拒絕服務(wù)攻擊與防范實驗

1、拒絕服務(wù)攻擊與防范實驗 通過練習(xí)使用DoS/DDoS攻擊工具對目標(biāo)主機進行攻擊，理解DoS/DDoS攻擊的原理及其實施過程，掌握監(jiān)測和防范Dos/DDoS攻擊的措施一、實驗?zāi)康?拒絕服務(wù)（Denial of Service，DoS）攻擊通常是針對TCP/IP中的某個弱點，或者系統(tǒng)存在的某些漏洞，對目標(biāo)系統(tǒng)發(fā)起大規(guī)模的進攻，使服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致目標(biāo)網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷直至癱瘓、無法提供正常服務(wù)。 分布式拒絕服務(wù)（Distribute Denial of Service，DDoS）攻擊是對傳統(tǒng)DoS攻擊的發(fā)展，攻擊者首先侵入并控制一些計算機，然后控制這些計算機

2、同時向一個特定的目標(biāo)發(fā)起拒絕服務(wù)攻擊。二、實驗原理 DoS攻擊可使用一些公開的軟件進行攻擊，發(fā)動較為簡單而且在較短的時間內(nèi)即可達(dá)到效果，但要防止這類攻擊是非常困難的，從技術(shù)上看，目前還沒有根本的解決辦法。 DoS攻擊的實現(xiàn)方式主要包括：資源消耗、服務(wù)終止、物理破壞等。例如：服務(wù)器的緩沖區(qū)滿，不接受新的請求。如SYN Flood洪泛攻擊、Land攻擊。 使用IP欺騙，迫使服務(wù)器將合法用戶的連接復(fù)位，影響連接。如Smurf攻擊。 在Land攻擊中，一個特別打造的SYN包的源地址和目標(biāo)地址都被設(shè)置成某一個服務(wù)器地址，這時將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個地址又發(fā)回ACK消

3、息并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超時。對Land攻擊，不同的操作系統(tǒng)反應(yīng)不同，許多UNIX將崩潰，而WindowsNT會變得極其緩慢（大約持續(xù)5分鐘）。 預(yù)防Land攻擊的最好辦法是通過配置防火墻，過濾從外部發(fā)來的含有內(nèi)部源IP地址的數(shù)據(jù)包。 Smurf攻擊的原理如圖6-1所示，攻擊者主要使用IP廣播和IP欺騙的方法，發(fā)送偽造的ICMP Echo Request報給目標(biāo)網(wǎng)絡(luò)的IP廣播地址。 當(dāng)攻擊者向某個網(wǎng)絡(luò)的廣播地址發(fā)送ICMP Echo Request包時，如果路由器對發(fā)往網(wǎng)絡(luò)廣播地址的ICMP包不進行過濾，則所有主機都可以接收到該ICMP包，并且都要向ICMP包所指示的源

4、地址發(fā)送ICMP Echo Reply響應(yīng)包。如果攻擊者將發(fā)送的ICMP包的源地址偽造成被攻擊者的地址，則該響應(yīng)包都要發(fā)往被攻擊的主機。這不僅造成被攻擊主機流量過載、減慢甚至停止正常的服務(wù)，而且發(fā)出ICMP響應(yīng)包的中間受害網(wǎng)絡(luò)也會出現(xiàn)擁塞甚至網(wǎng)絡(luò)癱瘓。為了防范這種攻擊，最好關(guān)閉外部路由器或防火墻的地址廣播功能。 還有一種Fraggle攻擊，它和Smurf攻擊原理相同，只不過使用的是UDP應(yīng)答消息而不是ICMP?？梢酝ㄟ^在防火墻上過濾UDP應(yīng)答消息實現(xiàn)對這種攻擊的防范。 UDP Flood攻擊也是利用TCP/IP服務(wù)來進行，它利用了Chagen和Echo來回傳送毫無用處的數(shù)據(jù)來占用帶寬。在攻擊過

5、程中，偽造與某一計算機的Chargen服務(wù)之間的一次UDP連接，而回復(fù)地址指向開著Echo服務(wù)的一臺計算機，這樣就生成在兩臺計算機之間大量的無用數(shù)據(jù)流，導(dǎo)致帶寬完全被占用而拒絕提供服務(wù)。防范UDP Flood攻擊的辦法是關(guān)掉不必要的TCP/IP服務(wù)，或者配置防火墻以阻斷來自Internet的UDP服務(wù)請求。 運行Windows 2008/XP的多臺計算機，通過網(wǎng)絡(luò)連接，在其中某一臺計算機上安裝實驗所需的軟件。三、實驗環(huán)境實驗軟件到下載，如圖所示解壓后可直接使用任務(wù)一 UDP Flood攻擊演練 UDP Flood是一種采用UDP Flood攻擊方式的DoS軟件，它可

6、以向特定的IP地址和端口發(fā)送UDP包。在“IP/hostname”和“Port”文本框中指定目標(biāo)主機的IP地址和端口號，“Max duration（secs）”文本框中可設(shè)定最長的攻擊時間，在“Speed（pkts/sec）”中可以設(shè)置UDP包發(fā)送的速度，在“Data”選項區(qū)域中可定義UDP數(shù)據(jù)包中包含的內(nèi)容，默認(rèn)情況下為UDP Flood.Serverstress test的text文件內(nèi)容。單擊“Go”按鈕即可對目標(biāo)主機發(fā)起UDP Flood攻擊，如圖所示。從10.0.27.x（不同的機房IP不同）主機發(fā)起UDP-Flood攻擊，發(fā)包的速率為250包/秒。雖然本實驗只有一臺攻擊計算機，對網(wǎng)

7、絡(luò)帶寬的占用率影響不大，但攻擊者數(shù)據(jù)很多時，對網(wǎng)絡(luò)帶寬的影響也不容忽視。 在被攻擊的計算機0中可以查看收到的UDP數(shù)據(jù)包，這需要事先對系統(tǒng)監(jiān)視器進行配置，依次執(zhí)行“控制面板”“管理工具”“性能”，首先在系統(tǒng)監(jiān)視器中單擊右側(cè)圖文框上面的“+”按鈕，彈出“添加計數(shù)器”對話框，如圖所示。在這個對話框中添加對UDP數(shù)據(jù)包的監(jiān)視，在“性能對象”組合框中選擇“UDP v4”協(xié)議，選擇“從列表選擇計數(shù)器”單選按鈕，并在下面的列表框中選擇“Datagrams Received/sec”即對收到的UDP數(shù)據(jù)包進行計算，配置并保存在此計數(shù)器信息的日志文件。選擇“可靠性和性能”單擊選擇“性能監(jiān)視器

8、”單擊選擇“+”號單擊彈出添加計數(shù)器如下圖所示選擇Datagrams Received/sec后單擊“添加”得下圖所示，單擊確定。 當(dāng)入侵者發(fā)起UDP Flood攻擊時，可以通過在被攻擊計算機中的系統(tǒng)監(jiān)視器，查看系統(tǒng)監(jiān)測到的UDP數(shù)據(jù)包信息，如圖所示，圖中左半部分的凸起曲線，顯示了UDP Flood攻擊從開始到結(jié)束的過程，接收UDP數(shù)據(jù)包的最大速率為250包/秒，由于圖中顯示比例為0.1，所以對應(yīng)的坐標(biāo)為25。 在被攻擊的計算機上打開Ethereal工具，可以捕捉由攻擊者計算機發(fā)到本地計算機的UDP數(shù)據(jù)包，可以看到內(nèi)容為“UDP Flood.Server stress test”的大量UDP數(shù)

9、據(jù)包。 軟件到下載，如圖所示任務(wù)二 Land攻擊演練Land的使用方法是在命令提示符下，在Land15所在的目錄下輸入命令“LAND15 17 80”，過程如下：運行cmd ，進入命令模式。進入Land所在的磁盤和目錄（假設(shè)Land放在D盤），操作如下：d:回車，cd land15回車，如下圖所示。輸入命令“l(fā)and15 17 80（在不同的機房使用不同的IP）”回車，得如圖所示的結(jié)果，停止攻擊按“Ctrl+c”鍵。在攻擊過程中，在被攻擊的計算機上啟動“任務(wù)管理器”，如圖6-7所示，可以看到CPU的使用率迅速上升，這說明Land攻

10、擊將導(dǎo)致被攻擊主機的CPU資源被耗費。 在被攻擊的計算機上打開Ethereal工具，可以捕捉由攻擊者的計算機發(fā)到本地計算機的異常TCP數(shù)據(jù)包，可以看到這些TCP數(shù)據(jù)包的源計算機和目標(biāo)計算機IP地址都是17，這正是Land攻擊的明顯特征。軟件下載：到，如圖所示任務(wù)三 DDoS攻擊演練 DDoS攻擊者1.5軟件是一個DDoS攻擊工具，程序運行后自動裝入系統(tǒng)，并在以后隨系統(tǒng)啟動，自動對事先設(shè)定好的目標(biāo)進行攻擊。 DDoS攻擊者1.5軟件分為生成器（DDoSMaker.exe）和DDoS攻擊者程序（DDoSer.exe）兩部分。軟件在下載安裝后是沒有DDo

11、S攻擊者程序的，只有生成器DDoSMaker.exe，DDoS攻擊者程序要通過生成器進行生成。生成時可以自定義一些設(shè)置，如攻擊目標(biāo)的域名或IP地址、端口等。DDoS攻擊者默認(rèn)的文件名為DDoSer.exe，可以在生成時或生成后任意改名。DDoS攻擊者程序類似于木馬軟件的服務(wù)器端程序，程序運行后不會顯示任何界面，看上去好像沒有反應(yīng)，其實它已經(jīng)將自己復(fù)制到系統(tǒng)中，并且會在每次開機時自動運行，此時可以將復(fù)制過去的安裝程序刪除。它運行時唯一會做的工作就是源源不斷地對事先設(shè)定好的目標(biāo)進行攻擊。DDoSer使用的攻擊手段是SYN Flood方式。DDoSer1.5的設(shè)置：打開DDoSmaker.exe程序

12、，界面如圖所示。DDoS攻擊者具體設(shè)置如下：目標(biāo)主機的域名或IP地址”：就是要攻擊主機的域名或IP地址，建議使用域名，因為IP地址是可以經(jīng)常變換的，而域名一般不會變?！岸丝凇保壕褪且舻亩丝?，請注意，這里指的是TCP端口，因為此軟件只能攻擊基于TCP的服務(wù)。如80就是攻擊HTTP的服務(wù)，21就是攻擊FTP服務(wù)，25就是攻擊SMTP服務(wù)，110就是攻擊POP3服務(wù)等。“并發(fā)連接線程數(shù)”：就是同時并發(fā)多少個線程去連接這個指定的端口，當(dāng)然此值越大對服務(wù)器的壓力越大，當(dāng)然占用本機資源也越大。建議使用默認(rèn)值，即10個線程?！白畲骉CP連接數(shù)”：當(dāng)連接上服務(wù)器后，如果立即斷開這個連接顯然不會對服務(wù)器造成

13、什么壓力，而是先保持這個連接一段時間，當(dāng)本機的連接數(shù)大于此值時，就會開始斷開以前的連接，從而保證本機與服務(wù)器的連接數(shù)不會超過此值。同樣，此值越大對服務(wù)器的壓力越大，當(dāng)然占用本機資源也越大。建議使用默認(rèn)值，即1000個連接?！白员韱禹楁I名”：就是在注冊表里寫入的啟動項鍵名，當(dāng)然是越隱蔽越好?！胺?wù)器端程序文件名”：就是在Windows系統(tǒng)目錄中的文件名，同樣也是越隱蔽越好?！癉DoS攻擊者程序保存為”：就是生成的DDoS攻擊者程序保存在何處、它的文件名是什么按照圖6-9所示的設(shè)置后，軟件就會自動生成一個DDoSer.exe的可執(zhí)行文件，這個文件就是攻擊程序，這個程序在哪臺主機上運行，哪臺主機就會自動向目標(biāo)發(fā)起攻擊。因此為了達(dá)到較好的效果，可以將這個攻擊者程序復(fù)制到多