DoS攻击实验..docVIP

一.实验目的 通过练习使用DoS/DDoS攻击工具对目标主机进行攻击；理解Dos/DDoS攻击的原理及其实施过程；掌握检测和防范DoS/DDoS攻击的措施。 实验原理 拒绝服务攻击是一种非常有效的攻击技术，它利用协议或系统的缺陷，采用欺骗的策略进行网络攻击，最终目的是使目标主机因为资源全部被占用而不能处理合法用户提出的请求，即对外表现为拒绝提供服务。 1、DoS攻击 DoS攻击在众多网络攻击技术中是一种简单有效并且具有很大危害性的攻击方法。它通过各种手段消耗网络带宽和系统资源，或者攻击系统缺陷，使系统的正常服务陷于瘫痪状态，不能对正常用户进行服务，从而实现拒绝正常用户的访问服务。 2、DDoS攻击 DDoS攻击是基于DoS攻击的一种特殊形式。攻击者将多台受控制的计算机联合起来向目标计算机发起DoS攻击，它是一种大规模协作的攻击方式，主要瞄准比较大的商业站点，具有较大的破坏性。 DDoS攻击由攻击者、主控端和代理端组成。攻击者是整个DDoS攻击发起的源头，它事先已经取得了多台主控端计算机的控制权，主控端极端基分别控制着多台代理端计算机。在主控端计算机上运行着特殊的控制进程，可以接受攻击者发来的控制指令，操作代理端计算机对目标计算机发起DDoS攻击。 DDoS攻击之前，首先扫描并入侵有安全漏洞的计算机并取得其控制权，然后在每台被入侵的计算机中安装具有攻击功能的远程遥控程序，用于等待攻击者发出的入侵命令。这些工作是自动、高速完成的，完成后攻击者会消除它的入侵痕迹，使系统的正常用户一般不会有所察觉。攻击者之后会继续利用已控制的计算机扫描和入侵更多的计算机。重复执行以上步骤，将会控制越来越多的计算机。 实验环境 攻击者172.22.3.71，被攻击者 虚拟机vm构造，与宿主机采用桥接，在同一网段，ip为172.22.49.184 实验步骤及分析结果 UDP Flood攻击练习原理： 172.22.49.184，端口为1900，最大时间为56秒，最大速度为243pkts/sec，传输的是文本格式，内容是UDP Flood Server stress test，截图如下所示： 点击“GO”，开始攻击。 在目的主机上打开性能监视器，添加UDP接收包检测的计数器： 开始-》控制面板-》管理工具-》性能 在计数器上右键-》添加计数器 性能对象选择udp，下面那个就是选择Datagrams/sec，点击添加 点击开始监测UDP接收包数量。可以发现，最大速度，被攻击时间等设置与我们之前设置基本相同。 现在开始检测报文内容，我们开始设置的是UDP Flood Server stress test，打开wireshark，开始抓包，发现有大量的UDP包出现，点击其中一个，内容为UDP Flood Server stress test，其它的均为此内容，符合之前设置。 这里的过滤条件是ip.dst==172.22.49.184 LAND攻击 原理： 是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。 在Land攻击中，一个特别打造的SYN包中的原地址和目标地址都被设置成某一个服务器地址，这时将导致接受服务器向它自己的地址发送SYN一ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。对Land攻击反应不同，许多UNIX实现将崩溃，而 Windows NT 会变的极其缓慢（大约持续五分钟）。 Land 攻击发生的条件是攻击者发送具有相同 IP 源地址、目标地址和 TCP 端口号的伪造 TCP SYN 数据包信息流。必须设置好 SYN 标记。其结果是该计算机系统将试图向自己发送响应信息，而受害系统将会受到干扰并会瘫痪或重启。最近的研究发现 Windows XP SP2 和 Windows 2003 的系统对这种攻击的防范还是非常薄弱的。事实上，Sun 的操作系，BSD 和 Mac 对这种攻击的防范都是非常薄弱的，所有这些系统都共享基于 TCP/IP 协议栈的 BSD。 防护： 攻击一段时间后，打开任务管理器，发现CPU使用率达到100%，可见LAND攻击已使目的主机的资源耗尽。 但是 单击“生成”生成攻击程序。 运行攻击者程序，打开命令提示符，输入NETSTAT，查看活动连接： 主机自动向目标服务器发送大量SYN请求，主机开始利用SYN Flood攻击目标了。 删除攻击程序的保存文件和注册表里的开机启动项，就可以删除这些痕迹了。