拒绝服务攻击与防范实验课件.pptxVIP

拒绝服务攻击与防范实验; 通过练习使用DoS/DDoS攻击工具对目标主机进行攻击，理解DoS/DDoS攻击的原理及其实施过程，掌握监测和防范Dos/DDoS攻击的措施; 拒绝服务（Denial of Service，DoS）攻击通常是针对TCP/IP中的某个弱点，或者系统存在的某些漏洞，对目标系统发起大规模的进攻，使服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致目标网络或系统不胜负荷直至瘫痪、无法提供正常服务。 分布式拒绝服务（Distribute Denial of Service，DDoS）攻击是对传统DoS攻击的发展，攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。 ; DoS攻击可使用一些公开的软件进行攻击，发动较为简单而且在较短的时间内即可达到效果，但要防止这类攻击是非常困难的，从技术上看，目前还没有根本的解决办法。 DoS攻击的实现方式主要包括：资源消耗、服务终止、物理破坏等。例如：服务器的缓冲区满，不接受新的请求。如SYN Flood洪泛攻击、Land攻击。 使用IP欺骗，迫使服务器将合法用户的连接复位，影响连接。如Smurf攻击。; 在Land攻击中，一个特别打造的SYN包的源地址和目标地址都被设置成某一个服务器地址，这时将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时。对Land攻击，不同的操作系统反应不同，许多UNIX将崩溃，而WindowsNT会变得极其缓慢（大约持续5分钟）。 预防Land攻击的最好办法是通过配置防火墙，过滤从外部发来的含有内部源IP地址的数据包。;Smurf攻击的原理如图6-1所示，攻击者主要使用IP广播和IP欺骗的方法，发送伪造的ICMP Echo Request报给目标网络的IP广播地址。 当攻击者向某个网络的广播地址发送ICMP Echo Request包时，如果路由器对发往网络广播地址的ICMP包不进行过滤，则所有主机都可以接收到该ICMP包，并且都要向ICMP包所指示的源地址发送ICMP Echo Reply响应包。如果攻击者将发送的ICMP包的源地址伪造成被攻击者的地址，则该响应包都要发往被攻击的主机。这不仅造成被攻击主机流量过载、减慢甚至停止正常的服务，而且发出ICMP响应包的中间受害网络也会出现拥塞甚至网络瘫痪。为了防范这种攻击，最好关闭外部路由器或防火墙的地址广播功能。;; 还有一种Fraggle攻击，它和Smurf攻击原理相同，只不过使用的是UDP应答消息而不是ICMP。可以通过在防火墙上过滤UDP应答消息实现对这种攻击的防范。 UDP Flood攻击也是利用TCP/IP服务来进行，它利用了Chagen和Echo来回传送毫无用处的数据来占用带宽。在攻击过程中，伪造与某一计算机的Chargen服务之间的一次UDP连接，而回复地址指向开着Echo服务的一台计算机，这样就生成在两台计算机之间大量的无用数据流，导致带宽完全被占用而拒绝提供服务。防范UDP Flood攻击的办法是关掉不必要的TCP/IP服务，或者配置防火墙以阻断来自Internet的UDP服务请求。 ; 运行Windows 2008/XP的多台计算机，通过网络连接，在其中某一台计算机上安装实验所需的软件。 ;实验软件到下载，如图所示解压后可直接使用 ; UDP Flood是一种采用UDP Flood攻击方式的DoS软件，它可以向特定的IP地址和端口发送UDP包。在“IP/hostname”和“Port”文本框中指定目标主机的IP地址和端口号，“Max duration（secs）”文本框中可设定最长的攻击时间，在“Speed（pkts/sec）”中可以设置UDP包发送的速度，在“Data”选项区域中可定义UDP数据包中包含的内容，默认情况下为UDP Flood.Serverstress test的text文件内容。单击“Go”按钮即可对目标主机发起UDP Flood攻击，如图所示。从10.0.27.x（不同的机房IP不同）主机发起UDP-Flood攻击，发包的速率为250包/秒。虽然本实验只有一台攻击计算机，对网络带宽的占用率影响不大，但攻击者数据很多时，对网络带宽的影响也不容忽视。;; 在被攻击的计算机0中可以查看收到的UDP数据包，这需要事先对系统监视器进行配置，依次执行“控制面板”→“管理工具”→“性能”，首先在系统监视器中单击右侧图文框上面的“+”按钮，弹出“添加计数器”对话框