試驗3拒絕服務攻擊

1、實驗23拒絕服務攻擊目標當拒絕服務攻擊的目的就是讓被攻擊目標無法正常地工作，從攻擊方式的解釋看來，的連接速度減慢或者完全癱瘓，那么攻擊者的目的也就達到了。而在被攻擊的一方看來,遭到攻擊時，系統(tǒng)會出現一些異常的現象。練習一洪泛攻擊【實驗目的】理解帶寬攻擊原理理解資源消耗攻擊原理掌握洪泛攻擊網絡行為特征【實驗人數】每組2人【系統(tǒng)環(huán)境】Win dows【網絡環(huán)境】企業(yè)網絡結構【實驗工具】Nmap洪泛工具網絡協(xié)議分析器【實驗原理】見原理篇實驗 23丨練習一。【實驗步驟】本練習主機A B為一組，C D為一組，E F為一組。實驗角色說明如下:實驗主機實驗角色主機A C、E攻擊者（掃描主機）主機B、D、F靶

2、機(被掃描主機)首先使用“快照 X”恢復 Windows系統(tǒng)環(huán)境。一. SYN洪水攻擊1 捕獲洪水數據(1) 攻擊者單擊實驗平臺工具欄中的“協(xié)議分析器”按鈕，啟動協(xié)議分析器。單擊工 具欄“定義過濾器”按鈕，在彈出的“定義過濾器”窗口中設置如下過濾條件：在“網絡地址”屬性頁中輸入“ any<->同組主機IP地址”； 在“協(xié)議過濾”屬性頁中選中“協(xié)議樹”丨“ETHER|“IP ”|“TCF”結點項。單擊“確定“按鈕使過濾條件生效。單擊“新建捕獲窗口”按鈕，點擊“選擇過濾器”按鈕，確定過濾信息。在新建捕獲窗 口工具欄中點擊“開始捕獲數據包”按鈕，開始捕獲數據包。2性能分析(1) 靶機啟動

3、系統(tǒng)“性能監(jiān)視器”，監(jiān)視在遭受到洪水攻擊時本機 CPU內存消耗情況， 具體操作如下：依次單擊“開始”丨“程序”丨“管理工具”丨“性能”。在監(jiān)視視圖區(qū)點 擊鼠標右鍵，選擇“屬性”打開“系統(tǒng)監(jiān)視器屬性”窗口，在“數據”屬性頁中將“計數器”列表框中的條目刪除；單擊“添加”按鈕，打開“添加計數器”對話框，在“性能對象”中 選擇“ TCPv4',在“從列表選擇計數器”中選中“Segments Received/sec ” ,單擊“添加”按鈕，然后“關閉”添加計數器對話框； 單擊“系統(tǒng)監(jiān)視器屬性” 對話框中的“確定”按鈕， 使策略生效。(2) 靶機打開“任務管理器”，單擊“性能”選項卡，記錄內存的

4、使用狀況。3 洪水攻擊(1) 攻擊者單擊實驗平臺工具欄中的“Nmap按鈕，進入nmap工作目錄。在控制臺中輸入命令：nmap -v - sS -T5靶機IP地址，對靶機進行端口掃描，根據nmap對靶機的掃描結果選擇一個開放的 TCP端 口作為洪水攻擊的端口。(2) 單擊工具欄“洪泛工具”按鈕，啟動洪泛工具，在視圖中需要輸入以下信息： 目的IP:靶機IP地址。目標端口 ：在步驟1中掃描所得的靶機開放端口(建議 80/tcp端口)。 偽源IP :任意。單擊“發(fā)洪水”按鈕，對靶機進行SYN洪水攻擊。(3) 攻擊者對靶機實施洪水攻擊后，靶機觀察“性能”監(jiān)控程序中圖形變化，并通過“任務管理器”性能頁簽觀

5、察內存的使用狀況，比較攻擊前后系統(tǒng)性能變化情況。(4) 攻擊者停止洪水發(fā)送，并停止協(xié)議分析器捕獲，分析攻擊者與靶機間的TCP會話 數據。(5) 通過對協(xié)議分析器所捕獲到的數據包進行分析，說明在攻擊者對靶機開放的TCP端口進行洪泛攻擊時，靶機為什么會消耗大量的系統(tǒng)資源：。二. ICMP洪水攻擊(1) 攻擊者啟動協(xié)議分析器，監(jiān)聽任意源與靶機間的ICMP會話數據，協(xié)議分析器設置 方法參看步驟一。(2) 靶機啟動“性能監(jiān)視器”，監(jiān)視在遭受到洪水攻擊時本機CPU內存消耗情況。具體操作參看步驟一。 需要說明的是監(jiān)視的性能對象應為ICMP,并且計數單位應為“ MessagesReceived/sec(3)

6、攻擊者對靶機進行洪水攻擊，進入洪泛工具“ICMP洪水攻擊”視圖，填寫相關信 息，并發(fā)ICMP洪水。(4) 靶機觀察“性能”監(jiān)控程序中圖形變化，比較洪水攻擊前后系統(tǒng)性能變化情況。(5) 攻擊者停止洪水發(fā)送，并停止協(xié)議分析器捕獲，觀察并分析ICMP會話過程。練習二DDos攻擊【實驗目的】理解DDos攻擊原理掌握TFN2K攻擊全過程【實驗人數】每組3人【系統(tǒng)環(huán)境】Windows、Linux【網絡環(huán)境】交換網絡結構【實驗工具】TFN2K【實驗原理】見原理篇實驗 23丨練習二。【實驗步驟】本練習主機 A B、C為一組，D E、F為一組。實驗角色說明如下:實驗主機實驗角色系統(tǒng)環(huán)境A、E主控端LinuxB、

7、F代理端LinuxC、D受害者Windows首先使用“快照 X”恢復 Windows/Linux系統(tǒng)環(huán)境。一. 實驗描述假設黑客已攻下主控端主機，利用主控端主機取得了代理端主機的一定權限，用主控端主機操控代理端主機攻擊受害者主機。二. TFN2K攻 擊1 .編譯生成執(zhí)行文件TFN2K主控端和代理端的網絡通訊是經過加密的，使用的是AES( AdvaneedEn cryption Sta ndard)對稱加密算法，作為加、解密雙方都需要知道密鑰，加密方使用密鑰對信息進行加密， 解密方使用密鑰對信息進行解密。在TFN2K中，作為下發(fā)控制命令的主控端利用密鑰對發(fā)送信息進行加密，作為接收命令的代理端利用

8、密鑰對接收信息進行解密， 并執(zhí)行命令；與此同時，代理端可通過密鑰確定主控端的身份。要選擇一個最合適、 最安全的時機通告主控端和代理端加密通信所使用的密鑰，而TFN2K將這個時機選擇在對源碼進行編譯、生成執(zhí)行文件過程當中。作為被固化到程序內部 的密鑰，很難從外部獲取到它。因此，我們需要從編譯、安裝 TFN2K入手，期間錄入通信密鑰。tar -zxvf tfn2k.tgz cd tfn2k make12345678主控端單擊平臺工具欄“控制臺”按鈕，進入實驗目錄，依次進行下列操作：/解壓縮tfn2k源碼安裝包，得到新目錄tfn2k/切換到tfn2k目錄，源文件在 src目錄中/編譯源文件，輸入y同

9、意聲明/輸入通信密鑰12345678，該密鑰可任意，生成執(zhí)行文件tfn、tdtd是代理端程序，負責tfn是主控端程序，通過此程序對代理端加密、下發(fā)攻擊命令; 解密、接收攻擊命令，并對目標主機發(fā)起攻擊。2. tfn2k 攻擊scp命令通過遠程復制操作來模(1)主控端將代理端程序植入代理端主機，這里使用 擬植入過程。注 代理端主機SSH服務(為scp提供服務)默認是關閉的，執(zhí)行命令 service sshd start 開啟SSH服務。主控端執(zhí)行如下命令：scp td root 代理端主機 IP：/root在執(zhí)行過程中要求輸入代理端主機root用戶的登錄口令，口令為 jlcssadmin 。(2)

10、 代理端查看/root目錄，確定td代理程序已被植入。運行td程序(td代理程序會運行于后臺，監(jiān)聽來自主控端的命令，并準備對目標主機發(fā)起攻擊)。(3) 主控端建立代理記錄文件，并將代理主機加入進去，具體命令如下：touch host/建立代理記錄文件echo代理主機IP >> host/向代理記錄文件中追加新行(代理主機IP )(4) 主控端與代理端連接測試，主控端使用tfn命令(參見實驗原理五)進行測試， 命令如下：./tfn -f host -c 10 -i "mkdir test"/ 輸入密碼 12345678解釋命令：。(5) 代理機查看是否有建立test目錄(默認與td同目錄)。在確定主控端與代理端通 信正常的情況下，開始對目標主機進行攻擊。(6) 受害者主機打開任務管理器，實時觀察CPU內存使用消耗情況。(7) 代理端監(jiān)聽通信命令。代理端進入 snort所在目錄/opt/ExpNIS/NetAD-Lab/Tools/ids ，執(zhí)行snort監(jiān)聽目的IP為本機的網絡數據包，snort執(zhí)行命令如下(snort命令說明見實驗28 |練習一)：./snort -