“拒绝服务攻击”技术研究与及实现课程设计

一、实验目的
1.SYN洪水攻击
2.ICMP洪水攻击
二、实验内容与步骤
（1）SYN洪水攻击
对目标主机实施SYN洪水攻击的命令：nmap -v –sS -T5 靶机IP地址
（2）ICMP洪水攻击
启用实验平台ICMP洪水攻击工具
三、实验小结
SYN洪水攻击和ICMP洪水攻击尽管都能实现洪水攻击，但是二者的原理不同
1.SYN洪水攻击原理
在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发送SYN+ACK应答报文后是无法收到客户端的ACK报文的，即第三次握手无法完成，成为半连接状态。

这种情况下服务器端一般会新开一个等待线程来负责等待一段时间（SYN Timeout），而服务器里面用来存放等待线程的堆栈一般不会很大。

因此黑客可以大量模拟这种情况，使服务器忙于处理这种半连接状态，最终等待堆栈溢出
2.ICMP洪水攻击原理
a..直接Flood
源IP就是黑客自己的IP，回应ICMP发回到黑客自己
b.伪造IP的Flood
伪造源IP
c.Smurf
结合IP地址欺骗和ICMP回复的方法，使大量回应报文发向攻击目标主机，引起攻击目标系统瘫痪。

网络攻防技术——拒绝服务攻击（DOS）课程名称：网络攻防技术论文题目：拒绝服务攻击（DOS）目录一、拒绝服务攻击的原理 (1)1.1拒接服务（DoS）攻击 (1)1.2分布式拒接服务（DDoS）攻击 (1)1.3 DDOS网络 (1)1.4拒绝服务攻击的分类 (2)1.5 拒绝服务攻击的现象 (2)二、DDOS攻击的步骤 (2)2.1 获取目标信息 (2)2.2 占领傀儡机和控制台 (5)2.3 实施攻击 (5)三、拒绝服务攻击实例 (5)3.1 SYN Flood攻击 (5)3.2 TCP连接耗尽攻击 (6)3.3 独裁者Autocrat攻击工具的使用（基于课本实验） (7)3.3.1 Server端 (7)3.3.2 Client端 (7)3.4 独裁者攻击器的使用步骤 (8)3.4.1 添加主机 (8)3.4.2 检查Server状态 (9)3.4.3 清理无效主机 (9)3.4.4 检查文件 (11)3.4.5 攻击 (11)3.4.6 停止攻击： (14)3.5 手工命令 (14)3.6 HTTP控制 (14)四、拒绝服务攻击的防御 (20)4.1、拒绝服务攻击的终端防御 (20)4.1.1增强容忍性 (20)4.1.2、提高主机系统或网络安全性 (20)4.1.3、入口过滤 (21)4.2、拒绝服务攻击的源端防御 (21)4.3、拒绝服务攻击的中端防御 (21)4.4、傀儡网络与傀儡程序的检测与控制 (21)五、拒绝服务攻击的检测 (21)5.1、主机异常现象检测 (21)5.2、伪造数据包的检测 (23)5.3、SYN风暴检测 (23)六、参考文献 (23)拒绝服务攻击一、拒绝服务攻击的原理1.1拒接服务（DoS）攻击拒接服务攻击（Denial of Service Attack）是指终端或者完全拒绝对合法用户、网络、系统和其他资源的服务的攻击方法，其意图就是彻底破坏，这也是比较容易实现的攻击方法。

华北电力大学
实验报告|
|
实验名称拒绝服务攻击实验
课程名称网络攻击与防范
|
|
专业班级：网络学生姓名：
学号：成绩：
指导教师：曹锦纲实验日期：
3、此时打开百度页面，可以看到能抓到所有发给PC2的ip数据包。

4、在PC1上打开XDos.exe，命令的格式为：xdos <目标主机IP> 端口号 -t 线程数 [-s <插入随机IP>]。

输入命令：xdos 192.168.137.3 80 -t 200 -s*，回车即可攻击，192.168.137.3是PC2的IP地址。

5、在PC2中可以看到大量伪造IP地址的主机请求与PC2的电脑建立连接。

且能通过捕捉到的数据包看到都是只请求不应答，以至于PC2保持有大量的半开连接。

6、停止攻击后，PC2不再接收到数据包。

五、拒绝式服务防范
几乎所有的主机平台都有抵御DoS的设置，常见的有以下几种：
（1）关闭不必要的服务。

（2）限制同时打开的Syn半连接数目。

（3）缩短Syn半连接的time out时间。

（4）及时更新系统补丁.
六、实验心得与体会。

信息安全——拒绝服务式攻击班级：９班姓名：周杰学号：53080907一.实验设计1.使用sniffer 工具网络监听。

2.使用sniffer 工具对监听到得网络数据进行分析3.进行拒绝服务攻击4.使用sniffer 软件监视网络状态 二.实验步骤步骤1 用sniffer 抓icmp 和IP 包1．设置过滤器，在地址中设置捕获IP 数据，（注意，位置1处必须填本机的IP 地址），在高级中选择IP 协议里面的ICMP 协议，如图所示：图1图 22．使用ping 命令时进行捕获：选择“捕获开始”按钮→运行ping 命令，ping 任意主机→当“捕获停止并查看”按钮变成黑色时，点击它位置1图3在弹出的对话框中点击“解码系统”就可以看到捕获的数据了图4将捕获到的图粘帖在下方抓包分析如图：图 5图 6步骤2 使用Sniffer 软件监视网络的状态1．在被攻击的主机上打开Sniffer Pro ，选择Monitor/Matrix 命令，打开Traffic Map 视图，可以查看任意主机发给被攻击主机的IP 数据包。

图7 将打开的Traffic Map视图粘帖在下方：2.查看当前的报文统计，打开Dashbord面板统计平均数据或总和为统计图选择统计指标图8步骤3使用HGod拒绝服务攻击软件注意：部分杀毒软件可把此程序当成病毒杀掉，所以在使用时可能需要关闭杀毒软件将该软件直接解压到磁盘根目录下，如D:运行“开始”→“运行”，输入“cmd”，打开cmd命令行对话窗口输入“cd\”直接退到磁盘根目录下，进入D盘盘符，如图所示图9运行HGod拒绝服务攻击工具对某台主机进行攻击图10<Target>为要攻击的目标,可以是计算机名,域名或者IP地址.<StartPort> 为要攻击的目标端口. IGMP/ICMP攻击模式可以随便设置一个端口如果是SYN Flood可以支持多端口同时攻击.如SYN Flood攻击20-80的端口,则设为20-80如SYN Flood攻击21,23,80端口,则设为21,23,80. 端口总数不能多于100个.[Option] 为攻击参数选项.各参数如下:-a:AttackTime 为攻击时间选项,为0-14400分钟, 设0为一直攻击, 默认为0.如果要攻击1个小时, 请设为-a:60如果要攻击1天, 请设为-a:1440最大设为10天.大于10天,请不要设置.-b:Packsize 为攻击时发送的数据包大小, 为1-65400比特. (SYN Flood 不用设置包大小.)如果定制数据包的大小为10000, 请设为 -b:10000-d:Delay 为发送数据包之间的延时, 为0-1000ms. 默认为10ms. (SYN Flood 不用设置延时.)如果定制延时为1ms, 请设为-b:1-l:Speed 网络连接速度选择, 为1-200M, 只为SYN Flood攻击参数. 如果你的网速小于10M, 必须设置.如果你的网速为<1M, 请设为 -l:1如果你的网速为<2M, 请设为 -l:2类推, 程序自动设置最佳攻击方式.-m:Mode 使用的攻击种类, 为SYN/UDP/ICMP/IGMP, 默认为SYN.如果你要使用IGMP炸弹攻击, 请使用-m:igmp-n:Num 设置源IP变化的范围, 可以设为1-65535. 只为SYN Flood攻击参数.如果你想源IP变化的范围为一个c段, 请使用 -n:255 -p:SourcePort设置攻击时的源端口, 默认为不用设置, 程序自动产生随机源端口并封装. ICMP/IGMP不用设置.如果你设端口为80, 请使用-p:80 -s:SourceIP 设置攻击时的源IP地址, 默认为不用设置, 程序自动产生随机IP并封装, IGMP不用设置.如果设源IP为192.168.0.1, 请使用-s:192.168.0.1ICMP攻击模式中, 你可以设攻击IP为源IP, 把目标IP设为一个广播地址. 这样可以让源IP收到多倍的数据包.-t:Thread 攻击时使用的线程数, 为1-100, 默认为10个线程.如果要设为使用1个线程进行攻击, 请使用 -t:1按照用法对某台主机进行攻击,比如输入：hgod 192.168.0.1 80hgod 192.168.0.1 21,23,80 -t:20 -l:10 -s:192.168.0.1 -n:65535hgod 192.168.0.255 4000 -m:icmp -t:20 -d:1 -s:192.168.0.1hgod 192.168.0.1 4000 -m:igmp -d:1 -a:1000步骤4 在被攻击主机上使用Sniffer查看计算机的处理速度三.参考文献：［1］李德全著，拒绝服务攻击，电子工业出版社，第一版。

任务一UDP Flood攻击练习UDP Flood是一种采用UDP-Flood 攻击方式的DoS软件，它可以向特定的IP地址和端口发送UDP包。

在IP／hostname和port窗口中指定目标主机的IP地址和端口号，Max duration设定最长的攻击时间，在speed 窗口中可以设置UDP包发送的速度，在data框中，定义UDP数据包包含的内容，缺省情况下为UDP Flood.Server stress test的text文本内容。

单击Go按钮即可对目标主机发起UDP-Flood攻击。

如下图所示。

在被攻击主机中可以查看收到的UDP数据包，这需要事先对系统监视器进行配置。

打开“控制面板→管理工具→性能”，首先在系统监视器中单击右侧图文框上面的“＋”按纽或单击鼠标右键，弹出“添加计数器”对话框。

在这个窗口中添加对UDP数据包的监视，在“性能对象”框中选择UDP协议，在“从列表选择计数器”中，选择“Datagram Received/Sec”即对收到的UDP数据包进行计数，然后配置好包村计数器信息的日志文件。

如下图所示。

当入侵者发起UDP Flood攻击时，就可以通过系统监视器查看系统检测到的UDP数据包信息了。

实验结果如下图所示在被攻击主机上打开Sniffer工具，可以捕获由攻击者计算机发到本地计算机的UDP数据包，可以看到内容为UDP Flood.Server stress test的大量UDP数据包，如下图所示任务二CC攻击练习CC主要是用来攻击页面的。

对于论坛，访问的人越多，论坛的页面越多，数据库就越大，被访问的频率也越高，占用的系统资源也就相当可观。

CC就是充分利用这个特点，模拟多个用户(多少线程就是多少用户)不停的进行访问(访问那些需要大量数据操作，就是需要大量CPU时间的页面)。

代理可以有效地隐藏身份，也可以绕开所有的防火墙，因为几乎所有的防火墙都会检测并发的TCP/IP连接数目，超过一定数目一定频率就会被认为是Connection-Flood。

实验报告课程名称：网络安全维护与管理实验项目名称：拒绝服务攻击与防范学生姓名：专业：计算机网络技术学号：同组学生姓名：实验地点：实验日期：2012 年10 月9 日一、实验目的及要求了解黑客攻击的手段及步骤，掌握拒绝服务攻击的防范方法二、实验的内容及原理应用xdos模拟拒绝服务攻击，通过Sniffer监视网络的状态、数据流动情况并辨析攻击前后的数据变化情况，并进行适当的防御。

三、实验的环境1、网络环境：校园局域网中实训用计算机，计算机配置为……2、软件：VMware 5.3 及Windows Server 2003的虚拟机；3、Sniffer的安装软件。

4、IP为192.168.10.13进行攻击IP为192.168.10.18的计算机。

四、实验方法和步骤1、打开虚拟机，配置网络为192.168.18.13 ，计算机名为zss。

网络为192.168.18.18的计算机名为km.2、在计算机名为km的计算机上安装Sniffer软件。

（1）打开安装软件。

如图1图1（2）单击下一步。

如图2图2（3）依次选择下一步，到是否同意协议时选择是。

如图3图3（4）填写名字和公司，可随意填写。

如图4图4（5）选择安装路径，单击下一步。

如图5图5（6）软件进行安装。

如图6图6（7）填写名称、地址等，可随意填写。

如图7、图8、图9图7图8图9（8）选中NOT.....复选框，单击下一步。

如图10图10（9）单击完成按钮。

如图11图11（10）单击确定按钮。

如图12图12（11）单击完成按钮完成Sniffer软件的安装。

如图13图133、用计算机名为ZSS的计算机ping IP192.168.18.18可以ping通。

如图14图144、用计算机名为km的Sniffer软件对计算机进行检测，发现CPU的占用很少。

如图15图155、用IP为192.168.18.13的计算机向IP为192.168.18.18的计算机发送大量的数据包，进行攻击。