网络攻防实验六-DDOS

1、一. 实验目的二. 实验原理三. 实验环境四. 实验内容五. 实验报告要求一. 实验目的 通过本实验对DoS/DDoS攻击的深入介绍和实验操作，了解DoS/DDoS攻击的原理和危害，并且具体掌握利用TCP、UDP、ICMP等协议的DoS/DDoS攻击原理。了解针对DoS/DDoS攻击的防范措施和手段。二. 实验原理拒绝服务攻击是一种很有效的攻击技术，通过协议的安全缺陷或者系统安全漏洞，对目标主机进行网络攻击，最终使其资源耗尽而无法响应正常的服务请求，即对外表现为拒绝提供服务。 二. 实验原理1 DoS攻击DoS是拒绝服务（Denial of Service）的简称。这种攻击行为的攻击对象是目标

2、主机，目的就是使目标主机的资源耗尽使其无法提供正常对外服务。 二. 实验原理 DoS攻击通过两种方式实现 一种方式是利用目标主机存在的网络协议或者操作系统漏洞 另一种方式就是发送大量的数据包，耗尽目标主机的网络和系统资源 二. 实验原理 DoS攻击按照攻击所使用的网络协议来划分，主要分为以下几类的攻击方式： 1）IP层协议ICMP和IGMP洪水攻击、smurf攻击 2）TCP协议 TCP协议本身就具有一定的安全缺陷，TCP的三次握手过程就存在缺陷。SYN-Flood攻击和Land攻击就是利用握手过程，来完成拒绝服务攻击的。二. 实验原理SYN-Flood攻击 SYN-Flood攻击的第一步，是

3、由攻击者向目标主机发出第一次SYN握手请求数据包，但攻击者伪造了此数据包的源IP为不存在或者网络不可达的一个IP。 目标主机收到第一次握手的SYN请求后，会自动向客户端回复SYN+ACK的第二次握手，并等待第三次握手返回的响应数据包。 因为攻击者伪造的源IP不存在或者网络不可达，所以肯定没有第三次握手的响应数据包，目标主机此时就要“傻”等一段时间之后才丢弃这个未完成的连接，而等待的系统进程或者线程要占用一定的CPU资源和内存资源。 当攻击者发出大量伪造的SYN数据包时，目标主机将自动回应大量的第二次握手的数据包，形成大量“半开连接”，消耗非常多的系统资源直至资源耗尽，从而导致对正常用户的“服务

4、请求无法响应”。 二. 实验原理 3）UDP协议 针对采用UDP协议的应用服务器，也可以伪造大量UDP请求数据包，请求服务器提供服务从而耗尽服务器的资源。 例如针对DNS服务器的UDP洪水攻击，就是生成大量需要解析的域名，并伪造目标端口为53端口的UDP数据包，发给DNS服务器要求进行域名解析耗尽DNS服务器的资源 二. 实验原理 4）应用层协议攻击 通过发送大量应用层的请求数据包，耗尽应用服务器的资源也能造成拒绝服务的效果。 例如利用代理服务器对web服务器发起大量的 HTTP Get请求，如果目标服务器是动态web服务器，大量的HTTP Get请求主要是请求查询动态页面，这些请求会给后台的

5、数据库服务器造成极大负载直至无法正常响应，从而使正常用户的访问也无法进行了。二. 实验原理 2 DDoS攻击 DDoS是分布式拒绝服务（Distribute DoS）攻击的简称。 攻击者可将其控制的分布于各地的大量计算机统一协调起来，向目标计算机发起DoS攻击。 二. 实验原理二. 实验原理 2 DDoS攻击 DDoS攻击由攻击者、主控端（master）、代理端（zombie）3部分组成。 攻击者是整个DDoS攻击的发起源头，它在攻击之前已经取得了多台主控端主机的控制权，主控端主机分别控制着代理端主机。 二. 实验原理 3 DoS/DDoS攻击的防御措施 有效防范DoS/DDoS攻击的关键主要

6、是识别出异常的攻击数据包并过滤掉。 1）静态和动态的DDoS过滤器 2）反欺骗技术 3）异常识别 4）协议分析 5）速率限制 二. 实验原理 3 DoS/DDoS攻击的防御措施 对于一般用户可以通过下面的技术手段进行综合防范： 1）增强系统的安全性 2）利用防火墙、路由器等网络和网络安全设备加固网络的安全性，关闭服务器的非开放服务端口 3）配置专门防范DoS/DDoS攻击的DDoS防火墙 4）强化路由器等网络设备的访问控制 5）加强与ISP的合作，当发现攻击现象时，与ISP协商实施严格的路由访问控制策略，以保护带宽资源和内部网络。三. 实验环境 多台运行windows 2000/XP/2003

7、操作系统的计算机，通过网络连接。 四. 实验内容 1 SYN-Flood攻击 四. 实验内容 1 SYN-Flood攻击 四. 实验内容 1 SYN-Flood攻击 四. 实验内容 2 UDP-Flood攻击 四. 实验内容 2 UDP-Flood攻击 四. 实验内容 3 DDoS攻击 四. 实验内容 4 DDoS防火墙对DDoS攻击的防范 有条件的机构可以通过部署专用DDoS防火墙防范DoS/DDoS攻击。在被攻击的应用服务器前串联接入DDoS防火墙，或者在内外网之间串联接入DDoS防火墙，可以实现对DDoS攻击的有效防范，保障应用服务器和内网计算机的安全。 1）使用一台装有Super DDoS的主机对另一台主机进行DDoS攻击，事先要通过扫描软件获取该目标主机的端口开放情况。攻击前，两台主机同时打开任务管理器查看性能变化，同时启动Sniffer进行抓包，通过分析两者性能和数