洪水攻击

设计报告课程计算机网络 _ 设计名称 ICMP洪水攻击 _专业班级 ___同组人姓名 __ _ 同组人学号 _实验日期 2013年4月8日—2013年4月12日指导教师成绩2013 年 4 月 8 日一、设计目的和要求实验目的本次实验主要是利用原始套接字伪装IP地址来实现ICMP洪水攻击.让被攻击的主机接收到大量的ICMP包，造成被攻击的主机负载，从而达到攻击的目的。

实验要求编写程序并使得该程序可以在linux系统中成功运行，进而可以的对被攻击的主机造成影响。

二、设计说明（包括设计分析，系统运行环境，设计中的重点和难点）1.设计分析本实例的ICMP代码是简单的直接方法，建立多个线程向同一个主机发送ICMP 请求，而本地的IP地址是伪装的。

由于程序仅发送响应，不接收响应，容易造成目标主机的宕机。

ICMP Flood是一种在ping基础上形成的，但是用ping程序很少能造成目标机的问题。

这里边最大的问题是提高处理的速度。

伪装IP攻击：在直接攻击的基础上，将发生方的IP地址伪装，将直接IP攻击的缺点进行了改进。

2．系统运行环境虚拟机为：虚拟机Linux 系统3. 设计中的重点和难点:重点：建立多个线程向同一个主机发送ICMP请求，由于程序仅发送响应，不接收响应，造成目标主机的宕机。

难点：随机函数myrandom()，多线程函数DoS_fun()，ICMP头部打包函数DoS_icmp()，线程函数DoS_fun的创建和应用理解。

二、系统详细设计（包括程序流程、主要函数等）程序流程图1、随机函数myrandom随机函数主要为了生成一个不重复的并位于一定数值空间的值。

Srand（）函数用于初始化随即函数产生器，由于random（）函数式伪随机函数，是按照一定规律循环的，与srand（）函数有关，所以每次用不同的值进行初始化，这样产生的随即数就有了真正地随即性。

/*随机函数产生函数*由于系统的函数为伪随机函数*其与初始化有关，因此每次用不同的值进行初始化*/Static inline longmyrandom(int begin ,int end){Int qap=end-begin+1;Int ret=0;Srand((unsigned)time(0));Ret=random(emd)%gap+begin;Renturn ret;}2、多线程函数dos-fun（）本程序也是使用多线程进行协同工作，线程函数为dos-fun(),一直进行syn的链接。

TCP洪⽔攻击（SYNFlood）的诊断和处理SYN Flood是当前最流⾏的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的⽅式之⼀，这是⼀种利⽤TCP协议缺陷，发送⼤量伪造的TCP连接请求，常⽤假冒的IP或IP号段发来海量的请求连接的第⼀个握⼿包（SYN包），被攻击服务器回应第⼆个握⼿包（SYN+ACK 包），因为对⽅是假冒IP，对⽅永远收不到包且不会回应第三个握⼿包。

导致被攻击服务器保持⼤量SYN_RECV状态的“半连接”，并且会重试默认5次回应第⼆个握⼿包，塞满TCP等待连接队列，资源耗尽（CPU满负荷或内存不⾜），让正常的业务请求连接不进来。

详细的原理，⽹上有很多介绍，应对办法也很多，但⼤部分没什么效果，这⾥介绍我们是如何诊断和应对的。

诊断我们看到业务曲线⼤跌时，检查机器和DNS，发现只是对外的web机响应慢、CPU负载⾼、ssh登陆慢甚⾄有些机器登陆不上，检查系统syslog：tail -f /var/log/messagesApr 18 11:21:56 web5 kernel: possible SYN flooding on port 80. Sending cookies.检查连接数增多，并且SYN_RECV 连接特别多：netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'TIME_WAIT 16855CLOSE_WAIT 21SYN_SENT 99FIN_WAIT1 229FIN_WAIT2 113ESTABLISHED 8358SYN_RECV 48965CLOSING 3LAST_ACK 313根据经验，正常时检查连接数如下：netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'TIME_WAIT 42349CLOSE_WAIT 1SYN_SENT 4FIN_WAIT1 298FIN_WAIT2 33ESTABLISHED 12775SYN_RECV 259CLOSING 6LAST_ACK 432以上就是TCP洪⽔攻击的两⼤特征。

应对洪涝灾害的措施有哪些洪涝灾害是指由于降水过多或者河流水位上涨导致的水灾。

这种灾害经常带来严重的人员伤亡、财产损失以及社会影响。

为了应对洪涝灾害，需要采取一系列的措施来预防和应对灾害的发生和影响。

本文将介绍一些常见的应对洪涝灾害的措施。

1.水库和堤坝建设：水库的建设可以有效地调节河流水位，减少洪水的过程和幅度。

堤坝可以加固河岸，防止河流决口，控制洪水的扩散范围。

因此，水库和堤坝的建设是预防洪涝灾害的重要手段。

2.河道疏浚和加固：定期对河道进行疏浚和加固工作，可以提高河道的流量和排水能力，减少洪水造成的影响。

疏浚工作包括清理河床淤泥和浮渣，保持河道畅通。

河道加固可以通过加固河岸和铲除河床上的障碍物来减少洪水的冲刷和决口。

3.监测和预警系统：建立完善的监测和预警系统对于应对洪涝灾害至关重要。

监测系统可以实时监测气象、水文和地质等数据，及时预警洪水的发生和潜在的灾害风险。

预警系统可以通过各种渠道向公众发布预警信息，提醒人们采取必要的防护措施。

4.建立避难所和应急物资储备：洪涝灾害发生后，人们往往需要撤离受灾区域，寻找安全的避难所。

因此，建立足够数量和容量的避难所是非常重要的。

此外，应急物资如饮水、食物、药品、毯子等也需要充足的储备，以便在灾害发生后能够及时提供给受灾人群。

6.教育和宣传：教育和宣传可以提高公众对洪涝灾害的认知和预防意识。

通过开展洪涝灾害防治知识培训和宣传活动，人们可以学习如何正确应对灾害、避免危险行为以及采取适当的自救措施。

7.国际合作：洪涝灾害通常跨越国家界限，对不同国家和地区都带来严重影响。

因此，国际合作也非常重要。

国家可以加强合作，共享经验、技术和资源，共同应对洪涝灾害。

总之，应对洪涝灾害需要综合采取多种措施，在灾前预防和监测、灾中应急救援、灾后恢复和重建等方面做好准备和应对。

这些措施涵盖了从基础设施建设到社会保障、风险管理和国际合作的各个方面。

只有在全社会的共同努力下，才能更好地应对洪涝灾害，减少灾害的损失和影响。

1）数值名称：SynAttackProtect项：Tcpip\Parameters数值类型：REG_DWORD有效范围：0，1默认值：0该注册表值可使传输控制协议（TCP）调整SYN-ACKS的重新传输。

配置该值后，如果出现SYN攻击（拒绝服务攻击的一种），连接响应超时时间将更短。

如果设置为“0”（默认值），则无SYN攻击防护；设置为“1”，则可以更有效地抵御SYN攻击。

将SynAttackProtect设置为1时，如果系统检测到存在SYN攻击，连接响应的超时时间将更短。

Windows使用以下值确定是否存在攻击。

TcpMaxPortsExhaustedνTCPMaxHalfOpenνTCPMaxHalfOpenRetriedν注意：在Windows Server 2003 Service Pack 1中，SynAttackProtect注册表项的默认值为1。

2）数值名称：EnableDeadGWDetect项：Tcpip\Parameters数值类型：REG_DWORD有效范围：0，1（False，True）默认值：1（True）如果将EnableDeadGWDetect设置为“1”，则允许TCP执行失效网关检测。

启用失效网关检测时，如果多个连接出现困难，TCP可能会要求Internet协议（IP）切换到备份网关。

可以在“TCP/IP配置”对话框（“控制面板”中的“网络”工具中）的“高级”部分中定义备份网关。

建议用户将EnableDeadGWDetect值设置为“0”。

如果不将该值设置为“0”，攻击可能会强制服务器切换网关，而切换到的新网关可能并不是用户打算使用的网关。

3）数值名称：EnablePMTUDiscovery项：Tcpip\Parameters数值类型：REG_DWORD有效范围：0，1（False，True）默认值：1（True）如果将EnablePMTUDiscovery设置为“1”，则TCP将尝试发现经由远程主机的路径传输的最大传输单位（MTU）或最大数据包大小。

flooding攻击是指
洪水攻击是一种网络攻击，攻击者向目标系统发送大量的流量或请求，旨在使该系统的资源超负荷并导致其对合法用户不可用。

有几种类型的洪水攻击，包括：
1.网络洪水攻击：这种攻击方式涉及向网络或网络设备（如路由器或防火
墙）发送大量流量，试图使设备容量超负荷并导致其失效。

2.协议洪水攻击：这种攻击方式涉及向目标系统发送大量无效或格式错误
的请求，目的是破坏系统的正常运行。

3.应用程序洪水攻击：这种攻击方式涉及向特定应用程序或服务发送大量
请求，试图使应用程序的资源超负荷并导致其失效。

洪水攻击很难防御，因为它们通常涉及多个不同来源，并且很难追踪。

为了防御洪水攻击，重要的是实施强大的安全措施，如防火墙、入侵检测和预防系统以及负载平衡器，并定期监测网络流量以检测异常模式或流量骤增。

一、什么是ICMP协议？ICMP全称Internet Control Message Protocol（网际控制信息协议）。

提起ICMP，一些人可能会感到陌生，实际上，ICMP与我们息息相关。

在网络体系结构的各层次中，都需要控制，而不同的层次有不同的分工和控制内容，IP层的控制功能是最复杂的，主要负责差错控制、拥塞控制等，任何控制都是建立在信息的基础之上的，在基于IP数据报的网络体系中，网关必须自己处理数据报的传输工作，而IP协议自身没有内在机制来获取差错信息并处理。

为了处理这些错误，TCP/IP设计了ICMP协议，当某个网关发现传输错误时，立即向信源主机发送ICMP报文，报告出错信息，让信源主机采取相应处理措施，它是一种差错和控制报文协议，不仅用于传输差错报文，还传输控制报文。

二、ICMP报文格式ICMP报文包含在IP数据报中，属于IP的一个用户，IP头部就在ICMP报文的前面，所以一个ICMP报文包括IP头部、ICMP头部和ICMP报文（见图表，ICMP报文的结构和几种常见的ICMP报文格式），IP头部的Protocol值为1就说明这是一个ICMP报文，ICMP 头部中的类型（Type）域用于说明ICMP报文的作用及格式，此外还有一个代码（Code）域用于详细说明某种ICMP报文的类型，所有数据都在ICMP头部后面。

RFC定义了13种ICMP 报文格式，具体如下：类型代码类型描述0 响应应答（ECHO-REPL Y）3 不可到达4 源抑制5 重定向8 响应请求（ECHO-REQUEST）11 超时12 参数失灵13 时间戳请求14 时间戳应答15 信息请求（*已作废）16 信息应答（*已作废）17 地址掩码请求18 地址掩码应答其中代码为15、16的信息报文已经作废。

下面是几种常见的ICMP报文：1.响应请求我们日常使用最多的ping，就是响应请求（Type=8）和应答（Type=0），一台主机向一个节点发送一个Type=8的ICMP报文，如果途中没有异常（例如被路由器丢弃、目标不回应ICMP或传输失败），则目标返回Type=0的ICMP报文，说明这台主机存在，更详细的tracert 通过计算ICMP报文通过的节点来确定主机与目标之间的网络距离。