網(wǎng)絡(luò)安全實驗-洪泛攻擊

網(wǎng)絡(luò)安全實驗--洪泛攻擊網(wǎng)絡(luò)安全實驗--洪泛攻擊全文共4頁，當(dāng)前為第1頁。實驗?zāi)康暮鸵缶W(wǎng)絡(luò)安全實驗--洪泛攻擊全文共4頁，當(dāng)前為第1頁。理解帶寬攻擊原理理解資源消耗攻擊原理掌握洪泛攻擊網(wǎng)絡(luò)行為特征實驗內(nèi)容和原理1．SYNFlood攻擊Dos（DenialofService）拒絕服務(wù)攻擊是指在特定攻擊發(fā)生后，被攻擊的對象不能及時提供應(yīng)有的服務(wù)。從廣義上說，任何導(dǎo)致服務(wù)器不能正常提供服務(wù)的攻擊都是拒絕服務(wù)攻擊。SYNFlood是當(dāng)前最流行的拒絕服務(wù)攻擊之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量的偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負(fù)荷或內(nèi)存不足）的攻擊方式。TCP協(xié)議是基于連接的，也就是說，為了在服務(wù)端和客戶端之間傳送TCP數(shù)據(jù)，必須先建立一個虛擬電路，也就是TCP連接。建立TCP連接的標(biāo)準(zhǔn)過程是這樣的：第一步，請求端（客戶端）發(fā)送一個包含SYN標(biāo)志的TCP報文，SYN即同步（Synchronize），同步報文會指明客戶端使用的端口以及TCP連接的初始序號；第二步，服務(wù)器在收到客戶端的SYN報文后，將返回一個SYN+ACK的報文，表示客戶端的請求被接受，同時TCP序號被加1，ACK即確認(rèn)(Acknowledgement)；第三步，客戶端也返回一個確認(rèn)報文ACK給服務(wù)器端，同樣TCP序列號被加1，到此一個TCP連接完成。以上的連接過程在TCP協(xié)議中被稱為三次握手。問題就出在TCP連接的三次握手中，假設(shè)一個用戶向服務(wù)器發(fā)送了SYN報文后突然死機或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報文后是無法收到客戶端的ACK報文的（第三次握手無法完成），這種情況下服務(wù)器端一般會重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為SYN超時，一般來說這個時間是分鐘的數(shù)量級（大約為30秒-2分鐘）；一個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待1分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護一個非常大的半連接列表而消耗非常多的資源。實際上如果服務(wù)器的TCP/IP棧不夠強大，最后的結(jié)果往往是堆棧溢出崩潰——即使服務(wù)器端的系統(tǒng)足夠強大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之?。?，此時從正常客戶的角度看來，服務(wù)器失去響應(yīng)，這種情況我們稱作：服務(wù)器端受到了SYNFlood攻擊（SYN洪水攻擊）。2．ICMPFlood攻擊正常情況下，為了對網(wǎng)絡(luò)進行診斷，一些診斷程序，比如Ping等，會發(fā)出ICMP請求報文（ICMPRequest），計算機接收到ICMP請求后，會回應(yīng)一個ICMP應(yīng)答報文。而這個過程是需要CPU處理的，有的情況下還可能消耗掉大量的資源，比如處理分片的時候。這樣如果攻擊者向目標(biāo)計算機發(fā)送大量的ICMPRequest報文（產(chǎn)生ICMP洪水），則目標(biāo)計算機會忙于處理這些請求報文，而無法繼續(xù)處理其它的網(wǎng)絡(luò)數(shù)據(jù)報文，這也是一種拒絕服務(wù)攻網(wǎng)絡(luò)安全實驗--洪泛攻擊全文共4頁，當(dāng)前為第2頁。擊（DOS）。網(wǎng)絡(luò)安全實驗--洪泛攻擊全文共4頁，當(dāng)前為第2頁。對于諸如此類洪泛攻擊，可以利用設(shè)置防火墻和關(guān)閉不必要的端口來加以防范。設(shè)置防火墻可以直接拒絕接受非法的或不可信任的用戶的連接，而關(guān)閉不必要的端口可以減少半連接的可能性，從而有效的抑制洪泛攻擊所帶來的危害。下面給出一些具體實施辦法：●監(jiān)控計算資源的使用。例如建立資源分配模型圖，統(tǒng)計敏感的計算資源使用情況?！裥扪a漏洞。例如給操作系統(tǒng)或應(yīng)用軟件包升級。●關(guān)掉不必要的TCP/IP服務(wù)。關(guān)掉系統(tǒng)中不需要的服務(wù)，以防止攻擊者利用。●過濾網(wǎng)絡(luò)異常包。例如通過防火墻配置阻斷來自Internet的惡意請求。三、主要儀器設(shè)備Windows操作系統(tǒng)，企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)，Nmap洪泛工具網(wǎng)絡(luò)協(xié)議分析器。操作方法與實驗步驟本練習(xí)主機A、B為一組，C、D為一組，E、F為一組。實驗角色說明如下：實驗主機實驗角色主機A、C、E攻擊者（掃描主機）主機B、D、F靶機（被掃描主機）首先使用“快照X”恢復(fù)Windows系統(tǒng)環(huán)境。一．SYN洪水攻擊1．捕獲洪水?dāng)?shù)據(jù)（1）攻擊者單擊實驗平臺工具欄中的“協(xié)議分析器”按鈕，啟動協(xié)議分析器。單擊工具欄“定義過濾器”按鈕，在彈出的“定義過濾器”窗口中設(shè)置如下過濾條件：在“網(wǎng)絡(luò)地址”屬性頁中輸入“any<->同組主機IP地址”；在“協(xié)議過濾”屬性頁中選中“協(xié)議樹”｜“ETHER”｜“IP”｜“TCP”結(jié)點項。單擊“確定“按鈕使過濾條件生效。單擊“新建捕獲窗口”按鈕，點擊“選擇過濾器”按鈕，確定過濾信息。在新建捕獲窗口工具欄中點擊“開始捕獲數(shù)據(jù)包”按鈕，開始捕獲數(shù)據(jù)包。2．性能分析（1）靶機啟動系統(tǒng)“性能監(jiān)視器”，監(jiān)視在遭受到洪水攻擊時本機CPU、內(nèi)存消耗情況，具體操作如下：依次單擊“開始”｜“程序”｜“管理工具”｜“性能”。在監(jiān)視視圖網(wǎng)絡(luò)安全實驗--洪泛攻擊全文共4頁，當(dāng)前為第3頁。區(qū)點擊鼠標(biāo)右鍵，選擇“屬性”打開“系統(tǒng)監(jiān)視器屬性”窗口，在“數(shù)據(jù)”屬性頁中將“計數(shù)器”列表框中的條目刪除；單擊“添加”按鈕，打開“添加計數(shù)器”對話框，在“性能對象”中選擇“TCPv4”，在“從列表選擇計數(shù)器”中選中“SegmentsReceived/sec”,單擊“添加”按鈕，然后“關(guān)閉”添加計數(shù)器對話框；單擊“系統(tǒng)監(jiān)視器屬性”對話框中的“確定”按鈕，使策略生效。網(wǎng)絡(luò)安全實驗--洪泛攻擊全文共4頁，當(dāng)前為第3頁。（2）靶機打開“任務(wù)管理器”，單擊“性能”選項卡，記錄內(nèi)存的使用狀況。3．洪水攻擊（1）攻擊者單擊實驗平臺工具欄中的“Nmap”按鈕，進入nmap工作目錄。在控制臺中輸入命令：nmap-v–sS-T5靶機IP地址，對靶機進行端口掃描，根據(jù)nmap對靶機的掃描結(jié)果選擇一個開放的TCP端口作為洪水攻擊的端口。（2）單擊工具欄“洪泛工具”按鈕，啟動洪泛工具，在視圖中需要輸入以下信息：目的IP:靶機IP地址。目標(biāo)端口:在步驟1中掃描所得的靶機開放端口（建議80/tcp端口）。偽源IP：任意。單擊“發(fā)洪水”按鈕，對靶機進行SYN洪水攻擊。（3）攻擊者對靶機實施洪水攻擊后，靶機觀察“性能”監(jiān)控程序中圖形變化，并通過“任務(wù)管理器”性能頁簽觀察內(nèi)存的使用狀況，比較攻擊前后系統(tǒng)性能變化情況。網(wǎng)絡(luò)安全實驗--洪泛攻擊全文共4頁，當(dāng)前為第4頁。（4）攻擊者停止洪水發(fā)送，并停止協(xié)議分析器捕獲，分析攻擊者與靶機間的TCP會話數(shù)據(jù)。網(wǎng)絡(luò)安全實驗--洪泛攻擊全文共4頁，當(dāng)前為第4頁。（5）通過對協(xié)議分析器所捕獲到的數(shù)據(jù)包進行分析，說明在攻擊者對靶機開放的TCP端口進行洪泛攻擊時，靶機為什么會消耗大量的系統(tǒng)資源:synFlood攻擊利用的是tcp協(xié)議的設(shè)計漏洞，正常的tcp連接要三次握手連接。當(dāng)?shù)谝淮握埱髎yn報文發(fā)送后，服務(wù)器發(fā)送應(yīng)答syn+ack報文，客戶端此時出現(xiàn)狀況或者故意不進行第三次握手，服務(wù)器會重新發(fā)送一次syn+ack報文，并等待一段時間，成為syn終止時間，如果沒有響應(yīng)，則判定無法連接，丟棄這個連接。當(dāng)攻擊者以數(shù)以萬計的半連接出現(xiàn)時，服務(wù)器要不斷的對所有半連接發(fā)送syn+ack報文重試，服務(wù)器的內(nèi)存和cpu不停的做這些沒有用的工作，從而消耗大量的系統(tǒng)資源。二．ICMP洪水攻擊（1）攻擊者啟動協(xié)議分析器，監(jiān)聽任意源與靶機間的ICMP會話數(shù)據(jù)，協(xié)議分析器設(shè)置方法參看步驟一。（2）靶機啟動“性能監(jiān)視器”，監(jiān)視在遭受到洪水攻擊時本機CPU、內(nèi)存消耗情況。具體操作參看步驟一。需要說明的是監(jiān)視的性能對象應(yīng)為ICMP，并且計數(shù)單位應(yīng)為“MessagesReceived/sec”。（3）攻擊者對靶機進行洪水攻擊，進入洪泛工具“ICMP洪水攻擊”視圖，填寫相關(guān)信息，并發(fā)ICMP洪水。（4）靶機觀察“性能”監(jiān)控程序中圖形變化，比較洪水攻擊前后系統(tǒng)性能變化情況。（5）攻