一.实验目的
通过练习使用DoS/DDoS攻击工具对目标主机进行攻击;理解Dos/DDoS攻击的原理及其实施过程;掌握检测和防范DoS/DDoS攻击的措施。
2.实验原理
拒绝服务攻击是一种非常有效的攻击技术,它利用
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
或系统的缺陷,采用欺骗的策略进行网络攻击,最终目的是使目标主机因为资源全部被占用而不能处理合法用户提出的请求,即对外表现为拒绝提供服务。
1、DoS攻击
DoS攻击在众多网络攻击技术中是一种简单有效并且具有很大危害性的攻击方法。它通过各种手段消耗网络带宽和系统资源,或者攻击系统缺陷,使系统的正常服务陷于瘫痪状态,不能对正常用户进行服务,从而实现拒绝正常用户的访问服务。
2、DDoS攻击
DDoS攻击是基于DoS攻击的一种特殊形式。攻击者将多台受控制的计算机联合起来向目标计算机发起DoS攻击,它是一种大规模协作的攻击方式,主要瞄准比较大的商业站点,具有较大的破坏性。
DDoS攻击由攻击者、主控端和代理端组成。攻击者是整个DDoS攻击发起的源头,它事先已经取得了多台主控端计算机的控制权,主控端极端基分别控制着多台代理端计算机。在主控端计算机上运行着特殊的控制进程,可以接受攻击者发来的控制指令,操作代理端计算机对目标计算机发起DDoS攻击。
DDoS攻击之前,首先扫描并入侵有安全漏洞的计算机并取得其控制权,然后在每台被入侵的计算机中安装具有攻击功能的远程遥控程序,用于等待攻击者发出的入侵命令。这些工作是自动、高速完成的,完成后攻击者会消除它的入侵痕迹,使系统的正常用户一般不会有所察觉。攻击者之后会继续利用已控制的计算机扫描和入侵更多的计算机。重复执行以上步骤,将会控制越来越多的计算机。
三、实验环境
攻击者win7 64位 ip:172.22.3.71,被攻击者 虚拟机vm构造,与宿主机采用桥接,在同一网段,ip为172.22.49.184
四、实验步骤及分析结果
1.UDP Flood攻击练习
原理:
UDPFlood是日渐猖厥的流量型DoS攻击,原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k pps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫,造成整个网段的瘫痪。由于UDP协议是一种无连接的服务,在UDPFLOOD攻击中,攻击者可发送大量伪造源IP地址的小UDP包。但是,由于UDP协议是无连接性的,所以只要开了一个UDP的端口提供相关服务的话,那么就可针对相关的服务进行攻击。
正常应用情况下,UDP包双向流量会基本相等,而且大小和内容都是随机的,变化很大。出现UDPFlood的情况下,针对同一目标IP的UDP包在一侧大量出现,并且内容和大小都比较固定。
防护:
UDP协议与TCP协议不同,是无连接状态的协议,并且UDP应用协议五花八门,差异极大,因此针对UDPFlood的防护非常困难。其防护要根据具体情况对待:
判断包大小,如果是大包攻击则使用防止UDP碎片方法:根据攻击包大小设定包碎片重组大小,通常不小于1500。在极端情况下,可以考虑丢弃所有UDP碎片。
攻击端口为业务端口:根据该业务UDP最大包长设置UDP最大包大小以过滤异常流量。
攻击端口为非业务端口:一个是丢弃所有UDP包,可能会误伤正常业务;一个是建立UDP连接规则,要求所有去往该端口的UDP包,必须首先与TCP端口建立TCP连接。不过这种方法需要很专业的防火墙或其他防护设备支持。
UDP攻击是一种消耗对方资源,也消耗你自己的资源的攻击方式,现在已经没人使用这种过时的东西了,你攻击了这个网站,其实也在消耗你的系统资源,说白了就是拼资源而已,看谁的带宽大,看谁能坚持到最后,这种攻击方式没有技术含量,引用别人的话,不要以为洪水无所不能,攻击程序在消耗对方资源的时候也在消耗你的资源。
步骤:
打开UDP Flood软件,设置其中的相关参数,目的主机IP为172.22.49.184,端口为1900,最大时间为56秒,最大速度为243pkts/sec,传输的是文本格式,内容是UDP Flood Server stress test,截图如下所示:
点击“GO”,开始攻击。
在目的主机上打开性能监视器,添加UDP接收包检测的计数器:
开始-》控制面板-》管理工具-》性能
在计数器上右键-》添加计数器
性能对象选择udp,下面那个就是选择Datagrams/sec,点击添加
点击开始监测UDP接收包数量。可以发现,最大速度,被攻击时间等设置与我们之前设置基本相同。
现在开始检测报文内容,我们开始设置的是UDP Flood Server stress test,打开wireshark,开始抓包,发现有大量的UDP包出现,点击其中一个,内容为UDP Flood Server stress test,其它的均为此内容,符合之前设置。
这里的过滤条件是ip.dst==172.22.49.184
2、LAND攻击
原理:
是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。
在Land攻击中,一个特别打造的SYN包中的原地址和目标地址都被设置成某一个服务器地址,这时将导致接受服务器向它自己的地址发送SYN一ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉。对Land攻击反应不同,许多UNIX实现将崩溃,而 Windows NT 会变的极其缓慢(大约持续五分钟)。
Land 攻击发生的条件是攻击者发送具有相同 IP 源地址、目标地址和 TCP 端口号的伪造 TCP SYN 数据包信息流。必须设置好 SYN 标记。其结果是该计算机系统将试图向自己发送响应信息,而受害系统将会受到干扰并会瘫痪或重启。最近的研究发现 Windows XP SP2 和 Windows 2003 的系统对这种攻击的防范还是非常薄弱的。事实上,Sun 的操作系,BSD 和 Mac 对这种攻击的防范都是非常薄弱的,所有这些系统都共享基于 TCP/IP 协议栈的 BSD。
防护:
服务供应商可以在边缘路由器的进入端口上安装过滤器对所有入内数据包的 IP 源地址进行检查,这样就可以阻止发生在会聚点后的 LAND 攻击。如果该源地址的前缀在预先
规定
关于下班后关闭电源的规定党章中关于入党时间的规定公务员考核规定下载规定办法文件下载宁波关于闷顶的规定
的范围之内,则该数据包被转发,否则被丢弃。
步骤:
将LAND攻击工具放到特定目录下,点击“运行”--输入CMD,打开命令提示符。转到该目录下后,输入land15 172.22.49.184 80,开始LAND攻击。
攻击一段时间后,打开任务管理器,发现CPU使用率达到100%,可见LAND攻击已使目的主机的资源耗尽。
但是我貌似没有做到。难道是时间不够长?
3、DDOS攻击
防护:
关闭不必要的服务
限制同时打开的Syn半连接数目
缩短Syn半连接的time out 时间
及时更新系统补丁
打开DDOS攻击程序,设置目的主机,端口号等参数。
单击“生成”生成攻击程序。
运行攻击者程序,打开命令提示符,输入NETSTAT,查看活动连接:
主机自动向目标服务器发送大量SYN请求,主机开始利用SYN Flood攻击目标了。
删除攻击程序的保存文件和注册表里的开机启动项,就可以删除这些痕迹了。
浙公网安备 33021202002483