SYN-Flood攻击实验

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

《网络防护技术》实验报告1实验五SYNFlood攻击实验班级﹒学号:网络1201·2012********姓名:******实验日期:2014.11.28任课教师:*******【实验目的】理解SYNFlood攻击原理熟悉SYNFlood攻击方法熟悉抵御SYNFlood攻击的方法【实验原理】SYN-Flood是目前最流行的DDoS攻击手段,DDoS只是洪水攻击的一个种类。其实还有其它种类的洪水攻击。以前的DoS手段在向分布式这一阶段发展的过程中也经历了逐步淘汰的过程。SYN-Flood的攻击效果最好,故众黑客不约而同选择它。以下了解一下SYN-Flood的详细情况。SynFlood利用了TCP/IP协议的固有漏洞。面向连接的TCP三次握手是SynFlood存在的基础。假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYNTimeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是很严重的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常小),此时从正常客户的角度看来,服务器失去实验五SYNFlood攻击实验2响应,这种情况称做:服务器端受到了SYNFlood攻击(SYN洪水攻击)。从防御角度来说,有几种简单的解决方法:第一种是缩短SYNTimeout时间,由于SYNFlood攻击的效果取决于服务器上保持的SYN半连接数,这个值等于SYN攻击的频度。SYNTimeout,可以通过缩短从接收到SYN报文到确定这个报文无效并丢弃该连接的时间,例如设置为20秒以下(过低的SYNTimeout设置可能会影响客户的正常访问),可以成倍的降低服务器的负荷。第二种方法是设置SYNCookie,就是给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后来自这个IP地址的包会被丢弃。【实验环境】本地主机(WindowsXP)、Windows实验台、Xdossynflood工具实验目标需首先确定所在主机实验台IP地址,并根据实验步骤填写正确的IP地址进行实验。假设实验台IP地址为:10.28.23.144本地主机地址为:10.28.23.222【实验内容】运行syn攻击程序,以本地主机为目标主机对其发送syn数据包查看目标主机状态【实验步骤】一、登录到Windows实验台中进行攻击1、登录到Windows实验台,并从实验工具箱取得syn攻击工具XDoc。2、Windows实验台cmd下运行xdos攻击工具Xdos运行界面如图4-1所示。Xdos命令举例演示如下:xdos10.28.23.222135–t3–s55.55.55.5510.28.23.222为被攻击主机的ip地址(实验时请以被攻击主机真实ip为准)《网络防护技术》实验报告3135为连接端口-t3表示开启的进程-s后跟的ip地址为syn数据包伪装的源地址的起始地址图4-1运行显示如图4-2,Windows实验台正在对本地发送syn数据包。图4-2在目标主机使用wireshark抓包,如图4-3所示,可以看到大量的syn向10.28.23.222主机发送,并且将源地址改为55.55.55.55后面的ip地址。实验五SYNFlood攻击实验4图4-3二、查看本地主机状态在目标主机使用命令netstat-an查看当前端口状态,如图4-4所示,就会发现大量的syn_received状态的连接,表示10.28.23.222主机接受到syn数据包,但并未受到ack确认数据包,即tcp三次握手的第三个数据包。图4-4查看本地网络状态当多台主机对一台服务器同时进行syn攻击,服务器的运行速度将变得非常缓慢。

1 / 4
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功