SYN攻击实验..docx

SYN?攻击实验应用场景随着计算机网络的普及和发展，人们利用网络可以方便快捷地进行各种信息处理，例如，网上办公、电子商务、分布式数据处理等。但网络也存在不容忽视的问题，例如，用户的数据被篡改、合法用户被冒充、通信被中断等。面临着大量的网络入侵事件，就必须要求在一个开放式的计算机网络物理环境中构造一个封闭的逻辑环境来保障敏感信息和保密数据不受到攻击。为此迫切需要对网络安全作分类研究，把各种网络安全问题清楚有序地组织起来，从而构建一个合理、安全、高效的网络防御体系。网络安全保护的核心是如何在网络环境下保证数据本身的秘密性、完整性与操作的正确性、合法性与不可否认性。而网络攻击的目的正相反，其立足于以各种方式通过网络破坏数据的秘密性和完整性或进行某些非法操作。网络及其应用的广泛发展，安全威胁呈现出攻击的种类、方法和总体数量越来越多、破坏性和系统恢复难度也越来越大。这就要求我们对攻击方法有更进一步的研究;对安全策略有更完善的发展，建立起一个全面的、可靠的、高效的安全体系。DDOS?全名是?Distribution?Denial?of?service?(分布式拒绝服务攻击)，指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动?DoS?攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将?DDoS?主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet?上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。Syn?Flood?利用了?TCP/IP?协议的固有漏洞。面向连接的?TCP?三次握手是?Syn?Flood?存在的基础。假设一个用户向服务器发送了?SYN?报文后突然死机或掉线，那么服务器在发出SYN+ACK?应答报文后是无法收到客户端的?ACK?报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送?SYN+ACK?给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为?SYN?Timeout，一般来说这个时间是分钟的数量级（大约为?30?秒‐2?分钟）；一个用户出现异常导致服务器的一个线程等待?1?分钟并不是很严重的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源，即使是简单的保存并遍历也会消耗非常多的?CPU?时间和内存，何况还要不断对这个列表中的?IP?进行?SYN+ACK?的重试。实际上如果服务器的?TCP/IP?栈不够强大，最后的结果往往是堆栈溢出崩溃‐‐‐即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的?TCP?连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常小），此时从正常客户的角度看来，服务器失去响应，这种情况称做：服务器端受到了?SYNFlood?攻击（SYN?洪水攻击）。VM?Client192.168.1.1/24VM?Server192.168.1.43/24实验目标：?运行?syn?攻击程序，对目标主机发送?syn?数据包?查看主机状态?理解?syn?攻击原理实验环境：虚拟机：?Windows2003?,xdos,?Wireshark?抓包软件实验过程指导：启动虚拟机，并设置虚拟机的IP?地址，以虚拟机为目标主机进行攻防试验。个别实验学生可以以2?人一组的形式，互为攻击方和被攻击方来做实验。客户端作为攻击端，服务端作为被攻击端。1.?登陆到虚拟机中从虚拟机中对本地客户端进行syn?扫描实验，并将syn?攻击工具，拷贝到虚拟机中。查看远程机器里139端口是否开放。若未开放请在“本地连接”高级选项打开此端口。2.?虚拟机?Cmd?下运行?xdos?攻击工具Xdos?命令举例如下：xdos?192.168.1.43?139?–t?3?–s?55.55.55.55?192.168.1.43?为预攻击主机的ip?地址?139?为连接端口?‐t?3?表示开启的进程?‐s?后跟的ip?地址为syn?数据包伪装的源地址的起始地址运行显示如下，虚拟机正在对本地发送syn?数据包使用wireshark?抓包可以看到大量的syn?向192.168.1.43?主机发送，并且将原地址改为55.55.55.55?后面的ip?地址。3.?本地主机状态使用?netstat?‐an?查看当前端口状态，就会发现大量的?syn_received?状态的连接，表示?192.168.1.43?主机接受到?syn?数据包，但并未受到?ack?确认数据包，及?tcp?三次握手的第三个数据包。当多台主机对一台服务器同时进行syn?攻击，服务器的运行速度将变得非常缓慢【实验思考】