任务10拒绝服务攻击和检测综述.ppt

学习目标 1. 知识目标 2. 能力目标 任务分析 张老师决定在服务器中安装“拒绝服务攻击状态监视器”，用于检测本次拒绝服务攻击的类型和攻击频率，为服务器安装BlackICE(黑冰)入侵检测系统软件，以便在黑客对服务器再次实施攻击时进行提示和警告，甚至捕捉到实施DDoS攻击的主机IP地址、用户名等信息。 张老师还下载了一个可以实施UDP-Flood攻击的黑客软件，利用多台主机模拟对服务器进行UDP-Flood攻击，从而检验“拒绝服务攻击状态监视器”和BlackICE(黑冰)入侵检测软件的配置和使用。 条件准备 张老师在网上下载了金盾防火墙的插件“拒绝服务攻击状态监视器”和“BlackICE PC Protection ”黑冰入侵检测软件，并将两个软件安装到服务器中。 金盾防火墙的 “拒绝服务攻击状态监视器”可以识别SYN Flood攻击、UDP Flood攻击、ICMP Flood攻击等多种攻击类型，并可以显示攻击频率等信息。 BlackICE PC Protection 软件（简称BlackICE）是由ISS安全公司出品的一款著名的入侵检测系统。它集成了非常强大的检测和分析引擎，识别200多种入侵技巧，进行全面的网络检测及系统防护，拦截可疑的网络入侵和攻击，并将试图入侵的黑客的NetBIOS(WINS)名、DNS名以及其目前所使用的IP地址记录下来，以便采取进一步行动。该软件的灵敏度和准确率非常高，稳定性也相当出色，系统资源占用率极少。 条件准备 张老师为了测试入侵检测软件，下载了可以实现UDP攻击的黑客软件，并安装到网络实验室的20台主机中，该实验室中的所有主机均能“ping”通服务器。 UDP(User Data Protocol，用户数据报协议)是与TCP相对应的协议。它是面向非连接的协议，它不与目标主机建立连接，而是直接把数据包发送到目标主机的端口。目标主机接收到一个 UDP 数据包时，它会确定目的端口正在等待中的应用程序。 如果随机地向目标主机系统的端口发送大量的 UDP 数据包，而目标主机发现该端口中并不存在正在等待的应用程序，它就会产生一个目的地址无法连接的 ICMP 数据包发送给源地址，这就构成了UDP Flood攻击。 实践操作 1.模拟UDP Flood攻击 由于本次模拟攻击所用到的“UDP Flooder”软件可被较新的杀毒软件和防火墙检测出并自动进行隔离或删除的处理，因此，在模拟攻击前要先将网络实验室中20台主机安装的杀毒软件和防火墙全部关闭（服务器的防火墙和杀毒软件不用关闭）。 分别在20台主机中打开“UDP Flooder”攻击软件，在“IP/hostname”后面的文本框中输入服务器的IP地址，在“Port”后的文本框中输入端口号，一般为“80”，将攻击速度“speed”调整到最高“max”，即每秒发送255个攻击包。“Data”选项中选择“Text”，其后的内容随意输入。单击“GO”按钮，开始攻击。如图所示。 1.模拟UDP Flood攻击 1.模拟UDP Flood攻击 此时，在服务器中打开金盾防火墙的 “拒绝服务攻击状态监视器”，可以观察到该服务器已经遭受到了“UDP攻击”和“ICMP攻击”，攻击状态为“中度攻击”。如图所示。 由于服务器的硬件配置一般较高，来自20台主机的攻击不会对服务器造成太大的影响，但是如果利用黑客入侵手段，将攻击软件作为木马植入到几千台甚至上万台主机中，并由一台管理机控制，所有被控主机同时对服务器进行攻击，即发动一次分布式拒绝服务攻击（DDoS），往往会使服务器瘫痪。 2.安装BlackICE（黑冰）入侵检测软件 ⑴ 安装前准备： 2.安装BlackICE（黑冰）入侵检测软件 在系统所在分区（一般为C盘）的根目录下找到Boot.ini文件。在该文件上点击鼠标右键，选择“属性”命令，将该文件的“只读属性”去掉。然后双击打开该文件，看到该文件有一个“NoExecute”参数，其值为“Opton”，该参数即为“数据执行保护”启动状态。设置“NoExecute=AlwaysOff”，并保存。这相当于关闭了EVP和DEP功能，解决了这两项功能引起的兼容性问题。 恢复Boot.ini文件的“只读属性”，恢复“文件夹选项”中“高级设置”的初始状态。 2.安装BlackICE（黑冰）入侵检测软件 ⑵ 安装BlackICE： 2.安装BlackICE（黑冰）入侵检测软件 单击“Next”按钮，进入“用户许可协议”确认对话框， 单击“I Accept”按钮，同意协议内容，打开软件序列号输入对话框，在“License”后的文本框中输入黑冰软件的序列号，序列号由12位数字和字母组合而成，如果不输入或输入错误，安装程序将提示是否再次输入，如果单击“否”按钮，将退出安装。序列号