实验四:DoSDDoS攻击与防范
DDOS攻击及预防措施
DDOS攻击及预防措施DDOS(分布式拒绝服务)攻击是一种利用大量的计算机或设备向目标服务器发送大量请求,使其系统过载而无法正常运行的攻击手段。
这种攻击可以对个人用户、企业以及政府机构造成严重影响,因此有必要采取一系列的预防措施来保护网络的安全。
一、DDOS攻击的类型DDOS攻击可以分为以下几种类型:1. SYN Flood攻击:攻击者发送大量SYN请求给目标服务器,占用了服务器资源,从而导致无法正常处理真实用户的请求。
2. ICMP Flood攻击:攻击者发送大量ICMP请求给目标服务器,耗尽服务器的带宽和处理能力,导致系统崩溃或运行缓慢。
3. UDP Flood攻击:攻击者发送大量UDP数据包给目标服务器,占用服务器资源,使其无法正常响应合法用户的请求。
二、DDOS攻击的危害DDOS攻击对受害者造成的危害主要有以下几点:1. 网络服务中断:DDOS攻击会耗尽服务器资源,导致网络服务中断,用户无法正常访问网站或使用相关服务。
2. 数据丢失或泄露:攻击者可能利用DDOS攻击引起系统崩溃或运行缓慢,导致数据丢失或泄露,给用户和企业带来重大损失。
3. 品牌声誉受损:如果一个公司的网络系统经常受到DDOS攻击,会给企业的声誉带来负面影响,降低用户对企业的信任度。
三、DDOS攻击的预防措施为了保护网络的安全,我们可以采取以下预防措施来防范DDOS攻击的发生:1. 优化网络架构:合理规划网络系统架构,保证网络的弹性和可扩展性,从而更好地应对DDOS攻击。
2. 使用防火墙和入侵检测系统:设置防火墙和入侵检测系统,对进入网络的流量进行监控和过滤,及时发现并拦截异常流量。
3. 加强网络设备的安全性:保持网络设备的软件和硬件更新,及时修补漏洞,以减少攻击者利用漏洞进行DDOS攻击的可能性。
4. 流量分析和过滤:对网络流量进行分析,识别异常流量并进行过滤,阻止恶意流量对服务器的影响。
5. 分布式部署和负载均衡:将服务器部署在不同的地理位置,并采用负载均衡技术来分担服务器的负荷,提高系统的稳定性和抗击DDOS攻击的能力。
网络技术实验 网络攻击与防范-防火墙的设置
图一
Байду номын сангаасUDP Flood攻击练习;
UDP是一种无连接的协议,而且它不需要用任何程序建立连接来传输数据,当攻击者随机的向被攻击系统的端口发送UDP数据包的时候,就可能发生了UDP Flood攻击。
DoS攻击通常具有以下现象:
(1)被攻击主机上有大量等待的TCP连接。
(2)网络中充斥着大量的无用数据包,源地址为假。
(3)制造高流量的无用数据,造成网络阻塞。
(4)利用目标主机提供的服务或传输协议上的缺陷,反复、高速发送特定的请求,使目的主机无法及时处理正常的请求。
3.实验步骤/实验截图
Shadow Security Scanner的使用
(6)Ping Sweep
使用ICMP Echo轮询多个主机。
(7)Ping Floot
该攻击在短时间内向目的主机发送大量的Ping包,造成网络阻塞或主机资源耗尽。
(8)UDP Flood
攻击源向目标主机随机端口发送全零的4B UDP包,被攻击主机的网络性能在处理这些超乎其处理能力的垃圾数据包过程中不断下降直至不能提供服务,甚至崩溃。
DoS的攻击类型主要有以下几种:
(1)SYN Flood
SYN Flood攻击又称洪水攻击。该攻击以多个随机的源主机地址向目的主机发送SYN包,而在受到目的主机的SYN ACK后不回应,这样目的主机久违这些源主机建立了大量的连接队列,而且没有收到ACK一直维护这些队列,造成资源的大量消耗而不能提供正常的请求服务。
一般的防火墙都能屏蔽常见的网络攻击,也允许用户自定义规则进行有针对性的防护。
dos与ddos攻击与防范措施大学本科毕业论文
dos与ddos攻击与防范措施⼤学本科毕业论⽂毕业设计(论⽂)题⽬:Dos与DDos攻击与防范措施论⽂题⽬:Dos与DDos攻击与防范措施摘要::通过专业防⽕墙+⼊侵检测系统,建⽴⽹络级的检测和防范屏障。
在企业⽹内部通过加强安全教育,提⾼安全意识,结合简单易⾏的检测⽅法,安装杀毒软件和最新系统补丁,能有效地将DoS和DDoS攻击造成的损失降到最⼩。
关键词::DoS;DDoS;攻击;防范毕业设计(论⽂)原创性声明和使⽤授权说明原创性声明本⼈郑重承诺:所呈交的毕业设计(论⽂),是我个⼈在指导教师的指导下进⾏的研究⼯作及取得的成果。
尽我所知,除⽂中特别加以标注和致谢的地⽅外,不包含其他⼈或组织已经发表或公布过的研究成果,也不包含我为获得及其它教育机构的学位或学历⽽使⽤过的材料。
对本研究提供过帮助和做出过贡献的个⼈或集体,均已在⽂中作了明确的说明并表⽰了谢意。
作者签名:⽇期:指导教师签名:⽇期:使⽤授权说明本⼈完全了解⼤学关于收集、保存、使⽤毕业设计(论⽂)的规定,即:按照学校要求提交毕业设计(论⽂)的印刷本和电⼦版本;学校有权保存毕业设计(论⽂)的印刷本和电⼦版,并提供⽬录检索与阅览服务;学校可以采⽤影印、缩印、数字化或其它复制⼿段保存论⽂;在不以赢利为⽬的前提下,学校可以公布论⽂的部分或全部内容。
作者签名:⽇期:学位论⽂原创性声明本⼈郑重声明:所呈交的论⽂是本⼈在导师的指导下独⽴进⾏研究所取得的研究成果。
除了⽂中特别加以标注引⽤的内容外,本论⽂不包含任何其他个⼈或集体已经发表或撰写的成果作品。
对本⽂的研究做出重要贡献的个⼈和集体,均已在⽂中以明确⽅式标明。
本⼈完全意识到本声明的法律后果由本⼈承担。
作者签名:⽇期:年⽉⽇学位论⽂版权使⽤授权书本学位论⽂作者完全了解学校有关保留、使⽤学位论⽂的规定,同意学校保留并向国家有关部门或机构送交论⽂的复印件和电⼦版,允许论⽂被查阅和借阅。
本⼈授权⼤学可以将本学位论⽂的全部或部分内容编⼊有关数据库进⾏检索,可以采⽤影印、缩印或扫描等复制⼿段保存和汇编本学位论⽂。
计算机安全技术大作业实验报告-DDoS攻击的原理及防范
上海电力学院计算机安全技术大作业题目: DDoS攻击的原理及防范学号:学生姓名:院系:专业:班级:2012 年 5月 28日摘要:DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式,他借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍的提高拒绝服务攻击的威力。
关键字:DDoS攻击,DoS攻击,SYN攻击,Smurf攻击,攻击原理,防御办法,傀儡机引言:DDoS是Distributed Denial of Service的简写,意为分布式拒绝服务攻击,是对DoS(Denial of Service)拒绝服务攻击的发展。
这里,我们先来了解一下什么是DoS。
正文:【DoS攻击简介】DoS攻击的目的是使目标计算机或网络无法提供正常的服务。
最常见的DoS 攻击有计算机网络带宽攻击和连通性攻击。
带宽攻击就是以庞大的通信量冲击网络,使所有可用的网络资源都被耗尽,最后导致合法用户的请求无法通过;类似于一大群人同时冲向一个安全出口,则会造成安全出口的阻塞,导致其他人都无法通过出口。
而连通性攻击是指使用大量的连接请求冲击服务器,使所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求;即服务器忙于处理攻击者的连接请求而无暇理睬合法用户的正常请求,此时从合法用户的角度来看就是服务器失去响应。
Smurf攻击(带宽攻击)Smurf攻击并不直接对目标主机发送服务请求包,攻击者在远程机器上发送ICMP答应请求ping服务,但这个ping命令的目的地址不是某个主机的IP地址,是某个网络的广播地址(即目标IP地址为“FF·FF·FF·FF”),并且这个ping 命令的源地址被伪造成了将要攻击的主机IP地址。
这样,收到广播ping命令后的主机,都会按数据包中所谓的源IP地址返回请求信息,向被攻击的主机发送echo响应包作为回答。
dos与ddos攻击与防范
江西现代职业技术学院毕业设计(论文)题目:Dos与DDos攻击与防范措施姓名钟培林学院信息工程学院专业计算机网络信息技术班级08计网五年指导教师涂晓燕提交时间年月日封面格式说明:1、论文封面中注明:论文题目、指导教师、作者姓名、学院、专业;2、页边距:上3.6cm、下3cm,左侧3cm、右侧2.5cm;3、段落格式:1.5倍行间距;4、纸张大小:A4。
论文题目:Dos与DDos攻击与防范措施姓名:钟培林班级:04计网(2)班指导教师:涂晓燕摘要::通过专业防火墙+入侵检测系统,建立网络级的检测和防范屏障。
在企业网内部通过加强安全教育,提高安全意识,结合简单易行的检测方法,安装杀毒软件和最新系统补丁,能有效地将DoS和DDoS攻击造成的损失降到最小。
关键词::DoS;DDoS;攻击;防范摘要格式说明:1、要求写出设计(论文)名称、作者、班级、指导教师、摘要及关键词,摘要字数限制在300字以内;2、设计(论文)名称除标明处外,均用四号宋体;3、页边距:上3.6cm、下3cm,左侧3cm、右侧2.5cm;4、段落格式:1.5倍行间距;5、纸张大小:A4。
目录一、概述 (1)二、防火墙 (4)(一)包过滤型 (5)1.包过滤型产品 (8)2.包过滤技术的优点 (14)3.※※※※※※ (18)(二)※※※※※※※※※※ (22)1.※※※※※※※※ (24)2.※※※※※※※※※※ (30)3.※※※※※※ (31)(三)※※※※※※※※※※ (33)三、※※※※※※ (36)(一)※※※※※※※※※※ (38)(二)※※※※※※※※※※ (43)四、※※※※※※※ (45)五、结论与体会 (48)参考文献 (50)目录格式说明:1、毕业论文篇幅长的要写出目录,使人一看就可以了解论文的大致内容。
目录要标明页数,以便论文审查者阅读方便;2、除标明处外,均用小四号宋体;3、页边距:上3.6cm、下3cm,左侧3cm、右侧2.5cm;4、段落格式:1.5倍行间距;5、纸张大小:A4。
拒绝服务攻击与防范实验讲解
在被攻击的计算机10.0.27.10中可以查看收到的UDP 数据包,这需要事先对系统监视器进行配置,依次执
行“控制面板”→“管理工具”→“性能”,首先在 系统监视器中单击右侧图文框上面的“+”按钮,弹出 “添加计数器”对话框,如图所示。在这个对话框中
添加对UDP数据包的监视,在“性能对象”组合框中 选择“UDP v4”协议,选择“从列表选择计数器”单 选按钮,并在下面的列表框中选择“Datagrams Received/sec”即对收到的UDP数据包进行计算,配置 并保存在此计数器信息的日志文件。
作业
将三个任务完成的过程和结果用截图的形式放入 Word文件,下课前发送到老师的信箱。
DDoS攻击者1.5软件是一个DDoS攻击工具,程序运行后自动装入 系统,并在以后随系统启动,自动对事先设定好的目标进行攻击。
DDoS攻击者1.5软件分为生成器(DDoSMaker.exe)和DDoS攻 击者程序(DDoSer.exe)两部分。软件在下载安装后是没有DDoS 攻击者程序的,只有生成器DDoSMaker.exe,DDoS攻击者程序要 通过生成器进行生成。生成时可以自定义一些设置,如攻击目标 的域名或IP地址、端口等。DDoS攻击者默认的文件名为 DDoSer.exe,可以在生成时或生成后任意改名。DDoS攻击者程序 类似于木马软件的服务器端程序,程序运行后不会显示任何界面, 看上去好像没有反应,其实它已经将自己复制到系统中,并且会 在每次开机时自动运行,此时可以将复制过去的安装程序删除。 它运行时唯一会做的工作就是源源不断地对事先设定好的目标进 行攻击。DDoSer使用的攻击手段是SYN Flood方式。
DoS、DDoS攻击防护
DoS/DDoS攻击防护拒绝服务(Denial of Service,DoS)攻击带来的最大危害是服务不可达而导致业务丢失,而且,这样的危害带来的影响,在攻击结束后的很长一段时间内都无法消弥。
最近流行的分布式拒绝服务(Distributed Denial of Service,DDoS)攻击使得企业和组织在已经很沉重的成本负担上雪上加霜。
什么是DoS攻击?DoS攻击是一种基于网络的、阻止用户正常访问网络服务的攻击。
DoS攻击采用发起大量网络连接,使服务器或运行在服务器上的程序崩溃、耗尽服务器资源或以其它方式阻止客户访问网络服务,从而使网络服务无法正常运作甚至关闭。
DoS攻击可以是小至对服务器的单一数据包攻击,也可以是利用多台主机联合对被攻击服务器发起洪水般的数据包攻击。
在单一数据包攻击中,攻击者精心构建一个利用操作系统或应用程序漏洞的攻击包,通过网络把攻击性数据包送入被攻击服务器,以实现关闭服务器或者关闭服务器上的一些服务。
DDoS由DoS攻击演变而来,这种攻击是黑客利用在已经侵入并已控制(可能是数百,甚至成千上万台)的机器上安装DoS服务程序,这些被控制机器即是所谓的“傀儡计算机”(zombie)。
它们等待来自中央攻击控制中心的命令。
中央攻击控制中心在适时启动全体受控主机的DoS服务进程,让它们对一个特定目标发送尽可能多的网络访问请求,形成一股DoS洪流冲击目标系统,猛烈的DoS攻击同一个网站。
H3C IPS的解决方案为应对愈来愈猖獗的DoS和DDoS攻击,H3C研发了一整套防护机制来对付攻击者所使用的各种手法。
H3C的工作在线内(in-line)方式的系列入侵防御系统(Intrusion Prevention System,IPS),检查经过的进出流量中每个比特并过滤掉不想要的流量,在线保护与之连接的网络和主机。
H3C防护可分为两类:标准DoS防护和高级DDoS防护。
标准DoS防护为针对漏洞、攻击工具及异常流量提供基础的防护。
如何识别和避免网络DoS和DDoS攻击
如何识别和避免网络DoS和DDoS攻击网络DoS(拒绝服务)和DDoS(分布式拒绝服务)攻击是当今网络安全面临的主要挑战之一。
这些攻击可以导致服务器和网络资源过载,使得合法用户无法访问网站或服务。
本文将为您介绍如何识别和避免网络DoS和DDoS攻击,以帮助您保护自己和组织的网络安全。
一、识别网络DoS和DDoS攻击迹象在防范网络DoS和DDoS攻击之前,首先需要学会识别攻击的迹象。
以下是一些常见的迹象:1. 网络带宽异常:如果网络带宽突然饱和或网络流量异常增加,可能是遭受了DoS或DDoS攻击。
2. 服务不可用:如果您的网站或网络服务突然无法访问,或者用户遇到频繁的连接超时错误,可能是遭受了攻击。
3. 网络连接过多:如果网络日志显示大量未知的IP地址尝试与您的服务器建立连接,可能是遭受了DDoS攻击。
4. 异常网页响应时间:如果您的网页响应时间明显延迟,用户无法正常加载页面,可能是遭受了攻击。
5. 异常行为:如果您的网络设备或服务器出现奇怪的行为,如系统崩溃、服务异常停止,可能是遭受了攻击。
二、避免网络DoS和DDoS攻击的方法一旦发现网络DoS和DDoS攻击的迹象,下面是一些方法来帮助您保护自己和组织的网络安全:1. 硬件设备的保护:使用防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)等硬件设备保护您的网络资源和服务器,阻止异常流量进入。
2. 更新和优化网络设备:保持网络设备的操作系统和应用程序更新,关闭不必要的服务和端口,以减少被攻击的风险。
3. 限制连接数量:配置网络设备以限制每个IP地址或用户的最大连接数,以避免过多的连接导致服务器资源耗尽。
4. 负载均衡:通过负载均衡技术将流量分散到多个服务器上,以避免单个服务器过载。
5. 使用反向代理:将反向代理服务器放置在公网和内部网络之间,以过滤恶意流量和减缓攻击。
6. 监控和日志记录:定期监控网络流量和日志,及时发现异常行为,并追踪攻击者的IP地址以进一步采取措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验四:DoS/DDoS攻击与防范一、实验目的通过本实验对DoS/DDoS攻击的深入介绍和实验操作,了解DoS/DDoS攻击的原理和危害,并且具体掌握利用TCP、UDP、ICMP等协议的DoS/DDoS攻击原理。
了解针对DoS/DDoS攻击的防范措施和手段。
实验具体目的如下:1.了解SYN-FLOOD攻击的原理、特点2.了解UDP-FLOOD攻击的原理、特点3.了解DDoS攻击的原理、特点4.了解针对DoS/DDoS攻击的防御手段二、实验准备1.要求实验室内网络是连通的,组内每台计算机均可以访问另外一台计算机。
2.下载相关工具和软件包3.在计算机中安装相应的软件。
三、实验涉及到的相关软件下载:a.wireshark:这是一款网络封包分析软件,撷取网络封包,并尽可能显示出最为详细的网络封包资料。
b.SuperDDoS:这是一款简单的SYN攻击器,能对设定好的目标发送大量非法的SYN数据包。
c.UDPFLOOD:这是一款功能较为完善的UDP攻击器,可以设置攻击时间、攻击速度等,攻击方式是向目标机发送大量UDP数据包。
d.独裁者DDoS:这是一款功能齐全的DDoS攻击器,除了能够联合肉鸡发动攻击,还具有控制攻击时间,启动信使服务等众多功能,并且有四种攻击方式可供选择。
e.Tomcat:这是一款功能较为常用的服务器f.java_jdk:这是java运行环境,运行tomcat服务器必须安装jdk。
四、实验原理1、DoS攻击:DoS是Denial of Service的简称,即拒绝服务,目的是使计算机或网络无法提供正常的服务。
其攻击方式众多,常见的有SYN-FLOOD,UDP-FLOOD。
2、A.SYN-FLOOD攻击:标准的TCP连接要经过三次握手的过程,首先客户端向服务器发送一个SYN消息,服务器收到SYN后,会向客户端返回一个SYN-ACK消息表示确认,当客户端受到SYN-ACK 后,再向服务器发送一个ACK消息,这样就建立了一次TCP连接。
SYN-FLOOD则是利用TCP协议实现上的一个缺陷,SYN-FLOOD攻击器向服务器发送洪水一样大量的请求,当服务器受到SYN消息后,回送一个SYN-ACK消息,但是由于客户端SYN-FLOOD攻击器采用源地址欺骗等手段,即发送请求的源地址都是伪造的,所以服务器就无法受到客户端的ACK回应,这样一来,服务端会在一段时间内处于等待客户端ACK消息的状态,而对于每台服务器而言,可用的TCP连接队列空间是有限的,当SYN-FLOOD攻击器不断的发送大量的SYN请求包时,服务端的TCP连接队列就会被占满,从而使系统可用资源急剧减少,网络可用带宽迅速缩小,导致服务器无法为其他合法用户提供正常的服务。
3、B.UDP-FLOOD攻击:UDP-FLOOD攻击也是DDoS攻击的一种常见方式。
UDP协议是一种无连接的服务,它不需要用某个程序建立连接来传输数据UDP-FLOOD攻击是通过开放的UDP端口针对相关的服务进行攻击。
UDP-FLOOD攻击器会向被攻击主机发送大量伪造源地址的小UDP包,冲击DNS服务器或者Radius认证服务器、流媒体视频服务器,甚至导致整个网段瘫痪。
4、DDoS攻击:DDoS是Distributed Denial of Service的简称,即分布式拒绝服务。
DDoS攻击是在DoS 攻击的基础上产生的,它不再像DoS那样采用一对一的攻击方式,而是利用控制的大量肉鸡共同发起攻击,肉鸡数量越多,攻击力越大。
一个严格和完善的DDoS攻击一般由四个部分组成:攻击端,控制端,代理端,受害者。
五、实验步骤实验内容一:SYN-FLOOD攻击演示和分析1.本次实验需要两台网络连通,可以互相访问的计算机,分别记作A、B。
首先在A,B 上分别关闭防火墙和杀毒软件,并在A上启动Tomcat服务器(把A作为服务器)。
图一.Tomcat服务器启动2. 在B上打开Supper DDoS,输入A的ip和一个开放服务的端口,我这里因为Tomcat 开放的端口是80,所以端口就填80,而Protocol(协议)默认是TCP,点击Attack。
3.打开安装在A上的wireshark,在Options-->Capture Filter框中填入tcp,表明所要抓的包是tcp包,点击Start,开始抓包,并保存抓到的结果。
从这张在被攻击服务器上的抓包图中我们可以看到大量的TCP数据包,这些数据包的源IP是由Super DDoS用IP欺诈等手段伪造的,这些IP实际是不存在的。
我们还可以看出大量的SYN包没有ACK回应。
4. 打开A的命令行窗口输入netstat -an或者netstat -n -p tcp命令,可以看到有大量的ip 和本机建立了SYN-RECEIVED状态的TCP二次握手连接,这些ip地址都是随机的,是Supper DDos伪造的。
大量IP与服务器停留在半连接状态,一旦这种连接数量超过服务器的半连接队列数,服务器的资源就会被耗竭,从而无法再处理其他合法用户的请求了。
实验内容二:防御和抵制SYN-FLOOD攻击的措施1.根据SYNdrome-FLOOD攻击的原理可知SYN-FlOOD攻击效果取决于服务器上设置的SYN半连接数(半连接数=SYN攻击频度* SYN Timeout),所以通过缩短从接收到SYN 报文到确定这个报文无效并丢弃改连接的时间,会使得SYN半连接数减少(但是也不能把SYN Timeout设置得过低,这是为什么大家可以思考一下),从而降低服务器的负荷。
2.给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被丢弃。
3.利用网关型防火墙,让客户机与服务器之间并没有真正的TCP连接,所有数据交换都是通过防火墙代理,外部的DNS解析也同样指向防火墙,使攻击转向防火墙,只要防火墙的性能足够高,就能抵挡相当强度的SYN-FLOOD攻击。
1.本次实验需要两台网络连通并可以互相访问的电脑,记作A,B,这里用的工具是UDP FLOOD攻击器。
与SYN-FLOOD攻击一样,我们首先要关闭A,B两台电脑的防火墙和杀毒软件,并且在A上打开Tomcat服务器。
2.然后我们在B上打开UDP FLOOD攻击器,在这个攻击器上填上A的IP和一个开放的端口(可以通过在命令行下输入netstat -an查看开放的端口)。
这个攻击器可以设定攻击的时间(Max duration (secs))和发送的最大UDP包数(Max packets )以及发送UDP包的速度(Speed),还可以选择发送包的数据大小和类型(Data)3.点击Go开始攻击,我们在A,B两台机上分别抓包来观察分析。
这是在服务器A上捕捉到的两幅图,我们可以发现udp包在8080端口一侧大量出现,并且每个udp包的大小基本相同,这里看到的两个都为83bytes这是在B上对ICMP的抓包结果,当受害系统接收到一个UDP 数据包的时候,它会确定目的端口正在等待中的应用程序。
当它发现该端口中并不存在正在等待的应用程序,它就会产生一个目的地址无法连接的ICMP 数据包发送给该伪造的源地址。
这里可以明显的看出A向B回送了很多ICMP包,但是端口却是unreachable实验内容三:防御和抵制UDP-FLOOD攻击的措施我们都知道UDP协议是一种无连接的服务,所以对UDP-FLOOD攻击的防御和抵制比较困难。
一般我们通过分析受到攻击时捕获的非法数据包特征,定义特征库,过滤那些接收到的具有相关特征的数据包。
例如针对UDP-FLOOD攻击,我们可以根据UDP最大包长设置UDP最大包大小以过滤异常流量。
在极端的情况下,我们可以尝试丢弃所有UDP数据包。
1.本次实验需要三台网络连通,可以互相访问的计算机,假设分别记作A(作为服务器和被攻击主机)、B(作为被控制主机)、C(作为攻击主机)。
首先在A、B、C上分别关闭防火墙和杀毒软件,并在A上启动Tomcat服务器。
2.接着要将B变成C控制的肉鸡,并把独裁者DDoS的Server.exe(服务端),MSWINSCK.OCX,RICHTX32.OCX这三个文件植入B中,并运行Server.exe。
这里要用到radmin,pstools等工具以及一些net的控制命令(当然也可以用其他的方法),这块内容在实验一中有详细的讲解,在此不再赘述。
我们可以在C上来验证独裁者DDoS的服务端是否在B上成功运行,在C中打开IE浏览器,在地址栏中输入Http://B的IP地址:8535/,若回车看到如下图所示,则说明就说明独裁者DDoS的服务端在肉鸡B上成功运行了。
3.接着我们来通过C控制B对A发动DDoS攻击,我们在打开C中打开DDoS客户端Client.exe(界面如下)。
首先我们先要添加主机,这里的主机是指你控制被植入独裁者服务端的肉鸡,这里即B,添加时输入B的IP就行了。
4.添加完后最好按检查状态来检测添加的主机是否有效,如图192.168.1.103这段IP是无效的,设置好攻击目标的IP和开放的端口,伪造的源IP和端口可以自己设置也可以由攻击器随机设置,有四种攻击方式供我们选择,这里我选择我们熟悉的SYN攻击,检查文件按钮可以检测服务端文件的情况,信使服务可以向被攻击机发送文字信息。
5. 点击开始攻击,C就控制B开始向A发动SYN攻击.可想而知这种攻击的效果和SYN—FLOOD的攻击效果是一致的,在这个实验里并没有很好的体现DDoS的攻击效果,因为只控制了一台肉鸡,所以这样的攻击相当于一对一的DoS攻击,攻击效果较差。
并且这是一种简易的DDoS攻击,因为这里只有攻击端、被控制端、受害者,而一个完整的DDoS 攻击应该是攻击端、控制端、代理端和受害者组成的。
所以现在的攻击就存在一个弊端,就是攻击者的隐蔽性不高,容易被受害者查到攻击源。
而完整的DDoS攻击是由控制端对代理端发出攻击命令的,这样一来就很好地隐蔽了攻击端,也就是使得真正的攻击者身份很难被发现。
实验内容四:防御和抵制DDoS攻击的措施DDoS攻击的类型和DoS攻击相近,只是攻击的方式有很大的改进,因此防御和抵制DDoS攻击的措施也和DoS攻击相似。
这里介绍一种新的方法:一般发动DoS攻击或者DDoS 攻击,都是针对一个确定的IP,而且在攻击过程中,不会改变攻击的对象。
利用DoS和DDoS 攻击的这一缺陷,我们如果在发现服务器受到攻击时,迅速更换自己的IP地址,那么攻击者就在对一个空的IP地址进行攻击,服务器不会受到任何影响。
作为防御方只要将DNS解析更改到新的IP地址就能在很短时间内恢复用户通过域名进行正常访问。
六、思考题思考题一:DoS攻击和DDoS攻击一般是针对服务器发动攻击,而对PC机攻击没有多大意义,你知道这是为什么吗?服务器为了能够正常稳定的提供服务,一般都是只使用同一个ip地址,而pc机则可以很方便的更改自己的ip地址,从而使攻击者攻击不到自己;服务器的重要性和价值一般高于都PC机,因而攻击的价值也自然就高于PC,而且pc机可以轻易的重启或更改ip,而服务器一旦重启或更改ip则一般会蒙受巨大的损失。