攻擊與防范技術(shù)原理課程設(shè)計(jì)報(bào)告

1、上海電機(jī)學(xué)院課程設(shè)計(jì)報(bào)告課程名稱(chēng)： 計(jì)算機(jī)網(wǎng)絡(luò)安全 課題名稱(chēng)： DDOS攻擊與防范技術(shù)原理 姓 名：蘇瀚班 級(jí)： BX1009 指導(dǎo)老師： 熊鵬 報(bào)告日期： 2013年06月27日電 子 信 息 學(xué) 院上海電機(jī)學(xué)院實(shí)訓(xùn)/課程設(shè)計(jì)任務(wù)書(shū)課程名稱(chēng)網(wǎng)絡(luò)安全課程設(shè)計(jì)課程代碼033208C1實(shí)訓(xùn)/課程設(shè)計(jì)課題清單1ARP 協(xié)議原理攻擊及防范技術(shù)2DHCP 協(xié)議攻擊及防范技術(shù)3DDOS攻擊與防范技術(shù)原理4ACL 包過(guò)濾技術(shù)應(yīng)用5. CAM表攻擊與防范技術(shù)6. TCP SYN攻擊與防范技術(shù)7. 網(wǎng)絡(luò)設(shè)備終端登錄原理與安全管理8. 組建高彈性冗余網(wǎng)絡(luò)設(shè)計(jì)時(shí)間2013年 06 月 24 日 2013年 06 月

2、 28 日一、實(shí)訓(xùn)/課程設(shè)計(jì)任務(wù)匯總1. 課題分配-23人一組。2.最終提供的主操作界面應(yīng)該方便用戶(hù)的操作。3.最后提交的課程設(shè)計(jì)成果包括：a) 課程設(shè)計(jì)報(bào)告打印稿。b) 課程設(shè)計(jì)報(bào)告電子稿。c) 小組課程設(shè)計(jì)報(bào)告打印稿d) 小組課程設(shè)計(jì)報(bào)告電子稿e(cuò)) 源程序文件(電子稿)。f) 可執(zhí)行程序文件。（電子稿）二、對(duì)實(shí)訓(xùn)/課程設(shè)計(jì)成果的要求（包括實(shí)訓(xùn)/課程設(shè)計(jì)報(bào)告、圖紙、圖表、實(shí)物等軟硬件要求）分析課程設(shè)計(jì)題目的要求；寫(xiě)出詳細(xì)的需求分析；根據(jù)功能需求，寫(xiě)出詳細(xì)的設(shè)計(jì)說(shuō)明；（包括工作原理）編寫(xiě)程序代碼（有必要的注釋?zhuān){(diào)試程序使其能正確運(yùn)行；設(shè)計(jì)完成的軟件要便于操作和使用，有整齊、美觀(guān)的使用界面；設(shè)

3、計(jì)完成后提交課程設(shè)計(jì)報(bào)告（按學(xué)校要求裝訂）和源代碼文件的電子文檔。報(bào)告需要交電子版和打印版，源程序交電子版。三、實(shí)訓(xùn)/課程設(shè)計(jì)工作進(jìn)度計(jì)劃：選擇課程設(shè)計(jì)題目，分析課題的要求，確定需求分析；確定設(shè)計(jì)方案；第二天 編寫(xiě)詳細(xì)設(shè)計(jì)說(shuō)明； 繪制程序流程圖；編寫(xiě)與調(diào)試程序；第三天 測(cè)試系統(tǒng)功能，寫(xiě)課程設(shè)計(jì)報(bào)告； 第四天 交課程設(shè)計(jì)報(bào)告（打印稿及電子稿）；第五天面試或答辯。四、主要參考資料：1 計(jì)算機(jī)網(wǎng)絡(luò)安全教程(第二版) 梁亞聲 機(jī)械工業(yè)出版社 2008年7月2 Cisco Press - CCNA Security Official Exam Certification Guide 20123 CCNP

4、.Security.Secure.642-637.Official.Cert.Guide).Sean.Wilkins&Trey.Smith 2011摘要：計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，特別是Internet的發(fā)展和普及應(yīng)用，為人類(lèi)帶來(lái)了新的工作、學(xué)習(xí)和生活方式，使人們與計(jì)算機(jī)網(wǎng)絡(luò)的聯(lián)系越來(lái)越密切。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)提供了豐富的資源以便用戶(hù)共享，提高了系統(tǒng)的靈活性和便捷性，也正是這個(gè)特點(diǎn)，增加了網(wǎng)絡(luò)系統(tǒng)的脆弱性、網(wǎng)絡(luò)受威脅和攻擊的可能性以及網(wǎng)絡(luò)的復(fù)雜性。分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊借助于客戶(hù)/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)

5、目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在Internet上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶(hù)/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。關(guān)鍵字：DDOS, ICMP Flood, UDP Flood, CAR目錄摘要：2一、需求分析41.1課設(shè)背景4二、DDOS攻擊技術(shù)52.1簡(jiǎn)述DDOS攻擊技術(shù)52.1.1 DOS攻擊概述5攻擊概述52.2 DDOS攻擊原理與表現(xiàn)形式62.3 DDOS攻擊方式72.3.1 I

6、CMP Flood攻擊技術(shù)72.3.2 UDP Flood 攻擊技術(shù)7其他攻擊技術(shù)82.4 DDOS攻擊工具92.4.1 LOIC92.4.2 engage packetbuilder9其他輔助工具102.5具體實(shí)驗(yàn)操作與結(jié)果10實(shí)驗(yàn)結(jié)構(gòu)圖與流程圖102.5.2 UDP flood攻擊112.5.3 ICMP flood攻擊13三、DDOS防御技術(shù)163.1 簡(jiǎn)述DDOS防御技術(shù)163.2 防御原理173.2.1 CAR173.2.2 uRPF173.3 利用CAR進(jìn)行DDOS防御實(shí)驗(yàn)實(shí)際操作與結(jié)果18四、遇到的問(wèn)題與解決21五、小結(jié)22參考文獻(xiàn)23一、需求分析隨著 Internet 的迅猛發(fā)

7、展，網(wǎng)絡(luò)與信息安全問(wèn)題日益突出。病毒肆虐、網(wǎng)絡(luò)犯罪、黑客攻擊等現(xiàn)象時(shí)有發(fā)生，嚴(yán)重危及我們正常工作。據(jù)國(guó)際權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，全球每年因網(wǎng)絡(luò)安全問(wèn)題帶來(lái)的損失高達(dá)數(shù)百億美元。網(wǎng)絡(luò)上的惡意攻擊實(shí)際上就是尋找一 切可能存在的網(wǎng)絡(luò)安全缺陷來(lái)達(dá)到對(duì)系統(tǒng)及資源的 損害，從而達(dá)到惡意的目的。分布式拒絕服務(wù)攻擊 (以下稱(chēng) DDOS) 就是從1996 年出現(xiàn)，在中國(guó) 2002 年開(kāi)始頻繁出現(xiàn)的一種攻擊方式。分布式拒絕服務(wù)攻擊(DDOS 全名是 Distribut- ed Denial of service)，DDOS 攻擊手段是在傳統(tǒng)的DoS 攻擊基礎(chǔ)之上產(chǎn)生的一類(lèi)攻擊方式。單一的DOS攻擊一般是采用一對(duì)一方式的，當(dāng)

8、攻擊目標(biāo) CPU 速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性 能指標(biāo)不高它的效果是明顯的。1.1課設(shè)背景隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存 大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得 DOS 攻擊的困難程度加大了，目標(biāo)對(duì)惡意攻擊包的 消化能力 加強(qiáng)了不少，例如：你的攻擊軟件 每秒鐘可以發(fā)送4000 個(gè)攻擊包，但我的主機(jī)與網(wǎng) 絡(luò)帶寬每秒鐘可以處理 20000 個(gè)攻擊包，這樣一來(lái) 攻擊就不會(huì)產(chǎn)生什么效果。 分布式拒絕服務(wù)攻擊使用了分布式客戶(hù)服務(wù)器 功能，加密技術(shù)及其它類(lèi)的功能，它能被用于控制任 意數(shù)量的遠(yuǎn)程機(jī)器，以產(chǎn)生隨機(jī)匿名的拒絕服務(wù)攻 擊和遠(yuǎn)程訪(fǎng)問(wèn)。為了有效防范網(wǎng)絡(luò)入侵和

9、攻擊，就必 須熟悉網(wǎng)絡(luò)入侵和攻擊的手段和原理，在此基礎(chǔ)上 才能制定行之有效的防范對(duì)策和防御措施，從而確 保網(wǎng)絡(luò)信息的安全。本次實(shí)驗(yàn)要求是先進(jìn)行DDOS的UDP Flood和ICMP Flood的攻擊，再利用GNS3和虛擬機(jī)進(jìn)行DDOS攻擊的防御，二、DDOS攻擊技術(shù)2.1簡(jiǎn)述DDOS攻擊技術(shù)2.1.1 DOS攻擊概述在了解DDOS之前，首先我們來(lái)看看DOS，DOS的英文全稱(chēng)是Denial ofService，也就是“拒絕服務(wù)”的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來(lái)看，DOS算是一種很簡(jiǎn)單但又很有效的進(jìn)攻方式。它的目的就是拒絕你的服務(wù)訪(fǎng)問(wèn)，破壞組織的正常運(yùn)行，最終它會(huì)使你的部分Inte

10、rnet連接和網(wǎng)絡(luò)系統(tǒng)失效。DOS的攻擊方式有很多種，最基本的DOS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶(hù)無(wú)法得到服務(wù)。DOS攻擊的原理如圖1所示。圖1 DOS攻擊原理從圖1我們可以看出DOS攻擊的基本過(guò)程：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請(qǐng)求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，分配給這次請(qǐng)求的資源就始終沒(méi)有被釋放。當(dāng)服務(wù)器等待一定的時(shí)間后，連接會(huì)因超時(shí)而被切斷，攻擊者會(huì)再度傳送新的一批請(qǐng)求，在這種反復(fù)發(fā)送偽地址請(qǐng)求的情況下，服務(wù)器資源最終會(huì)被耗盡。DDOS攻擊概述DDOS（分布式拒絕服務(wù)），它的英文全稱(chēng)為Di

11、stributed Denial ofService，它是一種基于DOS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，像商業(yè)公司，搜索引擎和政府部門(mén)的站點(diǎn)。從圖1我們可以看出DOS攻擊只要一臺(tái)單機(jī)和一個(gè)modem就可實(shí)現(xiàn)，與之不同的是DDOS攻擊是利用一批受控制的機(jī)器向一臺(tái)機(jī)器發(fā)起攻擊，這樣來(lái)勢(shì)迅猛的攻擊令人難以防備，因此具有較大的破壞性。DDOS的攻擊原理如圖2所示。圖2 DDOS攻擊原理從圖2可以看出，DDOS攻擊分為3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。1、攻擊者：攻擊者所用的計(jì)算機(jī)是攻擊主控臺(tái)，可以是網(wǎng)絡(luò)上的任何一臺(tái)主機(jī)，甚至可

12、以是一個(gè)活動(dòng)的便攜機(jī)。攻擊者操縱整個(gè)攻擊過(guò)程，它向主控端發(fā)送攻擊命令。2、主控端：主控端是攻擊者非法侵入并控制的一些主機(jī)，這些主機(jī)還分別控制大量的代理主機(jī)。在主控端主機(jī)上安裝了特定的程序，因此它們可以接受攻擊者發(fā)來(lái)的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。3、代理端：代理端同樣也是攻擊者侵入并控制的一批主機(jī)，它們上面運(yùn)行攻擊器程序，接受和運(yùn)行主控端發(fā)來(lái)的命令。代理端主機(jī)是攻擊的執(zhí)行者，真正向受害者主機(jī)發(fā)起攻擊。攻擊者發(fā)起DDOS攻擊的第一步，就是尋找在Internet上有漏洞的主機(jī)，進(jìn)入系統(tǒng)后在其上面安裝后門(mén)程序，攻擊者入侵的主機(jī)越多，他的攻擊隊(duì)伍就越壯大。第二步在入侵主機(jī)上安裝攻擊程序

13、，其中一部分主機(jī)充當(dāng)攻擊的主控端，一部分主機(jī)充當(dāng)攻擊的代理端。最后各部分主機(jī)各施其職，在攻擊者的調(diào)遣下對(duì)攻擊對(duì)象發(fā)起攻擊。由于攻擊者在幕后操縱，所以在攻擊時(shí)不會(huì)受到監(jiān)控系統(tǒng)的跟蹤，身份不容易被發(fā)現(xiàn)。2.2 DDOS攻擊原理與表現(xiàn)形式DDOS攻擊的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對(duì)網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒(méi)而無(wú)法到達(dá)主機(jī)；另一種為資源耗盡攻擊，主要是針對(duì)服務(wù)器主機(jī)的攻擊，即通過(guò)大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無(wú)法提供網(wǎng)絡(luò)服務(wù)。2.3 DDOS攻擊方式本次實(shí)驗(yàn)利用ICMP Flood和UDP Flood進(jìn)

14、行攻擊。2.3.1 ICMP Flood攻擊技術(shù)ICMP Flood 的攻擊屬于流量型攻擊方式，利用大的流量給服務(wù)器帶來(lái)較大的負(fù)載，影響服務(wù)器正常運(yùn)行。ping 使用的是echo應(yīng)答，ping的速度很慢僅為1-5包/秒，事實(shí)上ICMP本身并不慢（由于ICMP是SOCK_RAW產(chǎn)生的原始報(bào)文，速度比SOCK_STREAM的SYN和SOCK_DGRAM的UDP要快幾乎 10倍！），這樣的速度是ping程序故意延遲的。并且必須等待目標(biāo)主機(jī)返回REPLAY信息，這個(gè)過(guò)程需要花費(fèi)大量的時(shí)間。而Flood洪水，是速度極快的，當(dāng)一個(gè)程序發(fā)送數(shù)據(jù)包的速度達(dá)到了每秒1000個(gè)以上，它的性質(zhì)就成了洪水產(chǎn)生器，洪水

15、數(shù)據(jù)是從洪水產(chǎn)生器里出來(lái)的。但這樣還不夠，沒(méi)有足夠的帶寬，再猛的洪水也只能像公路塞車(chē)那樣慢慢移動(dòng)，成了雞肋。要做真正的洪水，就需要有一條足夠?qū)挼母咚俟凡趴梢?。ICMP flood攻擊分為三種方式：1.直接flood。直接使用自己的機(jī)器去攻擊別人，這要求有足夠的帶寬。直接攻擊會(huì)暴露自己IP地址，一般不常見(jiàn)。2.偽造IP的Flood。它隨意偽造一個(gè)IP來(lái)flood。屬于比較隱蔽陰險(xiǎn)的flood。3.反射。用采取這種方式的第一個(gè)工具的名稱(chēng)來(lái)命名的“Smurf”洪水攻擊，把隱蔽性又提高了一個(gè)檔次，這種攻擊模式里，最終淹沒(méi)目標(biāo)的洪水不是由攻擊者發(fā)出的，也不是偽造IP發(fā)出的，而是正常通訊的服務(wù)器發(fā)出的。

16、Smurf方式把源IP設(shè)置為受害者IP，然后向多臺(tái)服務(wù)器發(fā)送ICMP報(bào)文（通常是ECHO請(qǐng)求），這些接收?qǐng)?bào)文的服務(wù)器被報(bào)文欺騙，向受害者返回ECHO應(yīng)答（Type=0），導(dǎo)致垃圾阻塞受害者的門(mén)口。2.3.2 UDP Flood 攻擊技術(shù)UDPFlood是日漸猖厥的流量型DoS攻擊，原理也很簡(jiǎn)單。常見(jiàn)的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。100k pps的UDPFlood經(jīng)常將線(xiàn)路上的骨干設(shè)備例如防火墻打癱，造成整個(gè)網(wǎng)段的癱瘓。由于UDP協(xié)議是一種無(wú)連接的服務(wù)，在UDPFLOOD攻擊中，攻擊者可發(fā)送大量偽造源IP地址的小UDP包。但是，由于UDP協(xié)

17、議是無(wú)連接性的，所以只要開(kāi)了一個(gè)UDP的端口提供相關(guān)服務(wù)的話(huà)，那么就可針對(duì)相關(guān)的服務(wù)進(jìn)行攻擊。正常應(yīng)用情況下，UDP包雙向流量會(huì)基本相等，而且大小和內(nèi)容都是隨機(jī)的，變化很大。出現(xiàn)UDPFlood的情況下，針對(duì)同一目標(biāo)IP的UDP包在一側(cè)大量出現(xiàn)，并且內(nèi)容和大小都比較固定。其他攻擊技術(shù)1 SYN/ACK Flood攻擊這種攻擊方法是經(jīng)典最有效的DDOS方法，適用于各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)，主要是通過(guò)向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或ACK包，導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)，由于源都是偽造的，所以追蹤起來(lái)比較困難，缺點(diǎn)是實(shí)施起來(lái)有一定難度，需要高帶寬的僵尸主機(jī)支持。少

18、量的這種攻擊會(huì)導(dǎo)致主機(jī)服務(wù)器無(wú)法訪(fǎng)問(wèn)，但卻可以Ping通，在服務(wù)器上用Netstat -na命令會(huì)觀(guān)察到存在大量的SYN_RECEIVED狀態(tài)，大量的這種攻擊會(huì)導(dǎo)致Ping失敗、TCP/IP棧失效，并會(huì)出現(xiàn)系統(tǒng)凝固現(xiàn)象，即不響應(yīng)鍵盤(pán)和鼠標(biāo)。2 TCP全連接攻擊這種攻擊是為了繞過(guò)常規(guī)防火墻的檢查而設(shè)計(jì)的，一般情況下，常規(guī)防火墻大多具備過(guò)濾TearDrop、Land等DOS攻擊的能力，但對(duì)于正常的TCP連接是放過(guò)的，殊不知很多網(wǎng)絡(luò)服務(wù)程序（如：IIS、Apache等Web服務(wù)器）能接受的TCP連接數(shù)是有限的，一旦有大量的TCP連接，即便是正常的，也會(huì)導(dǎo)致網(wǎng)站訪(fǎng)問(wèn)非常緩慢甚至無(wú)法訪(fǎng)問(wèn)，TCP全連接攻

19、擊就是通過(guò)許多僵尸主機(jī)不斷地與受害服務(wù)器建立大量的TCP連接，直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨，從而造成拒絕服務(wù)，這種攻擊的特點(diǎn)是可繞過(guò)一般防火墻的防護(hù)而達(dá)到攻擊目的，缺點(diǎn)是需要找很多僵尸主機(jī)，并且由于僵尸主機(jī)的IP是暴露的，因此容易被追蹤。3 刷Script腳本攻擊這種攻擊主要是針對(duì)存在A(yíng)SP、JSP、PHP、CGI等腳本程序，并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫(kù)的網(wǎng)站系統(tǒng)而設(shè)計(jì)的，特征是和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢(xún)、列表等大量耗費(fèi)數(shù)據(jù)庫(kù)資源的調(diào)用，典型的以小博大的攻擊方法。一般來(lái)說(shuō)，提交一個(gè)GET或POST指令對(duì)客戶(hù)端的

20、耗費(fèi)和帶寬的占用是幾乎可以忽略的，而服務(wù)器為處理此請(qǐng)求卻可能要從上萬(wàn)條記錄中去查出某個(gè)記錄，這種處理過(guò)程對(duì)資源的耗費(fèi)是很大的，常見(jiàn)的數(shù)據(jù)庫(kù)服務(wù)器很少能支持?jǐn)?shù)百個(gè)查詢(xún)指令同時(shí)執(zhí)行，而這對(duì)于客戶(hù)端來(lái)說(shuō)卻是輕而易舉的，因此攻擊者只需通過(guò)Proxy代理向主機(jī)服務(wù)器大量遞交查詢(xún)指令，只需數(shù)分鐘就會(huì)把服務(wù)器資源消耗掉而導(dǎo)致拒絕服務(wù)，常見(jiàn)的現(xiàn)象就是網(wǎng)站慢如蝸牛、ASP程序失效、PHP連接數(shù)據(jù)庫(kù)失敗、數(shù)據(jù)庫(kù)主程序占用CPU偏高。這種攻擊的特點(diǎn)是可以完全繞過(guò)普通的防火墻防護(hù)，輕松找一些Proxy代理就可實(shí)施攻擊，缺點(diǎn)是對(duì)付只有靜態(tài)頁(yè)面的網(wǎng)站效果會(huì)大打折扣，并且有些Proxy會(huì)暴露攻擊者的IP地址。2.4 DDO

21、S攻擊工具DDOS攻擊實(shí)施起來(lái)有一定的難度，它要求攻擊者必須具備入侵他人計(jì)算機(jī)的能力。但是很不幸的是一些傻瓜式的黑客程序的出現(xiàn)，這些程序可以在幾秒鐘內(nèi)完成入侵和攻擊程序的安裝，使發(fā)動(dòng)DDOS攻擊變成一件輕而易舉的事情。本次是進(jìn)行一次簡(jiǎn)單的實(shí)驗(yàn)，所有簡(jiǎn)單地利用了以下幾個(gè)工具。2.4.1 LOIC利用傻瓜軟件就可以發(fā)動(dòng)DDoS攻擊的話(huà)，為什么還要付費(fèi)呢?來(lái)自系統(tǒng)管理、網(wǎng)絡(luò)和安全協(xié)會(huì)互聯(lián)網(wǎng)風(fēng)暴中心的消息顯示，在這波針對(duì)商業(yè)公司發(fā)起的DDoS攻擊浪潮中，人們開(kāi)始使用低軌道離子加農(nóng)炮(Low Orbit Ion Cannon，以下簡(jiǎn)稱(chēng)LOIC)，一種開(kāi)源的DoS攻擊工具來(lái)對(duì)卡或者維薩卡網(wǎng)站的端口進(jìn)行攻擊

22、。使用者要做的事情僅僅就是用鼠標(biāo)點(diǎn)擊一下，攻擊就正式開(kāi)始了。 LOIC是一個(gè)功能非常強(qiáng)大的工具。它可以使用大規(guī)模的垃圾流量對(duì)目標(biāo)網(wǎng)站實(shí)施攻擊，從而耗盡網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)崩潰，無(wú)法提供服務(wù)。本次實(shí)驗(yàn)利用該工具進(jìn)行UDP Flood攻擊操作。2.4.2 engage packetbuilder一個(gè)運(yùn)行在windows下的使用LibNet和LibPcap進(jìn)行發(fā)報(bào)測(cè)試的工具，具有一個(gè)簡(jiǎn)單易用的gui界面，可以完全定制各種類(lèi)型的數(shù)據(jù)包，并且支持腳本自動(dòng)發(fā)送。是測(cè)試IDS/防火墻的好工具。本次實(shí)驗(yàn)利用該工具進(jìn)行 ICMP Flood攻擊操作。其他輔助工具 在本次實(shí)驗(yàn)中，為了方便利用DDOS技術(shù)進(jìn)行的攻擊，

23、我們使用了wireshark 進(jìn)行流量包的檢測(cè)，可以區(qū)別出ICMP Flood和UDP Flood攻擊。2.5具體實(shí)驗(yàn)操作與結(jié)果本次DDOS攻擊實(shí)驗(yàn)利用了兩種工具進(jìn)行ICMP Flood和UDP Flood攻擊，實(shí)驗(yàn)中使用四個(gè)主機(jī)進(jìn)行攻擊網(wǎng)關(guān)測(cè)試主機(jī)PC5地址：本主機(jī)PC4地址：5網(wǎng)關(guān)地址是：實(shí)驗(yàn)結(jié)構(gòu)圖與流程圖結(jié)構(gòu)圖：流程圖：2.5.2 UDPflood攻擊1.攻擊前，PC5對(duì)網(wǎng)關(guān)進(jìn)行Ping操作，確保成功連接并查看延時(shí)狀況2.四臺(tái)主機(jī)同時(shí)對(duì)網(wǎng)關(guān)進(jìn)行UDP Flood攻擊操作，下圖是我的主機(jī)操作：3.在進(jìn)行攻擊時(shí)，PC5再進(jìn)行Ping網(wǎng)關(guān)操作4.發(fā)現(xiàn)延遲很高，大部分是請(qǐng)求超時(shí)，表現(xiàn)出攻擊成功。

24、2.5.3 ICMP flood攻擊1.攻擊前，PC5對(duì)網(wǎng)關(guān)進(jìn)行Ping操作，確保成功連接并查看延時(shí)狀況。2.四臺(tái)主機(jī)同時(shí)對(duì)網(wǎng)關(guān)進(jìn)行ICMP Flood攻擊操作，下圖是我的主機(jī)操作：3.在進(jìn)行攻擊時(shí)，PC5再進(jìn)行Ping網(wǎng)關(guān)操作4.發(fā)現(xiàn)延遲很高，或者干脆請(qǐng)求超時(shí)，表現(xiàn)出攻擊成功。兩次攻擊都很好地完成。三、DDOS防御技術(shù)3.1 簡(jiǎn)述DDOS防御技術(shù)對(duì)付DDOS是一個(gè)系統(tǒng)工程，僅僅依靠某種系統(tǒng)或產(chǎn)品防范DDOS是不現(xiàn)實(shí)的，可以肯定的是，完全杜絕DDOS攻擊，目前是不可能的，但通過(guò)適當(dāng)?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的，基于攻擊和防御都有成本開(kāi)銷(xiāo)的緣故，若通過(guò)適當(dāng)?shù)霓k法增強(qiáng)了抵御DDOS的

25、能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數(shù)攻擊者將無(wú)法繼續(xù)下去而放棄，也就相當(dāng)于成功的抵御了DDOS攻擊。本次實(shí)訓(xùn)，老師還向我們介紹了policing and shaping。簡(jiǎn)單的說(shuō)就是管制和整形：管制和整形的作用是識(shí)別流量違約并做出響應(yīng)。管制和整形使用同樣的算法識(shí)別流量違約，但是做出的響應(yīng)不同。管制工具對(duì)流量違約進(jìn)行即時(shí)檢查，發(fā)現(xiàn)違約后立即采取設(shè)定的動(dòng)作進(jìn)行處理。例如，管制工具可以確定負(fù)載是否超出了定義的流量速率，然后對(duì)超出部分的流量進(jìn)行重新標(biāo)記或者直接丟棄。管制工具可以應(yīng)用在入接口和出接口上。整形工具是一個(gè)與排隊(duì)機(jī)制一起工作的流量平滑工具。整形的目的是將所有的流量發(fā)送到同一個(gè)接

26、口，并且控制流量永遠(yuǎn)不超出指定的速率，使流量平滑地通過(guò)該接口發(fā)送出去。整形工具只可以應(yīng)用在出接口上。管制與整形相比較，具有以下區(qū)別，參見(jiàn)表22-3。表22-2：管制與整形比較管制policing整形shaping由于包被丟棄，引起TCP重傳通常延遲流量，很少引起TCP重傳不靈活和不可適應(yīng)通過(guò)排隊(duì)機(jī)制來(lái)適應(yīng)網(wǎng)絡(luò)擁塞入接口和出接口工具出接口工具沒(méi)有緩存的速率限制有緩存的速率限制下圖能明顯顯示出2種不同的流量限制。3.2 防御原理3.2.1 CAR使用CAR(Control Access Rate)功能限制流速率。如果管理員發(fā)現(xiàn)網(wǎng)絡(luò)中存在DDoS攻擊，并通過(guò)Sniffer或者其它手段得知發(fā)起DDoS

27、攻擊的數(shù)據(jù)流的類(lèi)型，然后可以給該數(shù)據(jù)流設(shè)置一個(gè)上限帶寬，這樣超過(guò)了該上限的攻擊流量就被丟棄，可以保證網(wǎng)絡(luò)帶寬不被占滿(mǎn)。3.2.2 uRPFURPF（Unicast Reverse Path Forwarding，單播反向路徑轉(zhuǎn)發(fā)）的主要功能是用于防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。源地址欺騙攻擊為入侵者構(gòu)造出一系列帶有偽造源地址的報(bào)文，對(duì)于使用基于 IP地址驗(yàn)證的應(yīng)用來(lái)說(shuō)，此攻擊方法可以導(dǎo)致未被授權(quán)用戶(hù)以他人身份獲得訪(fǎng)問(wèn)系統(tǒng)的權(quán)限，甚至是以管理員權(quán)限來(lái)訪(fǎng)問(wèn)。即使響應(yīng)報(bào)文不能達(dá)到攻擊者，同樣也會(huì)造成對(duì)被攻擊對(duì)象的破壞。如圖 1所示，在Router A上偽造源地址為的報(bào)文，向服務(wù)器Router B發(fā)

28、起請(qǐng)求，Router B響應(yīng)請(qǐng)求時(shí)將向真正的“”發(fā)送報(bào)文。這種非法報(bào)文對(duì)RouterB和Router C都造成了攻擊。URPF技術(shù)可以應(yīng)用在上述環(huán)境中，阻止基于源地址欺騙的攻擊。3.3利用CAR進(jìn)行DDOS防御實(shí)驗(yàn)實(shí)際操作與結(jié)果1.本次CAR防范是利用GNS3進(jìn)行實(shí)驗(yàn)的，首先在GNS3中鋪設(shè)結(jié)構(gòu)，將本地物理網(wǎng)卡配置到C 1，將虛擬網(wǎng)卡VMnet1配置到C2上，對(duì)R1兩個(gè)端口進(jìn)行配置：配置好后，如下圖所示，2.打開(kāi)虛擬機(jī)，選好網(wǎng)卡，運(yùn)行cmd，ping 192.168.100.144,能夠成功ping通。P，也能成功ping通。3.在GNS3中的路由器上輸入限速命令，并將其應(yīng)用至f0/1端口。4.配置后在虛擬機(jī)中Ping 192.169.82.144 -t未發(fā)現(xiàn)丟包現(xiàn)象，在R1中特權(quán)模式下show interfaces rate-limit，未出現(xiàn)丟包現(xiàn)象。4.配置后進(jìn)行ping 192.168.82.144 t l 3100，由于之前的限速配置時(shí)將限制在1500Byte，偶爾允許2000Bype通過(guò)。但這里是3100，所以出現(xiàn)大量丟包。限速后，在GNS3中R1輸入show interfaces rate-limit，出現(xiàn)丟包現(xiàn)象如下圖所示。由上可知，本次防范實(shí)驗(yàn)成功完成。四、遇到的問(wèn)題與解決1.在虛擬機(jī)