網(wǎng)絡攻防實驗六-DDOS

1、一. 實驗目的二. 實驗原理三. 實驗環(huán)境四. 實驗內容五. 實驗報告要求一. 實驗目的 通過本實驗對DoS/DDoS攻擊的深入介紹和實驗操作，了解DoS/DDoS攻擊的原理和危害，并且具體掌握利用TCP、UDP、ICMP等協(xié)議的DoS/DDoS攻擊原理。了解針對DoS/DDoS攻擊的防范措施和手段。二. 實驗原理拒絕服務攻擊是一種很有效的攻擊技術，通過協(xié)議的安全缺陷或者系統(tǒng)安全漏洞，對目標主機進行網(wǎng)絡攻擊，最終使其資源耗盡而無法響應正常的服務請求，即對外表現(xiàn)為拒絕提供服務。 二. 實驗原理1 DoS攻擊DoS是拒絕服務（Denial of Service）的簡稱。這種攻擊行為的攻擊對象是目標

2、主機，目的就是使目標主機的資源耗盡使其無法提供正常對外服務。 二. 實驗原理 DoS攻擊通過兩種方式實現(xiàn) 一種方式是利用目標主機存在的網(wǎng)絡協(xié)議或者操作系統(tǒng)漏洞 另一種方式就是發(fā)送大量的數(shù)據(jù)包，耗盡目標主機的網(wǎng)絡和系統(tǒng)資源 二. 實驗原理 DoS攻擊按照攻擊所使用的網(wǎng)絡協(xié)議來劃分，主要分為以下幾類的攻擊方式： 1）IP層協(xié)議ICMP和IGMP洪水攻擊、smurf攻擊 2）TCP協(xié)議 TCP協(xié)議本身就具有一定的安全缺陷，TCP的三次握手過程就存在缺陷。SYN-Flood攻擊和Land攻擊就是利用握手過程，來完成拒絕服務攻擊的。二. 實驗原理SYN-Flood攻擊 SYN-Flood攻擊的第一步，是

3、由攻擊者向目標主機發(fā)出第一次SYN握手請求數(shù)據(jù)包，但攻擊者偽造了此數(shù)據(jù)包的源IP為不存在或者網(wǎng)絡不可達的一個IP。 目標主機收到第一次握手的SYN請求后，會自動向客戶端回復SYN+ACK的第二次握手，并等待第三次握手返回的響應數(shù)據(jù)包。 因為攻擊者偽造的源IP不存在或者網(wǎng)絡不可達，所以肯定沒有第三次握手的響應數(shù)據(jù)包，目標主機此時就要“傻”等一段時間之后才丟棄這個未完成的連接，而等待的系統(tǒng)進程或者線程要占用一定的CPU資源和內存資源。 當攻擊者發(fā)出大量偽造的SYN數(shù)據(jù)包時，目標主機將自動回應大量的第二次握手的數(shù)據(jù)包，形成大量“半開連接”，消耗非常多的系統(tǒng)資源直至資源耗盡，從而導致對正常用戶的“服務

4、請求無法響應”。 二. 實驗原理 3）UDP協(xié)議 針對采用UDP協(xié)議的應用服務器，也可以偽造大量UDP請求數(shù)據(jù)包，請求服務器提供服務從而耗盡服務器的資源。 例如針對DNS服務器的UDP洪水攻擊，就是生成大量需要解析的域名，并偽造目標端口為53端口的UDP數(shù)據(jù)包，發(fā)給DNS服務器要求進行域名解析耗盡DNS服務器的資源 二. 實驗原理 4）應用層協(xié)議攻擊 通過發(fā)送大量應用層的請求數(shù)據(jù)包，耗盡應用服務器的資源也能造成拒絕服務的效果。 例如利用代理服務器對web服務器發(fā)起大量的 HTTP Get請求，如果目標服務器是動態(tài)web服務器，大量的HTTP Get請求主要是請求查詢動態(tài)頁面，這些請求會給后臺的

5、數(shù)據(jù)庫服務器造成極大負載直至無法正常響應，從而使正常用戶的訪問也無法進行了。二. 實驗原理 2 DDoS攻擊 DDoS是分布式拒絕服務（Distribute DoS）攻擊的簡稱。 攻擊者可將其控制的分布于各地的大量計算機統(tǒng)一協(xié)調起來，向目標計算機發(fā)起DoS攻擊。 二. 實驗原理二. 實驗原理 2 DDoS攻擊 DDoS攻擊由攻擊者、主控端（master）、代理端（zombie）3部分組成。 攻擊者是整個DDoS攻擊的發(fā)起源頭，它在攻擊之前已經(jīng)取得了多臺主控端主機的控制權，主控端主機分別控制著代理端主機。 二. 實驗原理 3 DoS/DDoS攻擊的防御措施 有效防范DoS/DDoS攻擊的關鍵主要

6、是識別出異常的攻擊數(shù)據(jù)包并過濾掉。 1）靜態(tài)和動態(tài)的DDoS過濾器 2）反欺騙技術 3）異常識別 4）協(xié)議分析 5）速率限制 二. 實驗原理 3 DoS/DDoS攻擊的防御措施 對于一般用戶可以通過下面的技術手段進行綜合防范： 1）增強系統(tǒng)的安全性 2）利用防火墻、路由器等網(wǎng)絡和網(wǎng)絡安全設備加固網(wǎng)絡的安全性，關閉服務器的非開放服務端口 3）配置專門防范DoS/DDoS攻擊的DDoS防火墻 4）強化路由器等網(wǎng)絡設備的訪問控制 5）加強與ISP的合作，當發(fā)現(xiàn)攻擊現(xiàn)象時，與ISP協(xié)商實施嚴格的路由訪問控制策略，以保護帶寬資源和內部網(wǎng)絡。三. 實驗環(huán)境 多臺運行windows 2000/XP/2003

7、操作系統(tǒng)的計算機，通過網(wǎng)絡連接。 四. 實驗內容 1 SYN-Flood攻擊 四. 實驗內容 1 SYN-Flood攻擊 四. 實驗內容 1 SYN-Flood攻擊 四. 實驗內容 2 UDP-Flood攻擊 四. 實驗內容 2 UDP-Flood攻擊 四. 實驗內容 3 DDoS攻擊 四. 實驗內容 4 DDoS防火墻對DDoS攻擊的防范 有條件的機構可以通過部署專用DDoS防火墻防范DoS/DDoS攻擊。在被攻擊的應用服務器前串聯(lián)接入DDoS防火墻，或者在內外網(wǎng)之間串聯(lián)接入DDoS防火墻，可以實現(xiàn)對DDoS攻擊的有效防范，保障應用服務器和內網(wǎng)計算機的安全。 1）使用一臺裝有Super DDoS的主機對另一臺主機進行DDoS攻擊，事先要通過掃描軟件獲取該目標主機的端口開放情況。攻擊前，兩臺主機同時打開任務管理器查看性能變化，同時啟動Sniffer進行抓包，通過分析兩者性能和數(shù)