網(wǎng)絡(luò)攻防實(shí)驗(yàn)六-DDOS

1、一. 實(shí)驗(yàn)?zāi)康亩? 實(shí)驗(yàn)原理三. 實(shí)驗(yàn)環(huán)境四. 實(shí)驗(yàn)內(nèi)容五. 實(shí)驗(yàn)報(bào)告要求一. 實(shí)驗(yàn)?zāi)康?通過本實(shí)驗(yàn)對(duì)DoS/DDoS攻擊的深入介紹和實(shí)驗(yàn)操作，了解DoS/DDoS攻擊的原理和危害，并且具體掌握利用TCP、UDP、ICMP等協(xié)議的DoS/DDoS攻擊原理。了解針對(duì)DoS/DDoS攻擊的防范措施和手段。二. 實(shí)驗(yàn)原理拒絕服務(wù)攻擊是一種很有效的攻擊技術(shù)，通過協(xié)議的安全缺陷或者系統(tǒng)安全漏洞，對(duì)目標(biāo)主機(jī)進(jìn)行網(wǎng)絡(luò)攻擊，最終使其資源耗盡而無法響應(yīng)正常的服務(wù)請(qǐng)求，即對(duì)外表現(xiàn)為拒絕提供服務(wù)。 二. 實(shí)驗(yàn)原理1 DoS攻擊DoS是拒絕服務(wù)（Denial of Service）的簡稱。這種攻擊行為的攻擊對(duì)象是目標(biāo)

2、主機(jī)，目的就是使目標(biāo)主機(jī)的資源耗盡使其無法提供正常對(duì)外服務(wù)。 二. 實(shí)驗(yàn)原理 DoS攻擊通過兩種方式實(shí)現(xiàn) 一種方式是利用目標(biāo)主機(jī)存在的網(wǎng)絡(luò)協(xié)議或者操作系統(tǒng)漏洞 另一種方式就是發(fā)送大量的數(shù)據(jù)包，耗盡目標(biāo)主機(jī)的網(wǎng)絡(luò)和系統(tǒng)資源 二. 實(shí)驗(yàn)原理 DoS攻擊按照攻擊所使用的網(wǎng)絡(luò)協(xié)議來劃分，主要分為以下幾類的攻擊方式： 1）IP層協(xié)議ICMP和IGMP洪水攻擊、smurf攻擊 2）TCP協(xié)議 TCP協(xié)議本身就具有一定的安全缺陷，TCP的三次握手過程就存在缺陷。SYN-Flood攻擊和Land攻擊就是利用握手過程，來完成拒絕服務(wù)攻擊的。二. 實(shí)驗(yàn)原理SYN-Flood攻擊 SYN-Flood攻擊的第一步，是

3、由攻擊者向目標(biāo)主機(jī)發(fā)出第一次SYN握手請(qǐng)求數(shù)據(jù)包，但攻擊者偽造了此數(shù)據(jù)包的源IP為不存在或者網(wǎng)絡(luò)不可達(dá)的一個(gè)IP。 目標(biāo)主機(jī)收到第一次握手的SYN請(qǐng)求后，會(huì)自動(dòng)向客戶端回復(fù)SYN+ACK的第二次握手，并等待第三次握手返回的響應(yīng)數(shù)據(jù)包。 因?yàn)楣粽邆卧斓脑碔P不存在或者網(wǎng)絡(luò)不可達(dá)，所以肯定沒有第三次握手的響應(yīng)數(shù)據(jù)包，目標(biāo)主機(jī)此時(shí)就要“傻”等一段時(shí)間之后才丟棄這個(gè)未完成的連接，而等待的系統(tǒng)進(jìn)程或者線程要占用一定的CPU資源和內(nèi)存資源。 當(dāng)攻擊者發(fā)出大量偽造的SYN數(shù)據(jù)包時(shí)，目標(biāo)主機(jī)將自動(dòng)回應(yīng)大量的第二次握手的數(shù)據(jù)包，形成大量“半開連接”，消耗非常多的系統(tǒng)資源直至資源耗盡，從而導(dǎo)致對(duì)正常用戶的“服務(wù)

4、請(qǐng)求無法響應(yīng)”。 二. 實(shí)驗(yàn)原理 3）UDP協(xié)議 針對(duì)采用UDP協(xié)議的應(yīng)用服務(wù)器，也可以偽造大量UDP請(qǐng)求數(shù)據(jù)包，請(qǐng)求服務(wù)器提供服務(wù)從而耗盡服務(wù)器的資源。 例如針對(duì)DNS服務(wù)器的UDP洪水攻擊，就是生成大量需要解析的域名，并偽造目標(biāo)端口為53端口的UDP數(shù)據(jù)包，發(fā)給DNS服務(wù)器要求進(jìn)行域名解析耗盡DNS服務(wù)器的資源 二. 實(shí)驗(yàn)原理 4）應(yīng)用層協(xié)議攻擊 通過發(fā)送大量應(yīng)用層的請(qǐng)求數(shù)據(jù)包，耗盡應(yīng)用服務(wù)器的資源也能造成拒絕服務(wù)的效果。 例如利用代理服務(wù)器對(duì)web服務(wù)器發(fā)起大量的 HTTP Get請(qǐng)求，如果目標(biāo)服務(wù)器是動(dòng)態(tài)web服務(wù)器，大量的HTTP Get請(qǐng)求主要是請(qǐng)求查詢動(dòng)態(tài)頁面，這些請(qǐng)求會(huì)給后臺(tái)的

5、數(shù)據(jù)庫服務(wù)器造成極大負(fù)載直至無法正常響應(yīng)，從而使正常用戶的訪問也無法進(jìn)行了。二. 實(shí)驗(yàn)原理 2 DDoS攻擊 DDoS是分布式拒絕服務(wù)（Distribute DoS）攻擊的簡稱。 攻擊者可將其控制的分布于各地的大量計(jì)算機(jī)統(tǒng)一協(xié)調(diào)起來，向目標(biāo)計(jì)算機(jī)發(fā)起DoS攻擊。 二. 實(shí)驗(yàn)原理二. 實(shí)驗(yàn)原理 2 DDoS攻擊 DDoS攻擊由攻擊者、主控端（master）、代理端（zombie）3部分組成。 攻擊者是整個(gè)DDoS攻擊的發(fā)起源頭，它在攻擊之前已經(jīng)取得了多臺(tái)主控端主機(jī)的控制權(quán)，主控端主機(jī)分別控制著代理端主機(jī)。 二. 實(shí)驗(yàn)原理 3 DoS/DDoS攻擊的防御措施 有效防范DoS/DDoS攻擊的關(guān)鍵主要

6、是識(shí)別出異常的攻擊數(shù)據(jù)包并過濾掉。 1）靜態(tài)和動(dòng)態(tài)的DDoS過濾器 2）反欺騙技術(shù) 3）異常識(shí)別 4）協(xié)議分析 5）速率限制 二. 實(shí)驗(yàn)原理 3 DoS/DDoS攻擊的防御措施 對(duì)于一般用戶可以通過下面的技術(shù)手段進(jìn)行綜合防范： 1）增強(qiáng)系統(tǒng)的安全性 2）利用防火墻、路由器等網(wǎng)絡(luò)和網(wǎng)絡(luò)安全設(shè)備加固網(wǎng)絡(luò)的安全性，關(guān)閉服務(wù)器的非開放服務(wù)端口 3）配置專門防范DoS/DDoS攻擊的DDoS防火墻 4）強(qiáng)化路由器等網(wǎng)絡(luò)設(shè)備的訪問控制 5）加強(qiáng)與ISP的合作，當(dāng)發(fā)現(xiàn)攻擊現(xiàn)象時(shí)，與ISP協(xié)商實(shí)施嚴(yán)格的路由訪問控制策略，以保護(hù)帶寬資源和內(nèi)部網(wǎng)絡(luò)。三. 實(shí)驗(yàn)環(huán)境 多臺(tái)運(yùn)行windows 2000/XP/2003

7、操作系統(tǒng)的計(jì)算機(jī)，通過網(wǎng)絡(luò)連接。 四. 實(shí)驗(yàn)內(nèi)容 1 SYN-Flood攻擊 四. 實(shí)驗(yàn)內(nèi)容 1 SYN-Flood攻擊 四. 實(shí)驗(yàn)內(nèi)容 1 SYN-Flood攻擊 四. 實(shí)驗(yàn)內(nèi)容 2 UDP-Flood攻擊 四. 實(shí)驗(yàn)內(nèi)容 2 UDP-Flood攻擊 四. 實(shí)驗(yàn)內(nèi)容 3 DDoS攻擊 四. 實(shí)驗(yàn)內(nèi)容 4 DDoS防火墻對(duì)DDoS攻擊的防范 有條件的機(jī)構(gòu)可以通過部署專用DDoS防火墻防范DoS/DDoS攻擊。在被攻擊的應(yīng)用服務(wù)器前串聯(lián)接入DDoS防火墻，或者在內(nèi)外網(wǎng)之間串聯(lián)接入DDoS防火墻，可以實(shí)現(xiàn)對(duì)DDoS攻擊的有效防范，保障應(yīng)用服務(wù)器和內(nèi)網(wǎng)計(jì)算機(jī)的安全。 1）使用一臺(tái)裝有Super DDoS的主機(jī)對(duì)另一臺(tái)主機(jī)進(jìn)行DDoS攻擊，事先要通過掃描軟件獲取該目標(biāo)主機(jī)的端口開放情況。攻擊前，兩臺(tái)主機(jī)同時(shí)打開任務(wù)管理器查看性能變化，同時(shí)啟動(dòng)Sniffer進(jìn)行抓包，通過分析兩者性能和數(shù)