網(wǎng)絡攻防課程設計報告

1、-. z.目錄 TOC o 1-3 h z u HYPERLINK l _Toc4044446701拒接效勞攻擊簡介 PAGEREF _Toc404444670 h 2HYPERLINK l _Toc4044446712拒接效勞攻擊的原理 PAGEREF _Toc404444671 h 2HYPERLINK l _Toc4044446722.1 SYN Flood PAGEREF _Toc404444672 h 2HYPERLINK l _Toc4044446732.2 UDP洪水攻擊 PAGEREF _Toc404444673 h 2HYPERLINK l _Toc4044446742.3P

2、ing洪流攻擊 PAGEREF _Toc404444674 h 2HYPERLINK l _Toc4044446752.4其他方式的攻擊原理 PAGEREF _Toc404444675 h 2HYPERLINK l _Toc4044446763攻擊過程或步驟流程 PAGEREF _Toc404444676 h 2HYPERLINK l _Toc4044446773.1攻擊使用的工具 PAGEREF _Toc404444677 h 2HYPERLINK l _Toc4044446783.2 SYN flood攻擊模擬過程 PAGEREF _Toc404444678 h 2HYPERLINK l

3、_Toc4044446794此次攻擊的功能或后果 PAGEREF _Toc404444679 h 2HYPERLINK l _Toc4044446805對拒絕效勞防*手段與措施 PAGEREF _Toc404444680 h 2HYPERLINK l _Toc4044446815.1增強網(wǎng)絡的容忍性 PAGEREF _Toc404444681 h 2HYPERLINK l _Toc4044446825.2提高主機系統(tǒng)的或網(wǎng)絡平安性 PAGEREF _Toc404444682 h 2HYPERLINK l _Toc4044446835.3入口過濾 PAGEREF _Toc404444683 h

4、2HYPERLINK l _Toc4044446845.4出口過濾 PAGEREF _Toc404444684 h 2HYPERLINK l _Toc4044446855.5主機異常的檢測 PAGEREF _Toc404444685 h 2HYPERLINK l _Toc4044446866個人觀點 PAGEREF _Toc404444686 h 2HYPERLINK l _Toc4044446877參考文獻 PAGEREF _Toc404444687 h 2拒絕效勞攻擊技術研究與實現(xiàn)*：江志明班級：YA*接效勞攻擊簡介所謂的拒絕效勞攻擊簡單說即攻擊者想方法讓目標機器

5、停頓提供效勞，是黑客常用的攻擊手段之一。其實對網(wǎng)絡帶寬進展的消耗性攻擊只是拒絕效勞攻擊的一小局部，只要能夠對目標造成麻煩，使*些效勞被暫停甚至主機死機，都屬于拒絕效勞攻擊。拒絕效勞攻擊問題也一直得不到合理的解決，究其原因是因為這是由于網(wǎng)絡協(xié)議本身的平安缺陷造成的，從而拒絕效勞攻擊也成為了攻擊者的終極手法。攻擊者進展拒絕效勞攻擊，實際上讓效勞器實現(xiàn)兩種效果：一是迫使效勞器的緩沖區(qū)滿，不接收新的請求；二是使用IP欺騙，迫使效勞器把合法用戶的連接復位，影響合法用戶的連接。2拒接效勞攻擊的原理2.1 SYN FloodSYN Flood是當前最流行的DoS(拒絕效勞攻擊)與DDoS(Distribut

6、ed Denial Of Service分布式拒絕效勞攻擊)的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，使被攻擊方資源耗盡(CPU滿負荷或內(nèi)存缺乏)的攻擊方式，這種攻擊容易操作并且效果明顯具體過程是通過三次握手協(xié)議實現(xiàn)的假設一個用戶向效勞器發(fā)送了SYN報文后突然死機或掉線，則效勞器在發(fā)出SYN+ACK應答報文后是無法收到客戶端的ACK報文的(第三次握手無法完成)，這種情況下效勞器端一般會重試(再次發(fā)送SYN+ACK給客戶端)并等待一段時間后丟棄這個未完成的連接。這段時間的長度我們稱為SYN Timeout，一般來說這個時間是分鐘的數(shù)量級(大約為30秒2分鐘)；一個用戶

7、出現(xiàn)異常導致效勞器的一個線程等待1分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況(偽造IP地址)，效勞器端將為了維護一個非常大的半連接列表而消耗非常多的資源。即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內(nèi)存，何況還要不斷對這個列表中的IP進展SYN+ACK的重試。實際上如果效勞器的TCP/IP棧不夠強大，最后的結果往往是堆棧溢出崩潰 即使效勞器端的系統(tǒng)足夠強大，效勞器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求(畢竟客戶端的正常請求比率非常之小)，此時從正?？蛻舻慕嵌瓤磥?，效勞器失去響應，這種情況就稱作：效勞器端受到了SYN Flood攻擊(SYN

8、洪水攻擊)。TCP三次握手示意圖DDOS分布式示意圖2.2 UDP洪水攻擊攻擊者利用簡單的TCP/IP效勞，如Chargen和Echo來傳送毫無用處的占滿帶寬的數(shù)據(jù)。通過偽造與*一主機的Chargen效勞之間的一次的UDP連接，回復地址指向開著Echo效勞的一臺主機，這樣就生成在兩臺主機之間存在很多的無用數(shù)據(jù)流，這些無用數(shù)據(jù)流就會導致帶寬的效勞攻擊。在實際情況下，攻擊者會利用一定數(shù)量級的傀儡機器同時進展攻擊，這時候就有可能發(fā)生受害機UDP淹沒。被UDP攻擊機示意圖2.3Ping洪流攻擊這種攻擊方式是早期的方式，又被陳為死芒之PING，是利用系統(tǒng)的自身漏洞實現(xiàn)的，具體原理是許多操作系統(tǒng)對TCP/

9、IP棧的實現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對包的標題頭進展讀取之后，要根據(jù)該標題頭里包含的信息來為有效載荷生成緩沖區(qū)。當產(chǎn)生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時，就會出現(xiàn)內(nèi)存分配錯誤，導致TCP/IP堆棧崩潰，致使承受方死機。2.4其他方式的攻擊原理teardrop攻擊：是利用在TCP/IP堆棧中實現(xiàn)信任IP碎片中的包的標題頭所包含的信息來實現(xiàn)自己的攻擊Land攻擊：用一個特別打造的SYN包，它的原地址和目標地址都被設置成*一個效勞器地址。Smurf攻擊：通過使用將回復地址設置成受害網(wǎng)絡的播送地址的ICMP應答請求(ping)數(shù)據(jù)包來淹沒受害主機的

10、方式進展3攻擊過程或步驟流程3.1攻擊使用的工具TFNTFN由主控端程序和代理端程序兩局部組成，它主要采取的攻擊方法為：SYN風暴、Ping風暴、UDP炸彈和SMURF，具有偽造數(shù)據(jù)包的能力Trinoo Trinoo的攻擊方法是向被攻擊目標主機的隨機端口發(fā)出全零的4字節(jié)UDP包，在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過程中，被攻擊主機的網(wǎng)絡性能不斷下降，直到不能提供正常效勞，乃至崩潰。它對IP地址不做假，采用的通訊端口是：NETWO*網(wǎng)絡工具包NETWO*是一款綜合性的工具包，包含上百種的網(wǎng)絡工具，采用字符界面形式，功能性能強大3.2 SYN flood攻擊模擬過程1啟動兩個虛擬機系統(tǒng)，一個為

11、WIN2008A機，一個為*PB機。然后在Win2003虛擬機A機上運行抓包軟件SmartSniff，查看當前的網(wǎng)絡通信情況。兩架計算機連通正常2在*P上運行smartsniff查看當前的網(wǎng)絡狀態(tài)當前網(wǎng)絡良好3在宿主機上用NETWO*對*P虛擬機進展拒絕效勞攻擊，命令如下：netwo* 76 i A機IP p 804此時查看靶機*P上的網(wǎng)絡狀況此時靶機*P已近處于假死機狀態(tài)，通過上面的網(wǎng)絡監(jiān)聽數(shù)據(jù)看，說明此次SYN flood攻擊成功4此次攻擊的功能或后果這次的攻擊主要是通過當前流行的SYN flood攻擊，包括TCP和UDP連接，占用靶機的大量的網(wǎng)絡資源，致使受害機CPU和內(nèi)存被大量占用，進

12、一步使其死機，甚至癱瘓狀態(tài)。在是、SYN洪水攻擊中，我們也可以通過這一種混沌狀態(tài)，入侵目標主機，配合其他攻擊的方式5對拒絕效勞防*手段與措施首先我們必須知道，拒絕效勞式的攻擊是本身協(xié)議的缺陷，我們目前還不太可能做到對這種攻擊百分百的防御，但是積極部署防御措施，還是能在很大程度上緩解和抵御這類平安威脅的。另外，加強用戶的平安防*意識，提高網(wǎng)絡系統(tǒng)的平安性也是很重要的措施，現(xiàn)在根據(jù)目前的防御手段主要有以下幾種5.1增強網(wǎng)絡的容忍性首先具體設施有我們修改內(nèi)核參數(shù)即可有效緩解。主要參數(shù)如下：net.ipv4.tcp_syncookies = 1net.ipv4.tcp_ma*_syn_backlog

13、= 9000net.ipv4.tcp_synack_retries = 2分別為啟用SYN Cookie、設置SYN最大隊列長度以及設置SYN+ACK最大重試次數(shù)。SYN Cookie的作用是緩解效勞器資源壓力。啟用之前，效勞器在接到SYN數(shù)據(jù)包后，立即分配存儲空間，并隨機化一個數(shù)字作為SYN號發(fā)送SYN+ACK數(shù)據(jù)包。然后保存連接的狀態(tài)信息等待客戶端確認。啟用SYN Cookie之后，效勞器不再分配存儲空間，而且通過基于時間種子的隨機數(shù)算法設置一個SYN號，替代完全隨機的SYN號。發(fā)送完SYN+ACK確認報文之后，清空資源不保存任何狀態(tài)信息。直到效勞器接到客戶端的最終ACK包，通過Cooki

14、e檢驗算法鑒定是否與發(fā)出去的SYN+ACK報文序列號匹配，匹配則通過完成握手，失敗則丟棄其次tcp_ma*_syn_backlog則是使用效勞器的內(nèi)存資源，換取更大的等待隊列長度，讓攻擊數(shù)據(jù)包不至于占滿所有連接而導致正常用戶無法完成握手。是降低效勞器SYN+ACK報文重試次數(shù)，盡快釋放等待資源5.2提高主機系統(tǒng)的或網(wǎng)絡平安性第一我們進展流量控制，通過一種手段來控制在指定時間內(nèi)帶寬限制，被發(fā)送到網(wǎng)絡中的數(shù)據(jù)量，或者是最大速率的數(shù)據(jù)流量發(fā)送，防止攻擊機無限制的占用網(wǎng)絡資源。其次我們也可以對效勞器進展冗余備份，增大效勞器處理能力，關閉不必要的效勞端口，實行嚴格的補丁管理，防止效勞器的漏洞曝光，最后我

15、們也可以自我對效勞器進展壓力測試，查看效勞器的最大處理能力，最后形成在遭遇攻擊，系統(tǒng)崩潰的緊急處理機制5.3入口過濾第一我們對端口和協(xié)議過濾，對一些惡意地址參加黑，進展過濾，合理的編寫，排列防火墻規(guī)則和路由器的訪問控制列表，合理過濾數(shù)據(jù)流，其次正確配置邊界路由，制止轉發(fā)指向播送地址的數(shù)據(jù)包，對于ICMP數(shù)據(jù)包，只允許必須的類型和代碼進出網(wǎng)絡，如果網(wǎng)絡不需要使用IRC，P2P服以及即使消息，則阻止向外發(fā)出這類連接5.4出口過濾用戶網(wǎng)絡或者其他ISP網(wǎng)絡的比邊界路由器被配置成在其轉發(fā)出的數(shù)據(jù)包時，阻塞源IP地址是非法的數(shù)據(jù)包，以免其外出到外網(wǎng)5.5主機異常的檢測對于以下幾種異?，F(xiàn)象我們需要即使的查明原因，實行可行的決解方案，第一受害網(wǎng)絡通信流量超出工作極限，出現(xiàn)特大型ICMP和UDP數(shù)據(jù)包，數(shù)據(jù)段內(nèi)容只含有數(shù)字