搜索
贵州大学实验报告学院:计算机科学与技术学院专业:信息安全班级:姓名学号实验组实验时间2015.06.17指导教师蒋朝惠成绩实验项目名称实验十拒绝服务攻击与防范实验目的(一)拒绝服务(DoS)攻击与防范通过本实验的学习,使大家了解拒绝服务攻击的原理以及相应的防范方法。通过一个SYNFlood的拒绝服务程序,使大家加强对Dos攻击的理解。(二)分布式服务(DDoS)攻击与防范通过本实验的学习,使大家了解分布式拒绝服务(DDoS)攻击的原理以及相应的防范方法。实验要求通过实验,理解和掌握DoS和DDoS的攻击原理以及相应的防范方法实验原理(一)拒绝服务(DoS)攻击与防范1.TCP协议介绍传输控制协议是用来在不可靠的Internet上提供可靠的、端到端的字节流通信协议,在FRC793中有正式定义,还有一些解决错误的方案在RFC1122中有记录,RFC1323则有TCP的功能扩展。常见到的TCP/IP协议中,IP层不保证将数据报正确传输到目的地TCP则从本地机器接收用户的数据流,将其分成不超过64KB的数据字段,将每个数据片段作为单独的IP数据包发送出去,最后在目的地机器中将其再组合成完整的字节流,TCP协议必须保证可靠性。发送方和接收方的TCP传输以数据段的形式交换数据,i一个数据段包括固定20字节,加上可选部分,后面再加上数据。TCP协议从发送方传输一个数据耳朵时候,其中有一个确认号,它等于希望收到的下一个数据段的序号,接收方还要发送回一个数据段,其中有一个确认号,它等于希望收到的下一个数据段的顺序号。如果计时器在确认信息到达以前超时了,发送方会重新发送这个数据段。从上面的内容可以在总体上了解一点TCP,重要的是熟悉TCP的数据头。因为数据流的传输最重要的就是header里面的东西,至于发送的数据,只是TCP数据头附带上的、客户端和服务器端的服务响应就是痛header里面的数据有关,两端信息交流和交换是根据header中内容实施的,因此,要了解DoS攻击原理,就必须对TCP的header中的内容非常熟悉。有关TCP数据段头格式参见7.1.3节内容。TCP连接采用“3次握手”,其原理步骤如下所述。在没有连接时,接受方服务器处于监听状态,等待其它机器发送连接请求。第一步,客户端发送一个带SYN位的请求,向服务器表示需要连接。第二步,服务器接收到这样的请求后,查看监听的端口是否为指定端口,如果不是,则发送RST=1应答,拒绝建立连接。如果是,那么服务器发送确认,SYN为服务器的一个内码,假设为100,ACK位则为客户端的请求序号加1,本例中发送的数据是:SYN=11,ACK=100,用这样的数据发送给客户端。向客户端标明,服务器连接已准备好,等待客户端的确认。这时客户端接收到信息后,分析得到的信息,准备发送确认连接信号到服务器。第三步,客户端发送确认信息建立连接的消息给服务器端,确认信息的SYN位是服务器发送的ACK位,ACK位是服务器发送的SYN位加1.级:SYN=11,ACK=101。这时,连接已经建立好了,可以进行发送数据的过程。服务器不会在每次接收到SYN请求就立刻恢复客户端建立连接,而是为连接请求分配内存空间,建立会话,并放到一个队列中。如果等待队列已经满了,那么服务器就不会再为新的连接分配资源,直接丢弃请求。如果到了这种地步,那么服务器就是拒绝服务了。2.拒绝服务(DoS)攻击(1)DoS的基本概念DoS的英文全称是denialofservice,也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看,DOS算是一种很简单但又很有效的攻击方式。它的目的就是拒绝服务访问,破坏服务程序正常运行,最终它会使部分Internet连接和网络系统失效。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的资源,从而使合法用户无法得到服务。DoS攻击的基本过程是:攻击者向服务器发送众多的带有虚假地址请求,服务器发送回复请求后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没被释放。当服务器等待一段时间后,连接会因超时而呗切断,攻击者会再传送一批新的请求,在这种反复发送伪地址请求的情况下,服务器资源会最终被耗尽。被DOS攻击事的现象大致有:①被攻击主机上有大量等待的TCP连接。②被攻击主机的系统资源被大量占用,造成系统停顿。③网络充斥着大量无用的数据包,源地址为伪造地址。④大量无用数据使得网络拥塞,受害主机无法与外界进行通信。⑤利用受害主机提供的服务或传输协议上的缺陷,反复高速地发送特定的服务请求,使受害主机无法及时处理所有正常请求,严重时会造成系统崩溃。(2)拒绝服务攻击的基本方法要对服务器实现拒绝服务攻击,实质上有两种方式:一是迫使服务器的缓冲区满,不接受新的请求;二是使用IP欺骗,迫使服务器把合法的连接复位,影响合法用户的连接。这就是DoS攻击实施的基本思想。具体实现有一下几种方法:①SNYFlood。编写发包程序,设置TCP的Header,向服务器端不断成倍地发送只有SYN标志的TCP请求。当服务器接收的时候,都认为是没有建立起来的连接请求,于是为这些请求建立会话,排到缓冲队列中。如果SYN请求超过了服务器能容纳的限度,缓冲区队列占满,那么服务器就不再接收新请求了,其他合法用户的连接都被拒绝掉。②IP欺骗DoS攻击。这种攻击利用RST位来实现。假设现在只有有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为1.1.1.1,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后。认为从1.1.1.1发送的连接错误,就会清空缓冲区中建好的连接。这时。如果合法用户1.1.1.1再发送合法数据;服务器就已经没有这样的连接了,该用户就必须重新开始建立连接。使用这种攻击方式时,需要伪造大量的IP地址,向目标发送RST数据,可以使服务器不对合法用户服务。③Smurf。广播信息可以通过一定的手段发送到整个网络机器中。当某台机器使用广播地址发送一个ICMPecho请求包时,一些系统会回应一个ICMPecho回应包。④自身消耗的DoS攻击。这种DoS攻击就是把请求数据包中的客户端IP和端口设置成主机自己IP和端口,再发送给主机,使得主机给自己发送TCP相应和连接。这样,主机就会很快把资源耗光,直接导致死机。这种伪装攻击对一些身份认证系统威胁巨大。⑤塞满服务器的硬盘。通常,如果服务器可以没有限制地执行写操作;那么通过一些手段就可以造成硬盘被写满,从而拒绝服务;比如发送垃圾邮件。⑥合理利用策略。一般服务器都有关于账户锁定的安全策略,比如某个账户连续3次登陆失败,那么这个账号将被锁定。这点也可以被破坏者利用,他们伪装一个账号去错误登陆,这样使得这个账号被锁定,而正常的合法用户就不能使用账号去登陆系统了。(3)拒绝服务攻击的防范到目前为止,防范DoS特别是DDoS攻击仍比较困难。但仍然可以采取一些措施以降低其产生的危害。对中小型网站来说,可以从以下几个方面进行防范:①主机设置。即加固操作系统,对各操作系统参数进行设置以加强系统稳固性。重新编译或设置Linux以及操作各种BSD系统、Solaris等操作系统内核中某些参数,可在一定程度上提高系统的抗攻击能力。例如,对于DoS攻击的典型种类——SYNFlood,它利用TCP/IP漏洞发送大量伪造的TCP连接请求,以造成网络无法连接用户服务或使操作系统瘫痪。该攻击过程涉及系统的一下参数:可等待的数据包的链接数和超时等待数据包的时间长度。因此,则进行如下设置:●关闭不必要的服务。●将数据包的链接数从默认值128或512改为2048或更大,以家常每次处理数据包队列的长度;以缓解和消化更多数据包的连接。●将连接超时时间设置得较短,以保证正常数据包的连接,屏蔽非法攻击包。●及时更新系统、安装补丁。②防火墙设置。仍以SYNFlood为例,可以在在防火墙上进行如下设置:●禁止对主机非开放服务的访问。●限制同时打开的数据包最大连接数。●限制特定IP地址的访问。●启用防火墙的防DDoS的属性。●严格限制对外开放服务器的向外访问,以防止自己服务器被当作工具攻击他人。●RandomDrop算法。当流量达到一定阀值时,按照算法规则丢弃后续报文,以保持主机的处理能力。其不足是会误丢正常的数据包,特别是在大流量数据包的攻击下,正常数据包容易随非法数据包被拒之网外。●SYNCookie算法。采用“六次握手”技术以降低受攻击率。其不足是依据列表查询,当数据流量增大时,列表急剧膨胀,计算量随之提升,容易造成响应延迟乃至系统瘫痪。③路由器设置。以CISCO路由器为例,可采取如下方法。●CiscoExpressForwarding(CEF)。●使用Unicasatreverse-path。●访问控制列表(ACL)过滤。●设置数据流量速率。●升级版本过低的IOS。●为路由器建立logserver。不论防火墙还是路由器都是到外界的接口设备,在进行防DDoS设置的同时,要权衡可能牺牲的正常业务代价,谨慎行事。④利用负载均衡技术。就是把应用业务分部到几台不同的服务器上。采用循环DNS服务或者硬件路由器技术,将进入系统的请求分流到多台服务器上。这种方法要求投资较大,相应的维护费也高,中型网站如果有条件可以考虑。以上方法对流量小、正对性强、结构简单的DoS攻击进行防范还是很有效的。而对于DDoS攻击,则需要能够应付大流量的防范措施和技术,需要能够综合多种算法、集多种网络设备功能的集成技术。(二)分布式服务(DDoS)攻击与防范1.DDoS的基本概念分布式拒绝服务攻击时借助于客户——服务器技术,将多个计算机联合起来作为攻击平台,对一个活活在多个目标发动攻击,使成倍的增加攻击能力。2.DDoS的攻击原理(1)Smurf与Fraggle将一个目的地址设置成广播地址后,它就会被网络中的所有主机接收并处理。其中Smurf是用广播地址发送ICMPECHO包,而Fraggle是用广播地址发送UDP包。(2)trinoo是复杂的DDoS攻击程序,它使用主控程序master对实际实施攻击的任何数量的“代理”程序实现自动控制。(3)TFN2K是一个使用master程序与位于多个网络上的哦国内国际代理进行通信。(4)Stacheldraht也是基于TFN的,采用C/S模式,其中master程序与潜在的成千上万个代理程序进行通信。3.DDoS系统的一般结构在更一般的情况下,DDoS可能使用多台控制机,形成一个攻击结构。4.DDoS的监测(1)根据异常情况分析(2)使用DDoS检测工具5.DDoS攻击的防御策略实验仪器(一)拒绝服务(DoS)攻击与防范1.安装有Windows操作系统的PC,编辑工具可选用VC++6.0。2.由hub或交换机组成的有若干台PC局域网。(二)分布式服务(DDoS)攻击与防范Windowsserver2003,风云压力测试DDoS软件,冰盾防火墙实验步骤、内容、数据(一)拒绝服务(DoS)攻击与防范1.在一个局域网环境中,根据实验内容中提供的DoS程序,编写一个SYNFlood拒绝服务程序。使用自己编写的DoS程序攻击实验室的一台实验主机,在实验主机上安装一个网络监听工具(如tcpdump等),观测DoS攻击效果。2.交自己编辑的SYNFlood拒绝服务攻击程序猿代码,并对代码中的关键步骤添加注释,通过网络监听工具观测攻击效果,并对实验结果进行分析。3.SYNFlood程序如下:#includestdio.h#includewinsock2.h#includews2tcpip.h#includewindows.h#includetime.h#includedos.h#pragmacomment(lib,ws2_32.lib)#defineMAX_RECEIVEBYTE255typedefstructip_head//定义IP首部{unsignedcharh_verlen;/