实验二DOS攻击与防范.docVIP

实验二DOS攻击与防范 一、 实验目的和要求 通过练习使用DOS/DDOS攻击工具对R标主机进行攻击，理解DOS/DDOS 攻击的原理，及其实施过程，掌握检测和防范DOS/DDOS攻击的措施。 二、 实验原理 DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS 攻击，其A的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算 机网络带宽攻击和连通性攻击。 无论是DoS攻击还是DDoS攻击，简单的看，都只是一种破坏网络服务的黑 客方式，虽然具体的实现方式千变万化，但都有一个共同点，就是其根木目的是 使受害主机或网络无法及时接收并处理外界请求，或无法及时冋应外界请求。其 具体表现方式有以下几种： 制造大流量无用数据，造成通往被攻击主机的网络拥塞，使被攻击 主机无法正常和外界通信。 利用被攻击主机提供服务或传输协议上处理重复连接的缺陷，反复高频 的发出攻击性的重复服务请求，使被攻击主机无法及吋处理其它正常的请求。 利用被攻击主机所提供服务程序或传输协议的本身实现缺陷，反复发送 畸形的攻击数据引发系统错误的分配大量系统资源，使主机处于挂起状态甚 至死机。 SYN洪水攻击属于DoS攻击的一种，它利用TCP协议缺陷，通过发送大量的 半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路 由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系 统打开TCP服务就可以实施。从阁4-3可看到，服务器接收到连接请求(SYN=i ) 将此信息加入未连接队列，并发送请求包给客户端(SYN=j,ACK=kl )，此时进入 SYN_RECV状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时， 才此条目从未连接队列删除。配合IP欺骗,SYN攻击能达到很好的效果，通常， 客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送SYN包，服 务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断 的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请 求。 在Land攻击中，黑客利用一个特别打造的SYN包--它的原地址和目标地址 都被设置成某一个服务dos攻击器地址进行攻击。此举将导致接受服务器向它自 己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接， 每一个这样的连接都将保留直到超时，在Land攻击下，许多UNIX将崩溃，NT 变得极其缓慢(大约持续五分钟)。 UDPflood攻击：如今在Internet上UDP(用户数据包协议)的应用比较广泛， 很多提供 和Mail等服务设备通常是使用Unix的服务器，它们默认打开一 些被黑客恶意利用的UDP服务。如echo服务会显示接收到的每一个数据包，而 原本作为测试功能的chargen服务会在收到每一个数据包时随机反馈一些字符。 UDPflood假冒攻击就是利用这两个简单的TCP/IP服务的漏洞进行恶意攻击，通 过伪造与某一主机的Chargen服务之间的一次的UDP连接，冋复地址指向开着 Echo服务的一台主机，通过将Chargen和Echo服务互指，来回传送毫无用处且 占满带宽的垃圾数据，在两台主机之间生成足够多的无用数据流，这一拒绝服务 攻击飞快地导致网络可用带宽耗尽。 实验环境 实验环境 运行windows2000/xp的多台计算机，通过网络连接。 四、实验内容和步骤 任务一 UDP Flood攻击练习 UDPFIood是日渐猖厥的流量型DoS攻击，原理也很简单。常见的情况是 利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服 务器。100k pps的UDPFIood经常将线路上的骨干设备例如防火墙打瘫， 造成整个网段的瘫痪。由于UDP协议是?一种无连接的服务，在UDPFLOOD 攻击屮，攻击者可发送人量伪造源IP地址的小UDP包。但是，由于UDP 协议是无连接性的，所以只要幵了一个UDP的端口提供相关服务的话， 那么就可针对相关的服务进行攻击。 正常应用情况下，UDPti双向流量会基木相等，而且大小和内容都是随机 的，变化很大。出现UDPFIood的情况下，针对冋一 0标IP的UDP包在一 侧大量出现，并且内容和火小都比较固定。 UDP Flooder 2IP UDP Flooder 2 IP： 172.25.70. ，rixi Destination IP/hostname |1 IP/hostname |172.2570.28 Port |19OO T ransmission control Max duration (secs) f60 Max packets |[lnfinrte] TOC \o 1-5 \h \