《网络攻防课程设计》由会员分享,可在线阅读,更多相关《网络攻防课程设计(13页珍藏版)》请在金锄头文库上搜索。
1、目录1 拒接服务攻击简介 22 拒接服务攻击的原理 22.1 SYN Flood 22.2 UDP 洪水攻击 42.3Ping 洪流攻击 52.4 其他方式的攻击原理 63 攻击过程或步骤流程 63.1 攻击使用的工具 63.2 SYN flood 攻击模拟过程 74 此次攻击的功能或后果 105 对拒绝服务防范手段与措施 105.1 增强网络的容忍性 105.2 提高主机系统的或网络安全性 115.3 入口过滤 115.4 出口过滤 115.5 主机异常的检测 126 个人观点 127 参考文献 12拒绝服务攻击”技术研究与实现姓名:江志明班级:YA学号:13402171221 拒接服务攻击
2、简介所谓的拒绝服务攻击简单说即攻击者想办法让目标机器停止提供服务,是黑 客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的 一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于 拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这 是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终 极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服 务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户 的连接复位,影响合法用户的连接。2拒接服务攻击的原理2.1 SYN FloodSYN Flood
3、是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service 分布式拒绝服务攻击)的方式之一,这是一种利用 TCP 协议缺陷,发送大 量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方 式,这种攻击容易操作并且效果明显具体过程是通过三次握手协议实现的假设一个用户向服务器发送了 SYN 报 文后突然死机或掉线,那么服务器在发出 SYN+ACK 应答报文后是无法收到客户 端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发 送 SYN+ACK 给客户端)并等待一段时间后丢弃这个未完成的连接。这段时间的长
4、 度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒2分 钟);一个用户出现异常导致服务器的一个线程等待 1 分钟并不是什么很大的问 题,但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址),服务器端将为 了维护一个非常大的半连接列表而消耗非常多的资源。即使是简单的保存并遍历 也会消耗非常多的 CPU 时间和内存,何况还要不断对这个列表中的 IP 进行 SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆 栈溢出崩溃即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪 造的 TCP 连接请求而无暇理睬客户的正常请求(毕竟客户端的
5、正常请求比率非常 之小),此时从正常客户的角度看来,服务器失去响应,这种情况就称作:服务 器端受到了 SYN Flood攻击(SYN洪水攻击)。主机1主机2Telnet ServerSYN/AQKSYNASfeMH! EYNfAGKTCP 三次握手示意图代理端3代理咄代理端代理喘2.2UDP 洪水攻击攻击者利用简单的 TCP/IP 服务,如 Chargen 和 Echo 来传送毫无用处的占满 带宽的数据。通过伪造与某一主机的 Chargen 服务之间的一次的 UDP 连接,回复 地址指向开着 Echo 服务的一台主机,这样就生成在两台主机之间存在很多的无 用数据流,这些无用数据流就会导致带宽的
6、服务攻击。在实际情况下,攻击者会 利用一定数量级的傀儡机器同时进行攻击,这时候就有可能发生受害机UDP淹没。接收数据包M:uuf对方1F端口24253接收数据包对方IF10.10.53.151端口2425a接收数握包协镀;皿对方IF10.10.53.151诺口2425a接吹数培包协斷UIIF对方IF端口2425a接收数据包协缪5F对方廿10 10 53.107端口.沁5a接收数据包协罠;UJF对方打端口2425a接收数据-包协:UDF阳方IF10 10.53.107谛口2425a接收数据赳M:UDF对方IF端口 :24253擡收数据包协谀:UDF-对方IF10.10 53,51端口 :245a
7、接收数据也昭:平F对方廿端口 :2425a接收数捱包协強SF对方1F端口2425a接收数堵包协裁:UIIP对方IFio io. si 15i谛口2425cj接收数据包协谢皿对方口10 10 53.151端口2倍a接收数据包对方口端口2425a接收数据包协灣:皿请口2425接瑕数据包协钗;UBF对方1F端口6112a接收数站包协谀:UDP阳方IF10.10 53.197洁口6112a接收数据包K W对方IF端口S112a接收数提包对方IF10. 10.53.242端口6112a接收数据包协放:应对方廿端口61123接收数据包协復;血F对方1F10 10 53.242端口6112a接收数皓包协灵:
8、皿对方IF谛口6112接收数据包M:UJF用方IF端口611Za接收数据也协覆:皿对方IF端口611a接收数据包M: UDF对方口10.10 53.19?谛口6112a接收数据也对方1F端口6112a接收数站包协逆:皿对方IFB112将收数欝问枷菽;UJF对方IF端口6112拦就n拦議拦竜拦芒世拦栏拦注拦拦世拦拦栏拦世拦拦世程拦栏拦洛_ - - - - JJJ dJJ JJJ - - - JJJ JJJ JJJ JJJ - - - - JJJ JJJ JJJ - - - - - - - JJJ - - - -被 UDP 攻击机示意图2.3Ping 洪流攻击这种攻击方式是早期的方式,又被陈为死芒
9、之PING,是利用系统的自身漏 洞实现的,具体原理是许多操作系统对 TCP/IP 栈的实现在 ICMP 包上都是规定 64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有 效载荷生成缓冲区。当产生畸形的,声称自己的尺寸超过 ICMP 上限的包也就是 加载的尺寸超过 64K 上限时,就会出现内存分配错误,导致 TCP/IP 堆栈崩溃, 致使接受方死机。2.4 其他方式的攻击原理teardrop 攻击:是利用在 TCP/IP 堆栈中实现信任 IP 碎片中的包的标题头 所包含的信息来实现自己的攻击Land 攻击:用一个特别打造的 SYN 包,它的原地址和目标地址都被设置成 某一
10、个服务器地址。Smurf 攻击:通过使用将回复地址设置成受害网络的广播地址的 ICMP 应答 请求(ping)数据包来淹没受害主机的方式进行3 攻击过程或步骤流程3.1 攻击使用的工具TFNTFN由主控端程序和代理端程序两部分组成,它主要采取的攻击方法为:SYN风 暴、Ping风暴、UDP炸弹和SMURF,具有伪造数据包的能力TrinooTrinoo 的攻击方法是向被攻击目标主机的随机端口发出全零的 4 字节 UDP 包, 在处理这些超出其处理能力的垃圾数据包的过程中,被攻击主机的网络性能不断 下降,直到不能提供正常服务,乃至崩溃。它对 IP 地址不做假,采用的通讯端 口是:NETWOX 网络
11、工具包NETWOX是一款综合性的工具包,包含上百种的网络工具,采用字符界面形式,功能性能强 大3.2 SYN floods击模拟过程1启动两个虚拟机系统,一个为WIN2008 (A机),一个为XP (B机)。然后 在Win2003虚拟机(A机)上运行抓包软件SmartSniff,查看当前的网络通信情 况。| 4俺亘亘网网塔Reply Reply RevlvReplj/C: TIHD0TSsT5-teM32XcMd. exe口叵J冈e?接隶ic咫件夹uni|丈件匹Cl)莹看血收藏工具為刼初助乩ktw宜或39Microsoft Windows XP5_1.2600 .版彳殳F有 19B5_20fl
12、lt Corp-IC DDcun&rts and Sett ,studentpinc( 172 16 . E4.110TTL=128TTL-12BTTL=128TTL=128fran f r-cin f ron fpiontimft =ns t ijric 1 rns t imelns t ime地址皿Rpjjroximate pound tip tiines in milli-senonds:Min irTiuri - 0m j. MaximuirTi - Gnis, ft vciae - Ims其它苗pin(j 3fta.itistics foi* 172_ 16_54_110:Packe
13、ts = Sent 一 4, Receive! = 4, Lost歸机言理员:C: Vf milpin g冋貉Fi: Pirw 17.lb.bl.Ill 耳百 d2 :勺糾居: 请求迪时*I请求超时。172.16.54.111 |:- Pin统计信息:坟朽岂;U茶辽-% L21XL7 -兀三牛-4 pin g亠吐 on JTTknn 4th土Pirvj 172.16.54.111 马匸 32 了約淡妖: 172.it.S4.111 的回复:字节切 日寸间“财 172.16.54.lid 的回复;j=32 时间 172.lb.b-l.lll :-|匚肓:节的回瘻:字节咖 时间“歸TIL-12S TTL-128 riL-ias rii.-i 劭白G-f.下 汕已渺nc 3.4,旨- 讪-p F 送ral4 |-茶乩 4.包的- 丄君1=迪
