任务10拒绝服务攻击和检测

工作任务

问题探究

知识拓展

检查评价

学习目标拒绝服务攻击和检测实践操作

学习目标1.知识目标2.能力目标学习目标返回下页上页学习目标返回下页上页认识并了解DoS和DDoS攻击1理解UDPFlood攻击的原理2理解SYNFlood攻击的原理3了解防御DDoS攻击的方法45了解安装入侵检测软件的必要性1.知识目标学习目标返回下页上页采用UDPFlood方式攻击目标主机1防范常见DDoS攻击2使用拒绝服务攻击状态监视器3安装和配置黑冰入侵检测软件42.能力目标工作任务

工作任务2.工作任务背景4.条件准备1.工作名称3.工作任务分析返回下页上页任务背景：最近张老师发现校园网服务器的运行速度经常会突然变慢，有时甚至出现死机的情况，导致用户无法正常登陆服务器。打开服务器的“Windows任务管理器”，查看“性能”后发现“CPU使用率”接近100%，内存的“可用数”接近0，而服务器的杀毒软件未发现任何病毒。张老师怀疑有人对服务器实施了拒绝服务攻击。任务名称：模拟拒绝服务攻击、安装入侵检测软件

任务名称与背景返回下页工作任务

上页拒绝服务攻击常见的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即使用大量攻击包而导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即使用大量攻击包而导致主机的CUP和内存被耗尽，造成无法提供网络服务。在服务器再次遭受攻击时，张老师用一台主机Ping服务器，发现可以Ping通，没有超时和丢包现象，基本排除了遭受流量攻击的可能性。张老师在服务器上用“Netstat–na”命令观察到有大量的“SYN_RECEIVED”、“TIME_WAIT”、“FIN_WAIT_1”等状态存在，而“ESTABLISHED”状态很少。“ESTABLISHED”状态代表已经打开了一个连接，而“SYN_RECEIVED”、任务分析返回下页工作任务

上页“TIME_WAIT”等状态代表服务器正在等待对方对连接请求的确认，这就表示大量主机向服务器发送了连接请求，服务器接受请求，并发送回应信息，等待这些主机再次发送确认回应信息从而建立连接时，这些主机不再回应。这就导致了服务器因等待这些大量的半连接信息而消耗系统资源，而没有空余资源去处理普通用户的正常请求。张老师根据这些情况判定，这是一次典型的资源耗尽型的拒绝服务攻击，而且是拒绝服务攻击中威力最为巨大且为目前比较常见的分布式拒绝服务攻击（DDoS，DistributedDenialofService）。任务分析返回下页工作任务

上页返回下页工作任务

上页任务分析张老师决定在服务器中安装“拒绝服务攻击状态监视器”，用于检测本次拒绝服务攻击的类型和攻击频率，为服务器安装BlackICE(黑冰)入侵检测系统软件，以便在黑客对服务器再次实施攻击时进行提示和警告，甚至捕捉到实施DDoS攻击的主机IP地址、用户名等信息。张老师还下载了一个可以实施UDP-Flood攻击的黑客软件，利用多台主机模拟对服务器进行UDP-Flood攻击，从而检验“拒绝服务攻击状态监视器”和BlackICE(黑冰)入侵检测软件的配置和使用。条件准备张老师在网上下载了金盾防火墙的插件“拒绝服务攻击状态监视器”和“BlackICEPCProtection”黑冰入侵检测软件，并将两个软件安装到服务器中。金盾防火墙的“拒绝服务攻击状态监视器”可以识别SYNFlood攻击、UDPFlood攻击、ICMPFlood攻击等多种攻击类型，并可以显示攻击频率等信息。BlackICEPCProtection软件（简称BlackICE）是由ISS安全公司出品的一款著名的入侵检测系统。它集成了非常强大的检测和分析引擎，识别200多种入侵技巧，进行全面的网络检测及系统防护，拦截可疑的网络入侵和攻击，并将试图入侵的黑客的NetBIOS(WINS)名、DNS名以及其目前所使用的IP地址记录下来，以便采取进一步行动。该软件的灵敏度和准确率非常高，稳定性也相当出色，系统资源占用率极少。返回下页工作任务

上页条件准备张老师为了测试入侵检测软件，下载了可以实现UDP攻击的黑客软件，并安装到网络实验室的20台主机中，该实验室中的所有主机均能“ping”通服务器。UDP(UserDataProtocol，用户数据报协议)是与TCP相对应的协议。它是面向非连接的协议，它不与目标主机建立连接，而是直接把数据包发送到目标主机的端口。目标主机接收到一个UDP数据包时，它会确定目的端口正在等待中的应用程序。如果随机地向目标主机系统的端口发送大量的UDP数据包，而目标主机发现该端口中并不存在正在等待的应用程序，它就会产生一个目的地址无法连接的ICMP数据包发送给源地址，这就构成了UDPFlood攻击。返回下页工作任务

上页实践操作

1.模拟UDPFlood攻击2.安装BlackICE（黑冰）入侵检测软件3.配置BlackICE（黑冰）软件4.利用BlackICE进行入侵检测和防范实践操作

返回下页上页1.模拟UDPFlood攻击由于本次模拟攻击所用到的“UDPFlooder”软件可被较新的杀毒软件和防火墙检测出并自动进行隔离或删除的处理，因此，在模拟攻击前要先将网络实验室中20台主机安装的杀毒软件和防火墙全部关闭（服务器的防火墙和杀毒软件不用关闭）。分别在20台主机中打开“UDPFlooder”攻击软件，在“IP/hostname”后面的文本框中输入服务器的IP地址，在“Port”后的文本框中输入端口号，一般为“80”，将攻击速度“speed”调整到最高“max”，即每秒发送255个攻击包。“Data”选项中选择“Text”，其后的内容随意输入。单击“GO”按钮，开始攻击。如图所示。实践操作

返回下页上页1.模拟UDPFlood攻击实践操作

返回下页上页UDPFlooder攻击器拒绝服务攻击状态监视器1.模拟UDPFlood攻击此时，在服务器中打开金盾防火墙的“拒绝服务攻击状态监视器”，可以观察到该服务器已经遭受到了“UDP攻击”和“ICMP攻击”，攻击状态为“中度攻击”。如图所示。由于服务器的硬件配置一般较高，来自20台主机的攻击不会对服务器造成太大的影响，但是如果利用黑客入侵手段，将攻击软件作为木马植入到几千台甚至上万台主机中，并由一台管理机控制，所有被控主机同时对服务器进行攻击，即发动一次分布式拒绝服务攻击（DDoS），往往会使服务器瘫痪。实践操作

返回下页上页2.安装BlackICE（黑冰）入侵检测软件⑴安装前准备：实践操作

返回下页上页在安装BlackICE之前，先要确定服务器的操作系统，如果是Windows

Server

2003SP1或WinXP

SP2及以上版本，则要先对操作系统做一下调整，否则安装后会出现蓝屏现象。因为这些版本的操作系统新增了一个名为DEP（数据执行保护）的安全保护功能。如果服务器使用64位CPU，那么，这个保护功能将更加强大，因为64位处理器中采用了一种全新的防毒技术--EVP(增强型病毒防护)，配合DEP技术，能将病毒的防治机制提升到一个新的高度。不过EVP和DEP也存在兼容问题，它可能对用户有用的程序也进行阻止，包括BlackICE软件。打开“我的电脑”，执行“工具”菜单中的“文件夹选项”命令，选择“查看”选项卡，将“高级设置”中“隐藏受保护的操作系统文件（推荐）”选项前面的“√”去掉，并在“隐藏文件和文件夹”中选择“显示所有文件和文件2.安装BlackICE（黑冰）入侵检测软件在系统所在分区（一般为C盘）的根目录下找到Boot.ini文件。在该文件上点击鼠标右键，选择“属性”命令，将该文件的“只读属性”去掉。然后双击打开该文件，看到该文件有一个“NoExecute”参数，其值为“Opton”，该参数即为“数据执行保护”启动状态。设置“NoExecute=AlwaysOff”，并保存。这相当于关闭了EVP和DEP功能，解决了这两项功能引起的兼容性问题。恢复Boot.ini文件的“只读属性”，恢复“文件夹选项”中“高级设置”的初始状态。实践操作

返回下页上页夹”。点击“确定”完成，此时所有系统文件和隐藏文件均显示出来。2.安装BlackICE（黑冰）入侵检测软件⑵安装BlackICE：实践操作

返回下页上页在服务器中运行BlackICE软件的安装程序“BISPSetup.exe”，启动安装过程。首先进入欢迎对话框，如图所示。2.安装BlackICE（黑冰）入侵检测软件单击“Next”按钮，进入“用户许可协议”确认对话框，单击“IAccept”按钮，同意协议内容，打开软件序列号输入对话框，在“License”后的文本框中输入黑冰软件的序列号，序列号由12位数字和字母组合而成，如果不输入或输入错误，安装程序将提示是否再次输入，如果单击“否”按钮，将退出安装。序列号输入正确后单击“next”按钮，进入软件安装位置设置对话框，系统默认将软件安装到“C:\ProgramFiles\ISS\BlackICE”文件夹下，如果需要更改安装位置，可单击“Browse”按钮，选择新的文件夹。位置选择完成后单击“Next”按钮，进入应用程序文件夹设置对话框，默认程序文件夹为“ISS”。设置完成后单击“Next”按钮，打开应用程序保护模式选择对话框，如图所示实践操作

返回下页上页2.安装BlackICE（黑冰）入侵检测软件该对话框有两个选项，“APOff”和“APOn”。其中“APOn”模式表示打开应用程序保护模式，如果选择该模式，软件将对应用程序的运行进行保护，并且在安装结束后扫描系统中的所有文件，找实践操作

返回下页上页出可以访问Internet的程序，这样可以有效地防止木马程序访问网络。“APOff”模式则对应用程序不进行保护。为安全起见，选择“APOn”。点击“next”按钮，打开服务器是否有人值守的选择对话框，如图所示。2.安装BlackICE（黑冰）入侵检测软件在该对话框中，“Attended”表示有人值守，选择该项，则发生未知的程序活动、网络连接等操作时BlackICE都会进行提示，要求服务器管理员（值守者）进行确认；“Unattended”表示无人值守，选择该项的话，BlackICE会自动禁止所有的未知活动。这里选择“Attended”。实践操作

返回下页上页2.安装BlackICE（黑冰）入侵检测软件点击“next”按钮，会显示前面所做设置的回顾界面，如果不需修改的话点击“next”按钮，开始文件复制安装。安装结束之后，BlackICE软件将对操作系统的当前情况进行检测。实践操作

返回下页上页⑶卸载BlackICE：卸载BlackICE软件，不能在“控制面板”的“添加/删除程序”中进行。而是需要重新启动计算机，并进入“安全模式”。打开BlackICE软件的安装目录，找到“BIRemove.exe”文件，双击执行，完成卸载操作。3.配置BlackICE（黑冰）软件⑴控制台界面：BlackICE安装后将以后台服务的方式运行。前端提供一个控制台进行各种报警和修改程序的配置，可以通过双击任务栏中的“”图标打开BlackICE控制台，实践操作

返回下页上页3.配置BlackICE（黑冰）软件在控制台中，“Events”窗口提供一些基本入侵信息，如入侵的时间、动作、入侵者的IP等。可以直接右击一条入侵信息来对该入侵者进行诸如信任、阻止等的操作。这些信息中，黄色的问号是怀疑攻击，橙色和红色的叹号是十分确定的攻击。只要在图标上有黑色的斜杠，就代表成功拦截。灰色的斜杠是在攻击时BlackICE已经尝试拦截，但是可能有部分数据还是穿透了防火墙。“Intruders”窗口提供了入侵者更为详细的信息，如果需要永久拦截该入侵者的访问，可以在入侵者名单上单击鼠标右键，在出现的快捷菜单中选择“Block

Iintruder→Forever”。“History”窗口提供图示统计信息，在其左侧选择“Min”、“Hour”或“Day”，就可以很直观地看到分别以分钟、小时、天数为单位的事件发生曲线图和网络数据流量图，据此就可判断出木马、病毒程序作案的发生频率、数据包流量。实践操作

返回下页上页3.配置BlackICE（黑冰）软件⑵BlackICE设置：选择“Tools”菜单中的“EditBlackICESettings”命令可以打开“BlackICESettings”对话框，如图所示，其中：实践操作

返回下页上页3.配置BlackICE（黑冰）软件“Firewall（防火墙）”选项卡：修改BlackICE的安全级别。BlackICE对外来访问设有4个安全级别，分别是Trusting、Cautious、Nervous和Paranoid。Paranoid是阻断所有的未受权信息，Nervous是阻断大部分的未受权信息，Cautious是阻断部分的未受权的信息，而BlackICE软件缺省设置的是Trusting级别，即接受所有的信息。“Back

Trace（回溯）”选项卡：将里面两项复选框均勾选中，就可以跟踪并分析入侵者的信息。“Evidence（证据日志）”：将其中的“Logging

enabled（启用日志）”复选框选中可以将入侵者的入侵记录存入证据日志中。实践操作

返回下页上页3.配置BlackICE（黑冰）软件实践操作

返回下页上页“Application

Control（应用程序控制）”和“Communications

Control（通讯控制）”选项卡：建议将这两个选项卡的“Enable

Application

Port（启用应用程序保护）”复选框选中，这样可以防止未经许可的应用程序访问网络，从而防范病毒或木马程序对系统的破坏。“Inrtusion

Detection（入侵检测）”选项卡：可以单击“add”按钮添加自己绝对信任的IP地址或服务。3.配置BlackICE（黑冰）软件⑶高级防火墙设置：实践操作

返回下页上页执行“Tools”菜单的“Advanced

Firewall

Settings”命令，可以打开高级防火墙设置对话框，3.配置BlackICE（黑冰）软件在该对话框可以打开某个端口，从而开启相应的服务，也可以关闭某个端口，从而防范通过该端口进行的入侵。在该窗口中点击“Add”或“Modify”按钮可以新增或修改应用规则，点击“Delete”可以删除选中的规则。实践操作

返回下页上页4.利用BlackICE进行入侵检测和防范⑴检测UDPFlood攻击：实践操作

返回下页上页将服务器的BlackICE软件的安全级别设置为Paranoid，阻断所有的未受权信息。利用实验室的某台计算机对服务器发动UDPFlood攻击。此时BlackICE的控制台显示如图所示。4.利用BlackICE进行入侵检测和防范可以看到，在“Events”窗口中，显示出一条怀疑攻击信息（黄色问号图标），该信息包括攻击时间、攻击类型、攻击着主机名、攻击数据包数量的内容。图标上显示黑色的斜杠，表示该攻击已经被拦截。点击“Intruders”选项卡还可以看到攻击者的IP地址等更加详细的信息。如果需要拦截来自该主机的访问，可以在该条攻击信息上单击鼠标右键，执行“BlockIntruder”命令，选择“Forever”进行永久拦截，或选择拦截一小时（ForanHour）、一天（ForaDay）或一个月（ForaMonth）。如果确信来自该主机的访问没有攻击意图，是可以信任的，可以执行“TrustIntruder”命令，选择“TrustandAccept”信赖并认可该主机的访问，或选择“TrustOnly”仅信赖该主机的访问。实践操作

返回下页上页4.利用BlackICE进行入侵检测和防范⑵防范某台主机的139端口入侵：执行“Tools”菜单的“Advanced

Firewall

Settings”命令，打开高级防火墙设置对话框，单击“Add”按钮，打开端口访问设置对话框。如图所示实践操作

返回下页上页4.利用BlackICE进行入侵检测和防范在该对话框中，“Name”文本框为该规则的名称，“IP”文本框可以输入对该端口进行操作的主机IP，选择“AllAddress”复选框表示所有主机对该端口的操作都是相同的，“Port”文本框输入端口号，“AllPort”表示对所有端口采取措施，“Type”表示访问的类型，“Mode”中的“Accept”表示允许用户对该端口操作，“Reject”表示拒绝用户对该端口的操作，““Duration

of

Rule”选择可以设置规则的持续时间。如果要防范某台主机的139端口攻击，可以在“Name”文本框中任意输入规则的名称，“IP”文本框中输入该用户的IP地址，去掉“AllPort”的勾选，在“Port”文本框中输入“139”，“Type”选择“TCP”，“Mode”中选择“Reject”，并选择规则持续时间后，点击“OK”按钮。这样就添加了一条防范规则。实践操作

返回下页上页4.利用BlackICE进行入侵检测和防范对多台主机的防范需要添加多条规则。 如果需要添加某个端口，开启相应的服务，也可以采用类似的方法。⑶拒绝某台主机的所有访问：如果需要对某台主机的所有访问操作均进行拒绝，可以打开高级防火墙对话框，单击“Add”按钮，在“IP”一栏填入这台主机的IP地址，选择“Type”为“IP”，将“Mode”选为“Reject”，“Duration

of

Rule”选为“Forever”，此时该IP地址被永远屏蔽了。实践操作

返回下页上页问题探究

问题探究DoS攻击是目前非常常见的黑客攻击手段，它采用一对一的攻击形式，如图所示。返回下页上页DoS攻击可以划分为三种类型：带宽攻击协议攻击逻辑攻击问题探究

问题探究带宽攻击是早期比较常见的DoS攻击形式。这种攻击行为通过发送一定数量的请求，使网络服务器中充斥了大量要求回复的信息，消耗网络带宽和系统资源，导致网络或系统不胜负荷以至于瘫痪，停止正常的网络服务。这种攻击是在比谁的机器性能好、速度快。不过现在的科技飞速发展，一般主机的处理能力、内存大小和网络速度都有了飞速的发展，有的网络带宽甚至超过了千兆级别，因此这种攻击形式就没有什么作用了。举个例子，假如攻击者的主机每秒能够发送10个攻击用的数据包，而被攻击的主机(性能、网络带宽都是顶级的)每秒能够接收并处理100个攻击数据包，这样的话，这种攻击就什么用处都没有了，而且由于攻击者发动这样的攻击时，主机CPU的占用率会达到90%以上，如果该机器配置不够高的话，很有可能出现死机的情况。返回下页上页问题探究

问题探究协议攻击是目前越来越流行的DoS攻击形式，这种攻击需要更多的技巧。攻击者通过对目标主机特定漏洞的利用进行攻击，导致网络失效、系统崩溃、主机死机而无法提供正常的网络服务功能。逻辑攻击是一种最高级的攻击形式，这种攻击包含了对组网技术的深入理解。攻击者发送具有相同源IP地址和目的IP地址的伪造数据包，很多系统不能够处理这种引起混乱的行为，从而导致崩溃。尽管发自单台主机的DoS攻击通常就能够发挥作用，但如果有多台主机参与攻击，效率自然就会更高。这种攻击方式称为分布式拒绝服务（DDoS，DistributedDenialofService）攻击。一般来说，DDoS攻击不是由很多黑客一起参与实施，而是由一名黑客来操作。返回下页上页问题探究

问题探究这名黑客先是探测扫描大量主机以找到可以入侵的脆弱主机，入侵这些有安全漏洞的主机并获取控制权（这些被控制的主机称为“肉鸡”），在每台被入侵的主机上安装攻击程序，这个过程完全是自动化的，在短时间内即可入返回下页上页侵数千台主机，在控制了足够多的主机之后，从中选择一台作为管理机，安装攻击主程序。黑客控制该管理机指挥所有“肉鸡”对目标发起攻击，造成目标机瘫痪。如图所示。问题探究

问题探究在刚才带宽攻击的例子中，一台主机每秒能发送10个攻击数据包，被攻击的主机每秒能够接收并处理100个攻击数据包，这样的攻击肯定不会起作用，而如果使用10台甚至更多的主机来对被攻击的主机同时进行攻击的话，其结果就不言而喻了。分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，DDoS攻击又被称为“洪水式攻击”，本单元介绍的UDPFlood攻击就属于这种攻击形式。返回下页上页知识拓展

知识拓展除了已经介绍的UDPFlood之外，常见的DDOS攻击还有SYNFlood、ICMPFlood、TCPFlood、ScriptFlood、ProxyFlood等，其中黑客经常使用的是SYNFlood。SYN-Flood攻击是利用了大多数主机使用TCP三次握手机制中的漏洞实施攻击的。在客户端与服务器建立连接时需要进行TCP的“三次握手”，如图所示。返回下页上页知识拓展

知识拓展第一步：客户端发送一个带SYN位的请求包，向服务器表示需要连接；第二步：服务器接收到这样的请求包后，如果确认接受请求，则向客户端发送回应包，表示服务器连接已经准备好，并等待客户端的确认。第三步：客户端发送确认建立连接的信息，此时客户端与服务器的连接建立起来。如果不完成TCP三次握手中的第三步，也就是不发送确认连接的信息给服务器。这样，服务器无法完成第三次握手，但服务器不会立即放弃，而是不停地重试并等待一定的时间后才放弃这个未完成的连接，这段时间叫做SYNtimeout，这段时间大约30秒至2分钟左右。返回下页上页知识拓展

知识拓展如果一个用户在连接时出现问题导致服务器的一个线程等待1-2分钟并不是什么大不了的问题，但是如果有人用特殊的软件大量模拟这种情况，那后果就可想而知了。一个服务器若是处理这些大量的半连接信息而消耗大量的系统资源和网络带宽，就没有空余资源去处理普通用户的正常请求，致使服务器无法工作。返回