拒绝服务攻击与防范实验
网络安全(黑客攻防)_主动攻击
三、实验步骤(4)
4、右击B机的任务栏右下角的golddenkeylogger图标>options,在图4-14、图4-15、图4-16所在的界(1)在(图4-14 配置键盘记录软件)所示的界面中除选择记录键 盘上的字符外,还要选择记录非字符击键记录。 (2)在(图4-15 配置快捷方式)中设置一些快捷方式。 (3)在(图4-16 配置键盘记录软件的接收邮箱)界面中修改电子 邮件地址为zff@company.mail,每隔1小时之后zff@company.mail 邮箱便会收到B机的键盘记录邮件。 (4)1小时之后登录zff@company.mail邮箱,观察捕捉到B主机的什 么敏感信息?如果黑客邮箱收到的扩展名为rep的文件无法正常打 开,则需要把它下载下来,在golddenkeylogger环境下,点击 “Open Log”钮完成文件的打开,(如图4-17 黑客机上使用 golddenkeylogger打开受害主机上的键盘记录日志文件)。
三、实验步骤(4)
5、测试:在任意一台主机的Web浏览 器中浏览Web Server网站,发觉原先还 能浏览的网站现在无法浏览了,如图4-22。 过了一会儿Web Server死机。 注意:
在进行测试之前一定要对启动Web浏览器进行测试 的主机删除其Cookies,历史记录及脱机文件等, 否则无法达到效果。
一、实验目的
了解远程破解用户口令的原理,掌握破 解本地用户名、口令以及远程用户名、口 令的方法,学会使用强度高的用户密码。
二、实验设备
2台Windows主机,主机A为XP,主机B为 Windows 2k Server。
B
Win2000
A
Winxp
网络安全 实验报告
网络安全实验报告网络安全实验报告一、引言随着互联网的快速发展,网络安全问题日益凸显。
不法分子利用网络进行各种犯罪活动,给个人和组织的信息安全带来了巨大威胁。
为了更好地了解网络安全的重要性和相关实验,我们进行了一系列网络安全实验。
二、实验目的1. 了解网络安全的基本概念和原理;2. 掌握网络攻击与防御的基本方法;3. 提高对网络安全的意识和防范能力。
三、实验内容1. 网络漏洞扫描实验我们使用了一款常见的漏洞扫描工具,对一个虚拟网络进行了扫描。
通过扫描结果,我们发现了一些存在的漏洞,例如未更新的软件版本、弱密码等。
这些漏洞可能被黑客利用,进而入侵系统,窃取敏感信息。
因此,我们学会了及时更新软件、加强密码安全等防范措施。
2. DDoS攻击与防御实验在这个实验中,我们模拟了一个DDoS(分布式拒绝服务)攻击,并尝试使用防火墙等工具来防御。
通过实验,我们深刻认识到DDoS攻击的威力和对网络的影响。
在防御方面,我们学到了一些有效的方法,如流量过滤、IP封堵等。
3. 网络入侵检测实验为了提高网络安全,我们进行了网络入侵检测实验。
通过安装入侵检测系统,我们能够及时发现并阻止潜在的入侵行为。
在实验中,我们模拟了一些常见的入侵行为,如端口扫描、密码破解等,以测试入侵检测系统的准确性和可靠性。
四、实验结果与分析通过以上实验,我们对网络安全有了更深入的了解。
我们认识到网络安全不仅仅是技术问题,更是一个全面的系统工程。
在实验中,我们掌握了一些基本的网络安全知识和技能,提高了自己的网络安全意识和防范能力。
然而,网络安全仍然是一个不断发展和变化的领域。
随着技术的进步,新的网络威胁和攻击手段不断涌现。
因此,我们需要不断学习和更新自己的知识,以应对不断变化的网络安全挑战。
五、结论通过本次网络安全实验,我们深入了解了网络安全的重要性和相关知识。
我们学会了一些基本的网络安全防范方法,并提高了自己的网络安全意识。
网络安全是一个全面的系统工程,需要持续的学习和更新知识。
实验3:拒绝服务攻击
实验23 拒绝服务攻击拒绝服务攻击的目的就是让被攻击目标无法正常地工作,从攻击方式的解释看来,目标的连接速度减慢或者完全瘫痪,那么攻击者的目的也就达到了。
而在被攻击的一方看来,当遭到攻击时,系统会出现一些异常的现象。
练习一洪泛攻击【实验目的】●理解带宽攻击原理●理解资源消耗攻击原理●掌握洪泛攻击网络行为特征【实验人数】每组2人【系统环境】Windows【网络环境】企业网络结构【实验工具】Nmap洪泛工具网络协议分析器【实验原理】见《原理篇》实验23|练习一。
【实验步骤】本练习主机A、B为一组,C、D为一组,E、F为一组。
实验角色说明如下:首先使用“快照X”恢复Windows系统环境。
一.SYN洪水攻击1.捕获洪水数据(1)攻击者单击实验平台工具栏中的“协议分析器”按钮,启动协议分析器。
单击工具栏“定义过滤器”按钮,在弹出的“定义过滤器”窗口中设置如下过滤条件:●在“网络地址”属性页中输入“any<->同组主机IP地址”;●在“协议过滤”属性页中选中“协议树”|“ETHER”|“IP”|“TCP”结点项。
单击“确定“按钮使过滤条件生效。
单击“新建捕获窗口”按钮,点击“选择过滤器”按钮,确定过滤信息。
在新建捕获窗口工具栏中点击“开始捕获数据包”按钮,开始捕获数据包。
2.性能分析(1)靶机启动系统“性能监视器”,监视在遭受到洪水攻击时本机CPU、内存消耗情况,具体操作如下:依次单击“开始”|“程序”|“管理工具”|“性能”。
在监视视图区点击鼠标右键,选择“属性”打开“系统监视器属性”窗口,在“数据”属性页中将“计数器”列表框中的条目删除;单击“添加”按钮,打开“添加计数器”对话框,在“性能对象”中选择“TCPv4”,在“从列表选择计数器”中选中“Segments Received/sec”,单击“添加”按钮,然后“关闭”添加计数器对话框;单击“系统监视器属性”对话框中的“确定”按钮,使策略生效。
网络攻击实验报告
一、实验背景随着互联网技术的飞速发展,网络安全问题日益突出。
为了提高网络安全意识,掌握网络安全防护技能,我们进行了一次网络攻击实验。
本次实验旨在了解网络攻击的基本原理,熟悉常见的网络攻击手段,以及掌握相应的防御措施。
二、实验目的1. 理解网络攻击的基本原理和常见手段。
2. 掌握网络攻击实验的基本流程。
3. 熟悉网络安全防护技术,提高网络安全意识。
三、实验环境1. 操作系统:Windows 102. 网络设备:路由器、交换机、计算机3. 实验软件:Wireshark、Nmap、Metasploit等四、实验内容1. 漏洞扫描(1)使用Nmap扫描目标主机,发现潜在的安全漏洞。
(2)分析扫描结果,了解目标主机的开放端口和服务信息。
2. 拒绝服务攻击(DoS)(1)使用Metasploit生成大量的伪造请求,对目标主机进行DoS攻击。
(2)观察目标主机响应时间,分析攻击效果。
3. 口令破解(1)使用Hydra工具尝试破解目标主机的登录口令。
(2)观察破解过程,了解口令破解的原理。
4. 恶意代码传播(1)利用网络共享传播恶意代码,感染目标主机。
(2)分析恶意代码的传播过程,了解恶意代码的特点。
5. 数据窃取(1)使用网络监听工具,窃取目标主机传输的数据。
(2)分析窃取到的数据,了解数据窃取的原理。
五、实验结果与分析1. 漏洞扫描通过Nmap扫描,我们成功发现目标主机的开放端口和服务信息,发现了一些潜在的安全漏洞。
这为我们进行后续的攻击实验提供了依据。
2. 拒绝服务攻击(DoS)我们使用Metasploit生成了大量的伪造请求,对目标主机进行了DoS攻击。
观察目标主机的响应时间,发现攻击效果明显,目标主机无法正常响应服务。
3. 口令破解我们尝试破解目标主机的登录口令,使用Hydra工具进行暴力破解。
经过一段时间,成功破解了目标主机的口令。
4. 恶意代码传播我们利用网络共享传播恶意代码,成功感染了目标主机。
网络攻击的实验报告
一、实验背景随着信息技术的飞速发展,网络已经成为人们工作和生活中不可或缺的一部分。
然而,随之而来的网络安全问题也日益凸显。
为了提高对网络攻击的认识和防御能力,我们进行了本次网络攻击实验。
通过模拟网络攻击的过程,了解攻击者的攻击手段,以及防御网络攻击的方法。
二、实验目的1. 理解网络攻击的基本原理和常用手段。
2. 掌握网络安全防御的基本策略和工具。
3. 提高网络安全意识和自我保护能力。
三、实验环境1. 操作系统:Windows 102. 网络设备:路由器、交换机、PC机3. 软件环境:Wireshark、Nmap、Metasploit等网络安全工具四、实验步骤1. 信息收集利用Nmap扫描目标主机,获取目标主机的开放端口、操作系统等信息。
通过Wireshark抓取目标主机与网络之间的数据包,分析其网络流量。
2. 漏洞扫描利用Nmap对目标主机进行漏洞扫描,找出目标主机存在的安全漏洞。
3. 攻击模拟根据漏洞扫描结果,选择合适的攻击手段对目标主机进行攻击。
以下列举几种常见的网络攻击手段:(1)端口扫描攻击:通过扫描目标主机的开放端口,获取目标主机上的服务信息。
(2)拒绝服务攻击(DoS):通过大量请求占用目标主机资源,使目标主机无法正常响应。
(3)密码破解攻击:通过暴力破解、字典攻击等方法获取目标主机的登录凭证。
(4)木马攻击:通过植入木马程序,控制目标主机,获取敏感信息。
4. 攻击防御针对攻击模拟过程中发现的安全漏洞,采取相应的防御措施,如:(1)关闭不必要的开放端口,减少攻击面。
(2)更新操作系统和应用程序,修复已知漏洞。
(3)设置强密码,提高登录凭证的安全性。
(4)安装防火墙、入侵检测系统等安全设备,及时发现和阻止攻击。
五、实验结果与分析1. 通过信息收集,我们发现目标主机存在多个开放端口,其中包含Web服务、邮件服务、数据库服务等。
2. 漏洞扫描结果显示,目标主机存在多个安全漏洞,如:Web服务漏洞、数据库服务漏洞等。
信息安全技术实验四拒绝服务攻击实验
任务一UDP Flood攻击练习UDP Flood是一种采用UDP-Flood 攻击方式的DoS软件,它可以向特定的IP地址和端口发送UDP包。
在IP/hostname和port窗口中指定目标主机的IP地址和端口号,Max duration设定最长的攻击时间,在speed 窗口中可以设置UDP包发送的速度,在data框中,定义UDP数据包包含的内容,缺省情况下为UDP Flood.Server stress test的text文本内容。
单击Go按钮即可对目标主机发起UDP-Flood攻击。
如下图所示。
在被攻击主机中可以查看收到的UDP数据包,这需要事先对系统监视器进行配置。
打开“控制面板→管理工具→性能”,首先在系统监视器中单击右侧图文框上面的“+”按纽或单击鼠标右键,弹出“添加计数器”对话框。
在这个窗口中添加对UDP数据包的监视,在“性能对象”框中选择UDP协议,在“从列表选择计数器”中,选择“Datagram Received/Sec”即对收到的UDP数据包进行计数,然后配置好包村计数器信息的日志文件。
如下图所示。
当入侵者发起UDP Flood攻击时,就可以通过系统监视器查看系统检测到的UDP数据包信息了。
实验结果如下图所示在被攻击主机上打开Sniffer工具,可以捕获由攻击者计算机发到本地计算机的UDP数据包,可以看到内容为UDP Flood.Server stress test的大量UDP数据包,如下图所示任务二CC攻击练习CC主要是用来攻击页面的。
对于论坛,访问的人越多,论坛的页面越多,数据库就越大,被访问的频率也越高,占用的系统资源也就相当可观。
CC就是充分利用这个特点,模拟多个用户(多少线程就是多少用户)不停的进行访问(访问那些需要大量数据操作,就是需要大量CPU时间的页面)。
代理可以有效地隐藏身份,也可以绕开所有的防火墙,因为几乎所有的防火墙都会检测并发的TCP/IP连接数目,超过一定数目一定频率就会被认为是Connection-Flood。
网络攻防实验报告
一、实验背景随着信息技术的飞速发展,网络安全问题日益突出。
为了提高网络安全防护能力,本实验针对网络攻防技术进行了深入研究。
通过模拟真实网络环境,对常见网络攻击手段进行实战演练,掌握网络攻防技术,提高网络安全防护意识。
二、实验目的1. 了解网络攻防技术的基本原理和方法。
2. 掌握常见网络攻击手段的防御措施。
3. 提高网络安全防护能力,降低网络安全风险。
三、实验内容1. 网络扫描实验(1)实验目的:掌握网络扫描技术,了解目标网络结构。
(2)实验步骤:① 搭建实验环境,包括攻击主机、靶机等。
② 使用Nmap等网络扫描工具对靶机进行扫描。
③ 分析扫描结果,了解靶机开放端口、服务版本等信息。
2. 漏洞扫描实验(1)实验目的:掌握漏洞扫描技术,发现目标网络中的安全漏洞。
(2)实验步骤:① 使用Nessus、OpenVAS等漏洞扫描工具对靶机进行扫描。
② 分析扫描结果,找出靶机存在的安全漏洞。
③ 针对漏洞进行修复或采取防御措施。
3. 恶意代码分析实验(1)实验目的:掌握恶意代码分析技术,提高对恶意代码的识别能力。
(2)实验步骤:① 下载恶意代码样本。
② 使用静态分析、动态分析等方法对恶意代码进行分析。
③ 识别恶意代码类型、攻击目的、传播途径等。
4. 网络攻击实验(1)实验目的:掌握常见网络攻击手段,提高网络安全防护能力。
(2)实验步骤:① 实施端口扫描攻击、拒绝服务攻击(DoS)等网络攻击。
② 分析攻击原理、攻击过程、攻击效果。
③ 针对攻击采取防御措施,如设置防火墙规则、关闭不必要的服务等。
5. 网络防护实验(1)实验目的:掌握网络安全防护技术,提高网络安全防护能力。
(2)实验步骤:① 针对实验过程中发现的漏洞,采取相应的修复措施。
② 优化网络架构,提高网络安全性能。
③ 制定网络安全策略,加强网络安全管理。
四、实验结果与分析1. 通过网络扫描实验,掌握了网络扫描技术,了解了目标网络结构。
2. 通过漏洞扫描实验,发现了靶机存在的安全漏洞,并采取了相应的修复措施。
拒绝服务攻击特征分析
拒绝服务攻击特征分析本次实验包括如下分析要求(1)利用hyenae-0.36-1_fe_0.1-1-win32 攻击工具进行拒绝服务的实验,该包是一个拒绝服务攻击的集合,攻击时通过通过wireshark界面抓图说明不同拒绝服务攻击的网络特征,然后总结拒绝服务攻击发现的方法,并设置一个snort检测网络扫描的规则,并测试效果(抓图说明)。
(2)攻击类型如下1 ARP-Request FloodThis example will send an unlimited amount of ARP-Request packets from arandom source to all available machines on the network.# hyenae -I 1 -a arp-request -s % -d ff:ff:ff:ff:ff:ff \# -S %-% -D 00:00:00:00:00:00-192.168.0.1NOTE:The hardware address strip of the source and the sender address patternwill be equaly randomized to avoid corrupt packets.2 ARP-Cache PoisoningThis example will send an ARP-Reply packet from a fictional source addressto all available machines on the network.# hyenae -I 1 -a arp-reply -s 00:f0:21:03:c6:00 -d ff:ff:ff:ff:ff:ff \# -S 11:22:33:44:55:66-192.168.0.1 -D ff:ff:ff:ff:ff:ff-0.0.0.0 -c 14 Blind PPPoE Session Initiation FloodThis example sends and inlimited amount of PPPoE-DIscovery packets withset PADI flag and an incrementing session id from a random source address toall available machines on the network.# hyenae -I 1 -a pppoe-discover -o padi -s % -d ff:ff:ff:ff:ff:ff5 Blind PPPoE Session TerminationThis example sends and inlimited amount of PPPoE-DIscovery packets withset PADT flag and an incrementing session id from an existing source adressto an existing destination address.# hyenae -I 1 -a pppoe-discover -o padt -s 11:22:33:44:55:66 \# -d 44:55:66:77:88:99 -q 1 -Q 16 ICMP-Echo FloodThis example will send a random amount of ICMP-Echo packets between 1 and 10000 from a random source to a fictional target.# hyenae -I 1 -a icmp-echo -s %-% -d 00:f0:21:03:c6:00-192.168.0.1 \# -c 1 -C 100007 ICMP-Smurf AttackThis example will send an unlimited amount of ICMP-Echo packets from an existing source address against a network broadcast address.# hyenae -I 1 -a icmp-echo -s 00:f0:21:03:c6:00-192.168.0.1 \# -d ff:ff:ff:ff:ff:ff-255.255.255.2558 ICMP Based TCP-Connection ResetThis example will send a single ICMP "Destination Unreachable" packet with the message code "Port unreachable", from a fictional source to a fictional target. The secondary source and destination patterns are used to set thesource and dstination of the TCP packet that is attached at the end of theICMP packet.# hyenae -I 1 -a icmp-unreach-tcp -o port \# -s 00:c0:33:d4:03:06-192.168.0.2 \# -d 00:f0:21:03:c6:00-192.168.0.1 \# -S 00:c0:33:d4:03:06-192.168.0.2@1093 \# -D 00:f0:21:03:c6:00-192.168.0.1@21 \# -C 19 TCP-SYN AttackThis example will send an unlimited amount of TCP packets with set SYN flag, from a random source to a fictional target, with a random send delay between1 and 1000 milliseconds.# hyenae -I 1 -a tcp -f s -s %-%@%%%% -d 00:f0:21:03:c6:00-192.168.0.1@21 \ # -e 1 -E 100010 TCP-Land AttackThis example will send a single TCP packet with set SYN flag and anidentical source and destination address.# hyenae -I 1 -a tcp -f s -s 00:f0:21:03:c6:00-192.168.0.1@139 \# -d -d 00:f0:21:03:c6:00-192.168.0.1@139 -c 111 Blind TCP-Connection ResetThis example will send an unlimited amount of TCP packets with set RSTflag, from a fictional random source to a fictional target, with anincrementing TCP sequence number.# hyenae -I 1 -a tcp -f r -s 00:c0:33:d4:03:06-192.168.0.2@1093 \# -d 00:f0:21:03:c6:00-192.168.0.1@21 -q 1 -Q 112 UDP-FloodThis example will send an unlimited amount of UDP packets with a randompayload of 100 Byte, from a fictional random source to a fictional target.# hyenae -I 1 -a udp -s %-%@%%%% -d 00:f0:21:03:c6:00-192.168.0.1@130 -p 10013 DNS-Query floodThis example will send an unlimited amount of DNS query packets from arandom source to an existing DNS server.# hyenae -I 1 -a dns-query -s %-% -d 00:f0:21:03:c6:00-192.168.0.1 \# -y 根据以上过程写出实验报告,电子版发送到:itsec_ouc@。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
选择“可靠性和性能”单击
选择“性能监视器”单击
选择“+”号单击
弹出添加计数器如下图所示
选择Datagrams Received/sec后单击“添加”得下图所示,单击确定。
当入侵者发起UDP Flood攻击时,可以通过在被攻击计算 机中的系统监视器,查看系统监测到的UDP数据包信息,如 图所示,图中左半部分的凸起曲线,显示了UDP Flood攻击 从开始到结束的过程,接收UDP数据包的最大速率为250包/ 秒,由于图中显示比例为0.1,所以对应的坐标为25。 在被攻击的计算机上打开Ethereal工具,可以捕捉由攻击 者计算机发到本地计算机的UDP数据包,可以看到内容为 “UDP Flood.Server stress test”的大量UDP数据包。
拒绝服务攻击与防范实验
一、实验目的
通过练习使用DoS/DDoS攻击工具对目标主机进 行攻击,理解DoS/DDoS攻击的原理及其实施过程, 掌握监测和防范Dos/DDoS攻击的措施
二、实验原理
拒绝服务(Denial of Service,DoS)攻击通常是针 对TCP/IP中的某个弱点,或者系统存在的某些漏洞,对 目标系统发起大规模的进攻,使服务器充斥大量要求 回复的信息,消耗网络带宽或系统资源,导致目标网 络或系统不胜负荷直至瘫痪、无法提供正常服务。 分布式拒绝服务(Distribute Denial of Service, DDoS)攻击是对传统DoS攻击的发展,攻击者首先侵 入并控制一些计算机,然后控制这些计算机同时向一 个特定的目标发起拒绝服务攻击。
在被攻击的计算机上打开Ethereal工具,可以捕捉 由攻击者的计算机发到本地计算机的异常TCP数据包, 可以看到这些TCP数据包的源计算机和目标计算机IP地 址都是10.0.83.117,这正是Land攻击的明显特征。
任务三 DDoS攻击演练
软件下载:到ftp://10.0.91.2,如图所示
任务二 Land攻击演练
软件到ftp://10.0.91.2下载,如图所示
Land的使用方法是在命令提示符下,在Land15所在的目录下输入命令“LAND15 10.0.83.117 80”,过程如下:运行cmd ,进入命令模式。
进入Land所在的磁盘和目录(假设Land放在D盘),操作如下:d:回车, cd land15回车,如下图所示。
DoS攻击可使用一些公开的软件进行攻击,发动较 为简单而且在较短的时间内即可达到效果,但要防止 这类攻击是非常困难的,从技术上看,目前还没有根 本的解决办法。 DoS攻击的实现方式主要包括:资源消耗、服务终 止、物理破坏等。例如:服务器的缓冲区满,不接受 新的请求。如SYN Flood洪泛攻击、Land攻击。 使用IP欺骗,迫使服务器将合法用户的连接复位, 影响连接。如Smurf攻击。
还有一种Fraggle攻击,它和Smurf攻击原理相同,只不 过使用的是UDP应答消息而不是ICMP。可以通过在防火墙 上过滤UDP应答消息实现对这种攻击的防范。 UDP Flood攻击也是利用TCP/IP服务来进行,它利用了 Chagen和Echo来回传送毫无用处的数据来占用带宽。在攻 击过程中,伪造与某一计算机的Chargen服务之间的一次 UDP连接,而回复地址指向开着Echo服务的一台计算机, 这样就生成在两台计算机之间大量的无用数据流,导致带 宽完全被占用而拒绝提供服务。防范UDP Flood攻击的办法 是关掉不必要的TCP/IP服务,或者配臵防火墙以阻断来自 Internet的UDP服务请求。
作业
将三个任务完成的过程和结果用截图的形式放入 Word文件,下课前发送到老师的信箱。
输入命令“land15 10.0.83.117 80(在不同的机房使用不同的IP)”回车, 得如图所示的结果,停止攻击按“Ctrl+c”键。
在攻击过程中,在被攻击的计算机上启动“任务管理器”,如图6-7所示, 可以看到CPU的使用率迅速上升,这说明Land攻击将导致被攻击主机的 CPU资源被耗费。
在Land攻击中,一个特别打造的SYN包的源地址和 目标地址都被设臵成某一个服务器地址,这时将导致 接受服务器向它自己的地址发送SYN-ACK消息,结果 这个地址又发回ACK消息并创建一个空连接,每一个 这样的连接都将保留直到超时。对Land攻击,不同的 操作系统反应不同,许多UNIX将崩溃,而WindowsNT 会变得极其缓慢(大约持续5分钟)。 预防Land攻击的最好办法是通过配臵防火墙,过 滤从外部发来的含有内部源IP地址的数据包。
Smurf攻击的原理如图6-1所示,攻击者主要使用IP广播和IP欺骗 的方法,发送伪造的ICMP Echo Request报给目标网络的IP广播 地址。 当攻击者向某个网络的广播地址发送ICMP Echo Request包时, 如果路由器对发往网络广播地址的ICMP包不进行过滤,则所有 主机都可以接收到该ICMP包,并且都要向ICMP包所指示的源 地址发送ICMP Echo Reply响应包。如果攻击者将发送的ICMP包 的源地址伪造成被攻击者的地址,则该响应包都要发往被攻击 的主机。这不仅造成被攻击主机流量过载、减慢甚至停止ቤተ መጻሕፍቲ ባይዱ常 的服务,而且发出ICMP响应包的中间受害网络也会出现拥塞甚 至网络瘫痪。为了防范这种攻击,最好关闭外部路由器或防火 墙的地址广播功能。
DDoS攻击者1.5软件是一个DDoS攻击工具,程序运行后自动装入 系统,并在以后随系统启动,自动对事先设定好的目标进行攻击。 DDoS攻击者1.5软件分为生成器(DDoSMaker.exe)和DDoS攻 击者程序(DDoSer.exe)两部分。软件在下载安装后是没有DDoS 攻击者程序的,只有生成器DDoSMaker.exe,DDoS攻击者程序要 通过生成器进行生成。生成时可以自定义一些设臵,如攻击目标 的域名或IP地址、端口等。DDoS攻击者默认的文件名为 DDoSer.exe,可以在生成时或生成后任意改名。DDoS攻击者程序 类似于木马软件的服务器端程序,程序运行后不会显示任何界面, 看上去好像没有反应,其实它已经将自己复制到系统中,并且会 在每次开机时自动运行,此时可以将复制过去的安装程序删除。 它运行时唯一会做的工作就是源源不断地对事先设定好的目标进 行攻击。DDoSer使用的攻击手段是SYN Flood方式。
三、实验环境
运行Windows 2008/XP的多台计算机,通过网络连 接,在其中某一台计算机上安装实验所需的软件。
任务一 UDP Flood攻击演练
实验软件到ftp://10.0.91.2下载,如图所示解压后可直接使用
UDP Flood是一种采用UDP Flood攻击方式的DoS软件, 它可以向特定的IP地址和端口发送UDP包。在 “IP/hostname”和“Port”文本框中指定目标主机的IP地 址和端口号,“Max duration(secs)”文本框中可设定最 长的攻击时间,在“Speed(pkts/sec)”中可以设臵UDP 包发送的速度,在“Data”选项区域中可定义UDP数据包中 包含的内容,默认情况下为UDP Flood.Serverstress test的 text文件内容。单击“Go”按钮即可对目标主机发起UDP Flood攻击,如图所示。从10.0.27.x(不同的机房IP不同)主 机发起UDP-Flood攻击,发包的速率为250包/秒。虽然本实 验只有一台攻击计算机,对网络带宽的占用率影响不大, 但攻击者数据很多时,对网络带宽的影响也不容忽视。
DDoSer1.5的设置:打开DDoSmaker.exe程序,界面如图所示。 DDoS攻击者具体设置如下: 目标主机的域名或IP地址”:就是要攻击主机的域名或IP地址,建议使用域名,因为IP地址是可以经常变换的,而域名一般不会变。 “端口”:就是要攻击的端口,请注意,这里指的是TCP端口,因为此软件只能攻击基于TCP的服务。如80就是攻击HTTP的服务,21就是攻击FTP服务,25就是攻 击SMTP服务,110就是攻击POP3服务等。 “并发连接线程数”:就是同时并发多少个线程去连接这个指定的端口,当然此值越大对服务器的压力越大,当然占用本机资源也越大。建议使用默认值,即10 个线程。 “最大TCP连接数”:当连接上服务器后,如果立即断开这个连接显然不会对服务器造成什么压力,而是先保持这个连接一段时间,当本机的连接数大于此值时, 就会开始断开以前的连接,从而保证本机与服务器的连接数不会超过此值。同样,此值越大对服务器的压力越大,当然占用本机资源也越大。建议使用默认值, 即1000个连接。 “注册表启动项键名”:就是在注册表里写入的启动项键名,当然是越隐蔽越好。 “服务器端程序文件名”:就是在Windows系统目录中的文件名,同样也是越隐蔽越好。 “DDoS攻击者程序保存为”:就是生成的DDoS攻击者程序保存在何处、它的文件名是什么 按照图6-9所示的设置后,软件就会自动生成一个DDoSer.exe的可执行文件,这个文件就是攻击程序,这个程序在哪台主机上运行,哪台主机就会自动向目标发起 攻击。因此为了达到较好的效果,可以将这个攻击者程序复制到多台计算机上并同时运行。
DDoSer.exe的运行及结果观察
在某台主机上运行DDoSer.exe,则这台主机就成 了攻击者的代理端,主机会自动发出大量的半连接请 求,在命令提示符下输入“netstat”命令来查看网络 状态。 从图中可以看到,主机自动向目标服务器发起大 量的SYN请求,这就说明主机开始利用SYN Flood攻击 目标了。
在被攻击的计算机10.0.27.10中可以查看收到的UDP 数据包,这需要事先对系统监视器进行配臵,依次执 行“控制面板”→“管理工具”→“性能”,首先在 系统监视器中单击右侧图文框上面的“+”按钮,弹出 “添加计数器”对话框,如图所示。在这个对话框中 添加对UDP数据包的监视,在“性能对象”组合框中 选择“UDP v4”协议,选择“从列表选择计数器”单 选按钮,并在下面的列表框中选择“Datagrams Received/sec”即对收到的UDP数据包进行计算,配臵 并保存在此计数器信息的日志文件。