网络攻防实验六-ddos.pptxVIP

网络安全实验教程;一. 实验目的 二. 实验原理 三. 实验环境 四. 实验内容 五. 实验报告要求 ;一. 实验目的 通过本实验对DoS/DDoS攻击的深入介绍和实验操作，了解DoS/DDoS攻击的原理和危害，并且具体掌握利用TCP、UDP、ICMP等协议的DoS/DDoS攻击原理。了解针对DoS/DDoS攻击的防范措施和手段。;二. 实验原理 拒绝服务攻击是一种很有效的攻击技术，通过协议的安全缺陷或者系统安全漏洞，对目标主机进行网络攻击，最终使其资源耗尽而无法响应正常的服务请求，即对外表现为拒绝提供服务。 ;二. 实验原理 1 DoS攻击 DoS是拒绝服务（Denial of Service）的简称。这种攻击行为的攻击对象是目标主机，目的就是使目标主机的资源耗尽使其无法提供正常对外服务。 ;二. 实验原理 DoS攻击通过两种方式实现 一种方式是利用目标主机存在的网络协议或者操作系统漏洞 另一种方式就是发送大量的数据包，耗尽目标主机的网络和系统资源 ;二. 实验原理 DoS攻击按照攻击所使用的网络协议来划分，主要分为以下几类的攻击方式： 1）IP层协议 ICMP和IGMP洪水攻击、smurf攻击 2）TCP协议 TCP协议本身就具有一定的安全缺陷，TCP的三次握手过程就存在缺陷。SYN-Flood攻击和Land攻击就是利用握手过程，来完成拒绝服务攻击的。;二. 实验原理 SYN-Flood攻击 SYN-Flood攻击的第一步，是由攻击者向目标主机发出第一次SYN握手请求数据包，但攻击者伪造了此数据包的源IP为不存在或者网络不可达的一个IP。 目标主机收到第一次握手的SYN请求后，会自动向客户端回复SYN+ACK的第二次握手，并等待第三次握手返回的响应数据包。 因为攻击者伪造的源IP不存在或者网络不可达，所以肯定没有第三次握手的响应数据包，目标主机此时就要“傻”等一段时间之后才丢弃这个未完成的连接，而等待的系统进程或者线程要占用一定的CPU资源和内存资源。 当攻击者发出大量伪造的SYN数据包时，目标主机将自动回应大量的第二次握手的数据包，形成大量“半开连接”，消耗非常多的系统资源直至资源耗尽，从而导致对正常用户的“服务请求无法响应”。 ;二. 实验原理 3）UDP协议 针对采用UDP协议的应用服务器，也可以伪造大量UDP请求数据包，请求服务器提供服务从而耗尽服务器的资源。 例如针对DNS服务器的UDP洪水攻击，就是生成大量需要解析的域名，并伪造目标端口为53端口的UDP数据包，发给DNS服务器要求进行域名解析耗尽DNS服务器的资源 ;二. 实验原理 4）应用层协议攻击 通过发送大量应用层的请求数据包，耗尽应用服务器的资源也能造成拒绝服务的效果。 例如利用代理服务器对web服务器发起大量的 HTTP Get请求，如果目标服务器是动态web服务器，大量的HTTP Get请求主要是请求查询动态页面，这些请求会给后台的数据库服务器造成极大负载直至无法正常响应，从而使正常用户的访问也无法进行了。;二. 实验原理 2 DDoS攻击 DDoS是分布式拒绝服务（Distribute DoS）攻击的简称。 攻击者可将其控制的分布于各地的大量计算机统一协调起来，向目标计算机发起DoS攻击。 ;二. 实验原理;二. 实验原理 2 DDoS攻击 DDoS攻击由攻击者、主控端（master）、代理端（zombie）3部分组成。 攻击者是整个DDoS攻击的发起源头，它在攻击之前已经取得了多台主控端主机的控制权，主控端主机分别控制着代理端主机。 ;二. 实验原理 3 DoS/DDoS攻击的防御措施 有效防范DoS/DDoS攻击的关键主要是识别出异常的攻击数据包并过滤掉。 1）静态和动态的DDoS过滤器 2）反欺骗技术 3）异常识别 4）协议分析 5）速率限制 ;二. 实验原理 3 DoS/DDoS攻击的防御措施 对于一般用户可以通过下面的技术手段进行综合防范： 1）增强系统的安全性 2）利用防火墙、路由器等网络和网络安全设备加固网络的安全性，关闭服务器的非开放服务端口 3）配置专门防范DoS/DDoS攻击的DDoS防火墙 4）强化路由器等网络设备的访问控制 5）加强与ISP的合作，当发现攻击现象时，与ISP协商实施严格的路由访问控制策略，以保护带宽资源和内部网络。;三. 实验环境 多台运行windows 2000/XP/2003操作系统的计算机，通过网络连接。 ;四. 实验内容 1 SYN-Flood攻击 ;四. 实验内容 1 SYN-Flood攻击 ;四. 实验内容 1 SYN-Flood攻击 ;四. 实验内容 2 UDP-Flood攻击 ;四. 实验内容 2 UDP-Flood攻击 ;四. 实验内容 3 DDoS攻击 ;四. 实验内容