网络实验二

甘肃政法学院本科生实验报告(二）姓名:学院:信息工程学院专业:班级:实验课程名称:网络安全实验日期:2014年10月28日开课时间：2014-2015学年第一学期甘肃政法学院实验管理中心印制实验题目拒绝服务攻击SYN攻击小组合作无姓名班级学号一、实验目的1、掌握SYN攻击的方法；2、掌握xdos攻击工具的使用方法。二．实验环境本地主机(WindowsXP)、Windows实验台、Xdossynflood工具三、实验内容与步骤一、登录到Windows实验台中登录到Windows实验台，并从实验工具箱取得syn攻击工具XDoc。二、Windows实验台cmd下运行xdos攻击工具Xdos运行界面如图3.5.5-2所示。Xdos命令举例演示如下：xdos192.168.1.43139–t3–s55.55.55.55192.168.1.43为被攻击主机的ip地址（实验时请以被攻击主机真实ip为准）139为连接端口-t3表示开启的进程-s后跟的ip地址为syn数据包伪装的源地址的起始地址图3.5.5-2运行显示如图3.5.5-3，Windows实验台正在对本地发送syn数据包。图3.5.5-3在目标主机使用wireshark抓包，如图3.5.5-4所示，可以看到大量的syn向192.168.1.43主机发送，并且将源地址改为55.55.55.55后面的ip地址。图3.5.5-4三、本地主机状态在目标主机使用命令netstat-an查看当前端口状态，如图3.5.5-5所示，就会发现大量的syn_received状态的连接，表示192.168.1.43主机接受到syn数据包，但并未受到ack确认数据包，即tcp三次握手的第三个数据包。图3.5.5-5查看本地网络状态当多台主机对一台服务器同时进行syn攻击，服务器的运行速度将变得非常缓慢。四、实验过程与分析SYN-Flood是目前最流行的DDoS攻击手段，DDoS只是洪水攻击的一个种类。其实还有其它种类的洪水攻击。以前的DoS手段在向分布式这一阶段发展的过程中也经历了逐步淘汰的过程。SYN-Flood的攻击效果最好，故众黑客不约而同选择它。从防御角度来说，有几种简单的解决方法：第一种是缩短SYNTimeout时间，由于SYNFlood攻击的效果取决于服务器上保持的SYN半连接数，这个值等于SYN攻击的频度。SYNTimeout，可以通过缩短从接收到SYN报文到确定这个报文无效并丢弃该连接的时间，例如设置为20秒以下(过低的SYNTimeout设置可能会影响客户的正常访问)，可以成倍的降低服务器的负荷。第二种方法是设置SYNCookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后来自这个IP地址的包会被丢弃。五、实验总结1、一个用户出现异常导致服务器的一个线程等待1分钟并不是很严重的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。2、实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常小)，此时从正常客户的角度看来，服务器失去响应，这种情况称做：服务器端受到了SYNFlood攻击(SYN洪水攻击)。