拒絕服務(wù)攻擊與防范實(shí)驗(yàn)

1、拒絕服務(wù)攻擊與防范實(shí)驗(yàn) 通過練習(xí)使用DoS/DDoS攻擊工具對目標(biāo)主機(jī)進(jìn)行攻擊，理解DoS/DDoS攻擊的原理及其實(shí)施過程，掌握監(jiān)測和防范Dos/DDoS攻擊的措施一、實(shí)驗(yàn)?zāi)康?拒絕服務(wù)（Denial of Service，DoS）攻擊通常是針對TCP/IP中的某個(gè)弱點(diǎn)，或者系統(tǒng)存在的某些漏洞，對目標(biāo)系統(tǒng)發(fā)起大規(guī)模的進(jìn)攻，使服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致目標(biāo)網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷直至癱瘓、無法提供正常服務(wù)。 分布式拒絕服務(wù)（Distribute Denial of Service，DDoS）攻擊是對傳統(tǒng)DoS攻擊的發(fā)展，攻擊者首先侵入并控制一些計(jì)算機(jī)，然后控制這些計(jì)算機(jī)

2、同時(shí)向一個(gè)特定的目標(biāo)發(fā)起拒絕服務(wù)攻擊。二、實(shí)驗(yàn)原理 DoS攻擊可使用一些公開的軟件進(jìn)行攻擊，發(fā)動較為簡單而且在較短的時(shí)間內(nèi)即可達(dá)到效果，但要防止這類攻擊是非常困難的，從技術(shù)上看，目前還沒有根本的解決辦法。 DoS攻擊的實(shí)現(xiàn)方式主要包括：資源消耗、服務(wù)終止、物理破壞等。例如：服務(wù)器的緩沖區(qū)滿，不接受新的請求。如SYN Flood洪泛攻擊、Land攻擊。 使用IP欺騙，迫使服務(wù)器將合法用戶的連接復(fù)位，影響連接。如Smurf攻擊。 在Land攻擊中，一個(gè)特別打造的SYN包的源地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址，這時(shí)將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個(gè)地址又發(fā)回ACK消

3、息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直到超時(shí)。對Land攻擊，不同的操作系統(tǒng)反應(yīng)不同，許多UNIX將崩潰，而WindowsNT會變得極其緩慢（大約持續(xù)5分鐘）。 預(yù)防Land攻擊的最好辦法是通過配置防火墻，過濾從外部發(fā)來的含有內(nèi)部源IP地址的數(shù)據(jù)包。 Smurf攻擊的原理如圖6-1所示，攻擊者主要使用IP廣播和IP欺騙的方法，發(fā)送偽造的ICMP Echo Request報(bào)給目標(biāo)網(wǎng)絡(luò)的IP廣播地址。 當(dāng)攻擊者向某個(gè)網(wǎng)絡(luò)的廣播地址發(fā)送ICMP Echo Request包時(shí)，如果路由器對發(fā)往網(wǎng)絡(luò)廣播地址的ICMP包不進(jìn)行過濾，則所有主機(jī)都可以接收到該ICMP包，并且都要向ICMP包所指示的源

4、地址發(fā)送ICMP Echo Reply響應(yīng)包。如果攻擊者將發(fā)送的ICMP包的源地址偽造成被攻擊者的地址，則該響應(yīng)包都要發(fā)往被攻擊的主機(jī)。這不僅造成被攻擊主機(jī)流量過載、減慢甚至停止正常的服務(wù)，而且發(fā)出ICMP響應(yīng)包的中間受害網(wǎng)絡(luò)也會出現(xiàn)擁塞甚至網(wǎng)絡(luò)癱瘓。為了防范這種攻擊，最好關(guān)閉外部路由器或防火墻的地址廣播功能。 還有一種Fraggle攻擊，它和Smurf攻擊原理相同，只不過使用的是UDP應(yīng)答消息而不是ICMP?？梢酝ㄟ^在防火墻上過濾UDP應(yīng)答消息實(shí)現(xiàn)對這種攻擊的防范。 UDP Flood攻擊也是利用TCP/IP服務(wù)來進(jìn)行，它利用了Chagen和Echo來回傳送毫無用處的數(shù)據(jù)來占用帶寬。在攻擊過

5、程中，偽造與某一計(jì)算機(jī)的Chargen服務(wù)之間的一次UDP連接，而回復(fù)地址指向開著Echo服務(wù)的一臺計(jì)算機(jī)，這樣就生成在兩臺計(jì)算機(jī)之間大量的無用數(shù)據(jù)流，導(dǎo)致帶寬完全被占用而拒絕提供服務(wù)。防范UDP Flood攻擊的辦法是關(guān)掉不必要的TCP/IP服務(wù)，或者配置防火墻以阻斷來自Internet的UDP服務(wù)請求。 運(yùn)行Windows 2008/XP的多臺計(jì)算機(jī)，通過網(wǎng)絡(luò)連接，在其中某一臺計(jì)算機(jī)上安裝實(shí)驗(yàn)所需的軟件。三、實(shí)驗(yàn)環(huán)境實(shí)驗(yàn)軟件到下載，如圖所示解壓后可直接使用任務(wù)一 UDP Flood攻擊演練 UDP Flood是一種采用UDP Flood攻擊方式的DoS軟件，它可

6、以向特定的IP地址和端口發(fā)送UDP包。在“IP/hostname”和“Port”文本框中指定目標(biāo)主機(jī)的IP地址和端口號，“Max duration（secs）”文本框中可設(shè)定最長的攻擊時(shí)間，在“Speed（pkts/sec）”中可以設(shè)置UDP包發(fā)送的速度，在“Data”選項(xiàng)區(qū)域中可定義UDP數(shù)據(jù)包中包含的內(nèi)容，默認(rèn)情況下為UDP Flood.Serverstress test的text文件內(nèi)容。單擊“Go”按鈕即可對目標(biāo)主機(jī)發(fā)起UDP Flood攻擊，如圖所示。從10.0.27.x（不同的機(jī)房IP不同）主機(jī)發(fā)起UDP-Flood攻擊，發(fā)包的速率為250包/秒。雖然本實(shí)驗(yàn)只有一臺攻擊計(jì)算機(jī)，對網(wǎng)

7、絡(luò)帶寬的占用率影響不大，但攻擊者數(shù)據(jù)很多時(shí)，對網(wǎng)絡(luò)帶寬的影響也不容忽視。 在被攻擊的計(jì)算機(jī)0中可以查看收到的UDP數(shù)據(jù)包，這需要事先對系統(tǒng)監(jiān)視器進(jìn)行配置，依次執(zhí)行“控制面板”“管理工具”“性能”，首先在系統(tǒng)監(jiān)視器中單擊右側(cè)圖文框上面的“+”按鈕，彈出“添加計(jì)數(shù)器”對話框，如圖所示。在這個(gè)對話框中添加對UDP數(shù)據(jù)包的監(jiān)視，在“性能對象”組合框中選擇“UDP v4”協(xié)議，選擇“從列表選擇計(jì)數(shù)器”單選按鈕，并在下面的列表框中選擇“Datagrams Received/sec”即對收到的UDP數(shù)據(jù)包進(jìn)行計(jì)算，配置并保存在此計(jì)數(shù)器信息的日志文件。選擇“可靠性和性能”單擊選擇“性能監(jiān)視器

8、”單擊選擇“+”號單擊彈出添加計(jì)數(shù)器如下圖所示選擇Datagrams Received/sec后單擊“添加”得下圖所示，單擊確定。 當(dāng)入侵者發(fā)起UDP Flood攻擊時(shí)，可以通過在被攻擊計(jì)算機(jī)中的系統(tǒng)監(jiān)視器，查看系統(tǒng)監(jiān)測到的UDP數(shù)據(jù)包信息，如圖所示，圖中左半部分的凸起曲線，顯示了UDP Flood攻擊從開始到結(jié)束的過程，接收UDP數(shù)據(jù)包的最大速率為250包/秒，由于圖中顯示比例為0.1，所以對應(yīng)的坐標(biāo)為25。 在被攻擊的計(jì)算機(jī)上打開Ethereal工具，可以捕捉由攻擊者計(jì)算機(jī)發(fā)到本地計(jì)算機(jī)的UDP數(shù)據(jù)包，可以看到內(nèi)容為“UDP Flood.Server stress test”的大量UDP數(shù)

9、據(jù)包。 軟件到下載，如圖所示任務(wù)二 Land攻擊演練Land的使用方法是在命令提示符下，在Land15所在的目錄下輸入命令“LAND15 17 80”，過程如下：運(yùn)行cmd ，進(jìn)入命令模式。進(jìn)入Land所在的磁盤和目錄（假設(shè)Land放在D盤），操作如下：d:回車，cd land15回車，如下圖所示。輸入命令“l(fā)and15 17 80（在不同的機(jī)房使用不同的IP）”回車，得如圖所示的結(jié)果，停止攻擊按“Ctrl+c”鍵。在攻擊過程中，在被攻擊的計(jì)算機(jī)上啟動“任務(wù)管理器”，如圖6-7所示，可以看到CPU的使用率迅速上升，這說明Land攻

10、擊將導(dǎo)致被攻擊主機(jī)的CPU資源被耗費(fèi)。 在被攻擊的計(jì)算機(jī)上打開Ethereal工具，可以捕捉由攻擊者的計(jì)算機(jī)發(fā)到本地計(jì)算機(jī)的異常TCP數(shù)據(jù)包，可以看到這些TCP數(shù)據(jù)包的源計(jì)算機(jī)和目標(biāo)計(jì)算機(jī)IP地址都是17，這正是Land攻擊的明顯特征。軟件下載：到，如圖所示任務(wù)三 DDoS攻擊演練 DDoS攻擊者1.5軟件是一個(gè)DDoS攻擊工具，程序運(yùn)行后自動裝入系統(tǒng)，并在以后隨系統(tǒng)啟動，自動對事先設(shè)定好的目標(biāo)進(jìn)行攻擊。 DDoS攻擊者1.5軟件分為生成器（DDoSMaker.exe）和DDoS攻擊者程序（DDoSer.exe）兩部分。軟件在下載安裝后是沒有DDo

11、S攻擊者程序的，只有生成器DDoSMaker.exe，DDoS攻擊者程序要通過生成器進(jìn)行生成。生成時(shí)可以自定義一些設(shè)置，如攻擊目標(biāo)的域名或IP地址、端口等。DDoS攻擊者默認(rèn)的文件名為DDoSer.exe，可以在生成時(shí)或生成后任意改名。DDoS攻擊者程序類似于木馬軟件的服務(wù)器端程序，程序運(yùn)行后不會顯示任何界面，看上去好像沒有反應(yīng)，其實(shí)它已經(jīng)將自己復(fù)制到系統(tǒng)中，并且會在每次開機(jī)時(shí)自動運(yùn)行，此時(shí)可以將復(fù)制過去的安裝程序刪除。它運(yùn)行時(shí)唯一會做的工作就是源源不斷地對事先設(shè)定好的目標(biāo)進(jìn)行攻擊。DDoSer使用的攻擊手段是SYN Flood方式。DDoSer1.5的設(shè)置：打開DDoSmaker.exe程序

12、，界面如圖所示。DDoS攻擊者具體設(shè)置如下：目標(biāo)主機(jī)的域名或IP地址”：就是要攻擊主機(jī)的域名或IP地址，建議使用域名，因?yàn)镮P地址是可以經(jīng)常變換的，而域名一般不會變?！岸丝凇保壕褪且舻亩丝?，請注意，這里指的是TCP端口，因?yàn)榇塑浖荒芄艋赥CP的服務(wù)。如80就是攻擊HTTP的服務(wù)，21就是攻擊FTP服務(wù)，25就是攻擊SMTP服務(wù)，110就是攻擊POP3服務(wù)等?！安l(fā)連接線程數(shù)”：就是同時(shí)并發(fā)多少個(gè)線程去連接這個(gè)指定的端口，當(dāng)然此值越大對服務(wù)器的壓力越大，當(dāng)然占用本機(jī)資源也越大。建議使用默認(rèn)值，即10個(gè)線程?！白畲骉CP連接數(shù)”：當(dāng)連接上服務(wù)器后，如果立即斷開這個(gè)連接顯然不會對服務(wù)器造成

13、什么壓力，而是先保持這個(gè)連接一段時(shí)間，當(dāng)本機(jī)的連接數(shù)大于此值時(shí)，就會開始斷開以前的連接，從而保證本機(jī)與服務(wù)器的連接數(shù)不會超過此值。同樣，此值越大對服務(wù)器的壓力越大，當(dāng)然占用本機(jī)資源也越大。建議使用默認(rèn)值，即1000個(gè)連接?！白员韱禹?xiàng)鍵名”：就是在注冊表里寫入的啟動項(xiàng)鍵名，當(dāng)然是越隱蔽越好?！胺?wù)器端程序文件名”：就是在Windows系統(tǒng)目錄中的文件名，同樣也是越隱蔽越好?！癉DoS攻擊者程序保存為”：就是生成的DDoS攻擊者程序保存在何處、它的文件名是什么按照圖6-9所示的設(shè)置后，軟件就會自動生成一個(gè)DDoSer.exe的可執(zhí)行文件，這個(gè)文件就是攻擊程序，這個(gè)程序在哪臺主機(jī)上運(yùn)行，哪臺主機(jī)就會自動向目標(biāo)發(fā)起攻擊。因此為了達(dá)到較好的效果，可以將這個(gè)攻擊者程序復(fù)制到多