拒绝服务攻击与防范实验

1、拒绝服务攻击与防范实验 通过练习使用DoS/DDoS攻击工具对目标主机进行攻击，理解DoS/DDoS攻击的原理及其实施过程，掌握监测和防范Dos/DDoS攻击的措施一、实验目的 拒绝服务（Denial of Service，DoS）攻击通常是针对TCP/IP中的某个弱点，或者系统存在的某些漏洞，对目标系统发起大规模的进攻，使服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致目标网络或系统不胜负荷直至瘫痪、无法提供正常服务。 分布式拒绝服务（Distribute Denial of Service，DDoS）攻击是对传统DoS攻击的发展，攻击者首先侵入并控制一些计算机，然后控制这些计算机

2、同时向一个特定的目标发起拒绝服务攻击。二、实验原理 DoS攻击可使用一些公开的软件进行攻击，发动较为简单而且在较短的时间内即可达到效果，但要防止这类攻击是非常困难的，从技术上看，目前还没有根本的解决办法。 DoS攻击的实现方式主要包括：资源消耗、服务终止、物理破坏等。例如：服务器的缓冲区满，不接受新的请求。如SYN Flood洪泛攻击、Land攻击。 使用IP欺骗，迫使服务器将合法用户的连接复位，影响连接。如Smurf攻击。 在Land攻击中，一个特别打造的SYN包的源地址和目标地址都被设置成某一个服务器地址，这时将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消

3、息并创建一个空连接，每一个这样的连接都将保留直到超时。对Land攻击，不同的操作系统反应不同，许多UNIX将崩溃，而WindowsNT会变得极其缓慢（大约持续5分钟）。 预防Land攻击的最好办法是通过配置防火墙，过滤从外部发来的含有内部源IP地址的数据包。 Smurf攻击的原理如图6-1所示，攻击者主要使用IP广播和IP欺骗的方法，发送伪造的ICMP Echo Request报给目标网络的IP广播地址。 当攻击者向某个网络的广播地址发送ICMP Echo Request包时，如果路由器对发往网络广播地址的ICMP包不进行过滤，则所有主机都可以接收到该ICMP包，并且都要向ICMP包所指示的源

4、地址发送ICMP Echo Reply响应包。如果攻击者将发送的ICMP包的源地址伪造成被攻击者的地址，则该响应包都要发往被攻击的主机。这不仅造成被攻击主机流量过载、减慢甚至停止正常的服务，而且发出ICMP响应包的中间受害网络也会出现拥塞甚至网络瘫痪。为了防范这种攻击，最好关闭外部路由器或防火墙的地址广播功能。 还有一种Fraggle攻击，它和Smurf攻击原理相同，只不过使用的是UDP应答消息而不是ICMP。可以通过在防火墙上过滤UDP应答消息实现对这种攻击的防范。 UDP Flood攻击也是利用TCP/IP服务来进行，它利用了Chagen和Echo来回传送毫无用处的数据来占用带宽。在攻击过

5、程中，伪造与某一计算机的Chargen服务之间的一次UDP连接，而回复地址指向开着Echo服务的一台计算机，这样就生成在两台计算机之间大量的无用数据流，导致带宽完全被占用而拒绝提供服务。防范UDP Flood攻击的办法是关掉不必要的TCP/IP服务，或者配置防火墙以阻断来自Internet的UDP服务请求。 运行Windows 2008/XP的多台计算机，通过网络连接，在其中某一台计算机上安装实验所需的软件。三、实验环境实验软件到下载，如图所示解压后可直接使用任务一 UDP Flood攻击演练 UDP Flood是一种采用UDP Flood攻击方式的DoS软件，它可

6、以向特定的IP地址和端口发送UDP包。在“IP/hostname”和“Port”文本框中指定目标主机的IP地址和端口号，“Max duration（secs）”文本框中可设定最长的攻击时间，在“Speed（pkts/sec）”中可以设置UDP包发送的速度，在“Data”选项区域中可定义UDP数据包中包含的内容，默认情况下为UDP Flood.Serverstress test的text文件内容。单击“Go”按钮即可对目标主机发起UDP Flood攻击，如图所示。从10.0.27.x（不同的机房IP不同）主机发起UDP-Flood攻击，发包的速率为250包/秒。虽然本实验只有一台攻击计算机，对网

7、络带宽的占用率影响不大，但攻击者数据很多时，对网络带宽的影响也不容忽视。 在被攻击的计算机0中可以查看收到的UDP数据包，这需要事先对系统监视器进行配置，依次执行“控制面板”“管理工具”“性能”，首先在系统监视器中单击右侧图文框上面的“+”按钮，弹出“添加计数器”对话框，如图所示。在这个对话框中添加对UDP数据包的监视，在“性能对象”组合框中选择“UDP v4”协议，选择“从列表选择计数器”单选按钮，并在下面的列表框中选择“Datagrams Received/sec”即对收到的UDP数据包进行计算，配置并保存在此计数器信息的日志文件。选择“可靠性和性能”单击选择“性能监视器

8、”单击选择“+”号单击弹出添加计数器如下图所示选择Datagrams Received/sec后单击“添加”得下图所示，单击确定。 当入侵者发起UDP Flood攻击时，可以通过在被攻击计算机中的系统监视器，查看系统监测到的UDP数据包信息，如图所示，图中左半部分的凸起曲线，显示了UDP Flood攻击从开始到结束的过程，接收UDP数据包的最大速率为250包/秒，由于图中显示比例为0.1，所以对应的坐标为25。 在被攻击的计算机上打开Ethereal工具，可以捕捉由攻击者计算机发到本地计算机的UDP数据包，可以看到内容为“UDP Flood.Server stress test”的大量UDP数

9、据包。 软件到下载，如图所示任务二 Land攻击演练Land的使用方法是在命令提示符下，在Land15所在的目录下输入命令“LAND15 17 80”，过程如下：运行cmd ，进入命令模式。进入Land所在的磁盘和目录（假设Land放在D盘），操作如下：d:回车，cd land15回车，如下图所示。输入命令“land15 17 80（在不同的机房使用不同的IP）”回车，得如图所示的结果，停止攻击按“Ctrl+c”键。在攻击过程中，在被攻击的计算机上启动“任务管理器”，如图6-7所示，可以看到CPU的使用率迅速上升，这说明Land攻

10、击将导致被攻击主机的CPU资源被耗费。 在被攻击的计算机上打开Ethereal工具，可以捕捉由攻击者的计算机发到本地计算机的异常TCP数据包，可以看到这些TCP数据包的源计算机和目标计算机IP地址都是17，这正是Land攻击的明显特征。软件下载：到，如图所示任务三 DDoS攻击演练 DDoS攻击者1.5软件是一个DDoS攻击工具，程序运行后自动装入系统，并在以后随系统启动，自动对事先设定好的目标进行攻击。 DDoS攻击者1.5软件分为生成器（DDoSMaker.exe）和DDoS攻击者程序（DDoSer.exe）两部分。软件在下载安装后是没有DDo

11、S攻击者程序的，只有生成器DDoSMaker.exe，DDoS攻击者程序要通过生成器进行生成。生成时可以自定义一些设置，如攻击目标的域名或IP地址、端口等。DDoS攻击者默认的文件名为DDoSer.exe，可以在生成时或生成后任意改名。DDoS攻击者程序类似于木马软件的服务器端程序，程序运行后不会显示任何界面，看上去好像没有反应，其实它已经将自己复制到系统中，并且会在每次开机时自动运行，此时可以将复制过去的安装程序删除。它运行时唯一会做的工作就是源源不断地对事先设定好的目标进行攻击。DDoSer使用的攻击手段是SYN Flood方式。DDoSer1.5的设置：打开DDoSmaker.exe程序

12、，界面如图所示。DDoS攻击者具体设置如下：目标主机的域名或IP地址”：就是要攻击主机的域名或IP地址，建议使用域名，因为IP地址是可以经常变换的，而域名一般不会变。“端口”：就是要攻击的端口，请注意，这里指的是TCP端口，因为此软件只能攻击基于TCP的服务。如80就是攻击HTTP的服务，21就是攻击FTP服务，25就是攻击SMTP服务，110就是攻击POP3服务等。“并发连接线程数”：就是同时并发多少个线程去连接这个指定的端口，当然此值越大对服务器的压力越大，当然占用本机资源也越大。建议使用默认值，即10个线程。“最大TCP连接数”：当连接上服务器后，如果立即断开这个连接显然不会对服务器造成

13、什么压力，而是先保持这个连接一段时间，当本机的连接数大于此值时，就会开始断开以前的连接，从而保证本机与服务器的连接数不会超过此值。同样，此值越大对服务器的压力越大，当然占用本机资源也越大。建议使用默认值，即1000个连接。“注册表启动项键名”：就是在注册表里写入的启动项键名，当然是越隐蔽越好。“服务器端程序文件名”：就是在Windows系统目录中的文件名，同样也是越隐蔽越好。“DDoS攻击者程序保存为”：就是生成的DDoS攻击者程序保存在何处、它的文件名是什么按照图6-9所示的设置后，软件就会自动生成一个DDoSer.exe的可执行文件，这个文件就是攻击程序，这个程序在哪台主机上运行，哪台主机就会自动向目标发起攻击。因此为了达到较好的效果，可以将这个攻击者程序复制到多