文档介绍:网络攻防课程设计
The final edition was revised on December 14th, 2020.
目 录
K 的重试。实际上假如服务器的 TCP/IP 栈不够强大,最终的结果往往是堆栈溢出崩溃—— 即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的 TCP 连接恳求而无暇理睬客户的正常恳求(到底客户端的正常恳求比率格外之小),此时从正常客户的角度看来, 服务器失去响应,这种状况就称作:服务器端受到了 SYN Flood 攻击(SYN ***)。
TCP 三次握手示意图
DDOS 分布式示意图
UDP ***
攻击者利用简洁的 TCP/IP 服务,如 Chargen 和 Echo 来传送毫无用处的占满带宽的数据。通过伪造与某一主机的 Chargen 服务之间的一次的 UDP 连接,回复地址指向开着 Echo 服务的一台主机,这样就生成在两台主机之间存在很多的无用数据流,这些无用数据流就会导致带宽的服务攻击。在实际状况下,攻击者会利用肯定数量级的傀儡机器同时进行攻击,这时候就有可能发生受害机 UDP 沉没。
被 UDP 攻击机示意图
洪流攻击
这种攻击方式是早期的方式,又被陈为死芒之 PING,是利用系统的自身漏洞实现的,具体原理是很多操作系统对 TCP/IP 栈的实现在 ICMP 包上都是规定 64KB,并且在对包的标题头进行读取之后,要依据该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的,声称自己的尺寸超过 ICMP 上限的包也就是加载的尺寸超过 64K 上限时,就会消灭内存安排错误,导致 TCP/IP 堆栈崩溃,致使接受方死
机。
其他方式的攻击原理
teardrop 攻击:是利用在 TCP/IP 堆栈中实现信任 IP 碎片中的包的标题头所包含的信息来实现自己的攻击
Land 攻击:用一个特殊打造的 SYN 包,它的原地址和目标地址都被设置成某一个服务器地址。
Smurf 攻击:通过使用将回复地址设置成受害网络的广播地址的 ICMP 应答恳求(ping)数据包来沉没受害主机的方式进行
攻击过程或步骤流程
攻击使用的工具TFN
TFN 由主控端程序和代理端程序两部分组成,它主要实行的攻击方法为:SYN 风暴、Ping 风暴、UDP 炸弹和 SMURF,具有伪造数据包的力量
Trinoo
Trinoo 的攻击方法是向被攻击目标主机的随机端口发出全零的 4 字节 UDP 包,在处理这些超出其处理力量的垃圾数据包的过程中,被攻击主机的网络性能不断下降, 直到不能供应正常服务,乃至崩溃。它对 IP 地址不做假,接受的通讯端口是: NETWOX 网络工具包
NETWOX 是一款综合性的工具包,包含上百种的网络工具,接受字符界面形式,功能性能强大
SYN flood 攻击模拟过程
1 启动两个虚拟机系统,一个为 WIN2008(A 机),一个为 XP(B
机)。然后在 Win2003 虚拟机(A 机)上运行抓包软件 SmartSniff,查看当前的网络通信状况。
两架计算机连通正常2 在 XP 上运行 smartsniff 查看当前的网络状态
当前网络良好