS/DDos 工作原理和危害
2、掌握利用 TCP、UDP 等协议的 DoS/DDos 攻击。
3、了解针对 DoS/DDoS 攻击的防御措施和手段。
二、 实验原理
1、 拒绝服务攻击概念
DoS(Denial of Service,拒绝服务)攻击。广义而言,凡是利用网络安全防护措施不足导致用户
不能或不敢继续使用正常服务的攻击手段,都称之为拒绝服务攻击。其目的是通过消耗网络带宽
或系统资源,使网络或计算机不能提供正常的服务。
DDoS(Distributed Denial of Service, DDoS)指攻击者通过控制在网络各处的数百甚至数千傀
儡主机(又称为肉鸡),发动它们同时向目标进行拒绝服务攻击。
2、 Dos 攻击原理
(1)、目标主机:特别是采用负载均衡技术的主机群
数量、地址、端口、配置、性能、带宽
(2)、傀儡主机:通过端口扫描发现有漏洞的主机
攻击者一般利用 ftp 上传攻击程序
(3)、发动攻击:攻击者登录到傀儡机,发送攻击指令
3、 Ddos 攻击原理
在 Dos 基础上,借助 C/S 技术,将多个计算机联合起来作为攻击平台,对一个或多个目标进行攻
击。
4、 Dos 攻击手段
(1)死亡之 ping(ping of death)。通过 ping 命令向对方发送巨长的 ICMP 报文。
(2)SYN 泛洪(SYN flood)。针对 TCP 的 3 握手普过程实施攻击。攻击方利用虚假源地址向服
务器发送 TCP 连接请求,服务器回复 SYN+ACK 数据包。由于发送请求的源地址是假地址,服务
器不会得到确认,服务器一般会重试发送 SYN+ACK,并等待一段时间(大约 30 秒-2 分钟)后丢
弃这个连接,在等待的时间内服务器处于半连接状态,会消耗调资源。当大量的虚假 SYN 请求到
来,会占用服务器的大量资源从而使得目标主机不能向正常请求提供服务。
(3)UDP 泛洪(UDP flood)。UDP 无连接协议,无拥塞控制机制。攻击者发送大量伪造源 IP 地
址的小 UDP 数据包。只要用户开一个 UDP 端口提供相关服务,就可以针对该服务进行攻击。
(4)Smurf 攻击。攻击者向一个子网的广播地址发送一个带有特定请求(如 ping )的包,并且
将源地址伪装成受害主机的 IP 地址。子网上所有主机都回应广播包的请求,向被攻击主机发送大
量的应答,使得网络的带宽下降,严重情况会导致受害主机崩溃。和死亡之 ping 相反,受害者主
机 IP 是源地址。ping 请求 源地址:受害方,目的地址:广播地址。
(5)SYN 变种攻击。发送伪造源 IP 的 SYN 数据包,但数据报不是 64 字节而是上千字节,这种
攻击造成防火墙错误锁死,消耗服务器资源,阻塞网络。
(6)TCP 混乱数据包攻击。发送伪造源 IP 的 TCP 数据包,TCP 头部的 TCP Flags 部分混乱(如
syn,ack,syn+ack,syn+rst),会造成防火墙错误锁死,消耗服务器资源,阻塞网络。
(7)泪滴攻击(分片攻击)。泪滴(Teardrop)攻击是利用 TCP/IP 协议的漏洞进行 DoS 攻击的方
式。攻击者向目的主机发送有重叠偏移量的伪造 IP 分片数据包,目的主机在重组含有偏移量重叠
的数据包时会引起协议栈崩溃。
(8)IP 欺骗 DoS。攻击者向目的主机发送大量伪造源 IP 地址(合法用户,已经建立连接)、RST
置位的数据包,致使目的主机清空已经建好的连接,从而实现 DoS。(序号很关键,猜不中,不能
实施 RST 攻击)。
(9)针对 Web Server 的多链接攻击。通过控制大量“肉鸡”同时访问某网站,造成网站无法正
常处理请求而瘫痪实验过程 。
(10)针对 Web Server 的变种攻击。通过控制大量“肉鸡”同时连接网站,不发送 GET 请求而
是发送乱七八糟的字符,绕过防火墙的检测,造成服务器瘫痪。
(11)Land 攻击。利用一个特别打造的 SYN 包--它的原地址和目标地址(相同)都被设置成某一
个服务器地址进行攻击。这将导致接受服务器向它自己的地址发送 SYN+ACK 消息,结果这个地
址又发回 ACK 消息并创建一个空连接,每一个这样的连接都将保留直到超时,在 Land 攻击下,
许多 UNIX 将崩溃,Windows 变得极其缓慢。
5、拒绝服务攻击的防范
(1)DoS 特征。攻击流量的目的地过于集中,且无拥塞控制特性。DoS 攻击流量不会考虑网络
拥塞,攻击流量持续不断,出现网络拥塞仍然大量发包,大量无用的数据包加剧网络拥塞,数据
包中的源地址一般为伪造;TCP/UDP 流量流向目的端口太多或者目的端口过于集中。用随机端口
攻击目标机,会出现同时向目标机的数千端口发送数据包;用固定端口攻击目标机,会出现同时
向目标机的单一端口发送大量数据包。
(2)Dos 检测。基于流量大小的检测,在被保护网络边界(如边界路由器)上部署流量检测算法,
根据流量的突发变化检测 DoS/DDoS 攻击的发生;基于源 IP 地址的检测,在保护网络的边界路
由器上部署源 IP 检测算法,根据源 IP 个数的变化来判断 DoS/DDoS 攻击的发生。正常情况下,
一个新的时间段的心 IP 地址基本呈均匀分布;基于包属性的检测,在 DoS 攻击时,攻击数据包
破坏了正常网络状况下进出数据包在 IP 数据包头字段的统计学稳定性,因此可以采用一定的算法
在正常情况下进行包属性字段的学习,从而有效地判断进出数据包的危险度,进而检测 DoS/DDoS
攻击,
(3)Dos 防范。(a)增强系统自身的防御能力,防止僵死程序的植入。关闭不必要的服务和端口;
即使更新系统补丁;安装查杀病毒的软硬件产品,及时更新病毒库。设置复杂口令,降低系统被
控制的可能性;经常检测网络和主机的脆弱性,查看网上漏洞数据库,以减少或避免主机称为
“肉鸡”的可能性。Web 服务器建立多个镜像,实现负载均衡。(b)中间设防纵深防御。采用防
火墙系统进行数据过滤;Anti DdoS 设备。优化路由器配置。过滤所有不需要的 UDP 和 ICMP 包,
尤其不允许出现 ICMP 不可达消息;配置路由器外网卡,丢弃来自外网而源 IP 地址是内网地址的
包;配置路由器内网卡,丢弃发到外网而源 IP 地址不是内网地址的包;禁止外出的 ICMP 不可达
数据包;限制 TCP 连接查实阈值;与 ISP 合作,制定路由访问策略。采用蜜罐技术。蜜罐技术是
一个在网络上引诱黑客或蠕虫进行攻击的、带有漏洞的真实或虚拟系统。采用网络入侵检测系统。
检测网络流量或访问行为,向系统管理员报警,以便及时采取措施。
6、DDoS 攻击工具。
(a)TFN2K。TFN2K 是由德国著名黑客 Mixter 编谢的 DDOS 工具。由主控端程序和代理程序两
部分组成,主控端和代理端是加密通信,具有伪造数据包的能力。采用的攻击方法有:UDP 冲击、
TCP SYN 冲击、ICMP 回应请求冲击以及 ICMP 广播。(b)hping3。ping、nmap(查目的主机开放
情况)、hping3(linux 下工具)(构造 UDP 数据包 UDP FLOOD 攻击、构造源和目的 IP 和端口都
相同的数据包实施 Land 攻击)
(b)Smurf2。smurf2 是一个轻量级的 Smurf 攻击工具,它可以同时向多个傀儡机发送伪源地址
的 ICMP 回显请求数据包,而这个伪源地址就是攻击目标。具体使用方法如下:在 hosts.txt 文件
中追加傀儡机 IP 地址,格式如图 1 所示。
执行命令:smurf2
受害者
IP
攻击等级
。攻击等级有 3 个,分别是 1:轻量攻击(攻击间隔时间为
1500ms);2:中量攻击(攻击间隔时间为 500ms);3:重量攻击(攻击间隔时间为 1ms)。
三、实验内容
1.SYN 洪水攻击
(1)、捕获洪水数据
攻击者单击实验平台工具栏中的“协议分析器”按钮,启动协议分析器。单击工具栏“定义过滤器”按钮,
在弹出的“定义过滤器”窗口中设置如下过滤条件:
● 在“网络地址”属性页中输入“any<->
同组主机 IP 地址
”;
● 在“协议过滤”属性页中选中“协议树”|“ETHER”|“IP”|“TCP”结点项。
单击“确定“按钮使过滤条件生效。
单击“新建捕获窗口”按钮,点击“选择过滤器”按钮,确定过滤信息。在新建捕获窗口工具栏中点
击“开始捕获数据包”按钮,开始捕获数据包。
(2)、性能分析
(a) 靶机启动系统“性能监视器”,监视在遭受到洪水攻击时本机 CPU、内存消耗情况,具体操作如下:
依次单击“开始”|“程序”|“管理工具”|“性能”。在监视视图区点击鼠标右键,选择“属性”打开“系统监视器
属性”窗口,在“数据”属性页中将“计数器”列表框中的条目删除;单击“添加”按钮,打开“添加计数器”对话框,
在“性能对象”中选择“TCPv4”,在“从列表选择计数器”中选中“Segments Received/sec”,单击“添加”按钮,然
后“关闭”添加计数器对话框;单击“系统监视器属性”对话框中的“确定”按钮,使策略生效。
(b) 靶机打开“任务管理器”,单击“性能”选项卡,记录内存的使用状况。
(3)、洪水攻击
(a) 攻击者单击实验平台工具栏中的“Nmap”按钮,进入 nmap 工作目录。在控制台中输入命令:nmap -v
–sS -T5
靶机 IP 地址
--dns_server 127.0.0.1,对靶机进行端口扫描,根据 nmap 对靶机的扫描结果选择
一个开放的 TCP 端口作为洪水攻击的端口。
(b) 单击工具栏“洪泛工具”按钮,启动洪泛工具,在视图中需要输入以下信息:
●目的 IP:靶机 IP 地址。
●目标端口:在步骤 1 中扫描所得的靶机开放端口(建议 80/tcp 端口)。
●伪源 IP:任意。
单击“发洪水”按钮,对靶机进行 SYN 洪水攻击。
(c)攻击者对靶机实施洪水攻击后,靶机观察“性能”监控程序中图形变化,并通过“任务管理器”性能页
签观察内存的使用状况,比较攻击前后系统性能变化情况。
(d)攻击者停止洪水发送,并停止协议分析器捕获,分析攻击者与靶机间的 TCP 会话数据。
(e)通过对协议分析器所捕获到的数据包进行分析,说明在攻击者对靶机开放的 TCP 端口进行洪泛攻
击时,靶机为什么会消耗大量的系统资源:__________________________。
2、ICMP 洪水攻击
(1)攻击者启动协议分析器,监听任意源与靶机间的 ICMP 会话数据,协议分析器设置方法参看步骤一。
(2)靶机启动“性能监视器”,监视在遭受到洪水攻击时本机 CPU、内存消耗情况。具体操作参看步骤一。需
要说明的是监视的性能对象应为 ICMP,并且计数单位应为“Messages Received/sec”。
(3)攻击者对靶机进行洪水攻击,进入洪泛工具“ICMP 洪水攻击”视图,填写相关信息,并发 ICMP 洪水。
剩余16页未读,继续阅读
ali-12
- 粉丝: 28
- 资源: 328
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0