第07章 tcp-ip网络协议攻击与防范.pdfVIP

By 王隆杰  7.1 TCP、UDP、ICMP攻击与防范  7.2 网络嗅探与防范 7.1 TCP、UDP、ICMP攻击与防范  1. SYN泛洪DOS攻击  服务拒绝 （DOS ，Denial of Service ）攻击时 ，攻击者想法占用被攻 击者的资源 ，例如：带宽、CPU、内存等，使得被攻击者无法响应正 常用户的请求。  TCP连接的建立 ： （1）TCP 客户端 （A）发送带同步序列号 (SYN)控制标志设置的数据段，指示包含在报头中的序列号字 段的初始值，用以开启三次握手。 （2）TCP 服务器需要确认从客户端处收到 SYN 数据段，从而建立从客户端到服务器的会话。为了达到 此目的，服务器应向客户端发送带 ACK 标志设置的数据段，表明确认编号有效。客户端将这种带确 认标志设置的数据段理解为确认信息，即服务器已收到从 TCP 客户端发出的 SYN 信息。 （3）TCP 客户端发送包含 ACK 信息的数据段，以示对服务器发送的 TCP SYN 信息的响应。在该数据段 中，不包括用户数据。一旦在客户端和服务器之间建立了双向会话，此后该通信过程中交换的所有 数据段都将包含 ACK 标志设置。  SYN泛洪 （Flood ）是一种广为人知的攻击 ，对现代网络不太有效。攻击者向 被攻击者发起大量的SYN包 （第一次握手包 ），并且伪装源IP地址。被攻击 者会发送SYN-ACK （第二次握手包 ）到假造的IP地址 ，因此永不可能收到 ACK （第三次握手包 ）。这样被攻击者将会等待ACK （第三次握手包 ）的达 到 ，从而占用内存和CPU的负载。通常把没有完全建立起来的连接称为半开 连接 ，大量半开连接的存在将使得正常用户无法和被攻击者建立正常的TCP 连接 ，从而无法提供正常的服务。  以HUC Syn 攻击工具为例说明SYN 攻击 ，该攻击不能运行在Windows XP SP3 上 ，因 此在Windows Server 2003 上运行。攻击目标是Windows Server 2008 SP1 ，该服务启 用Web 服务 ，在80 端口上 ，在该计算机上安装Wireshark 软件进行抓包。 Syn攻击工具命令格式如下： syn SourceIP SourcePort TargetIP TargetPort SourceIP Like xxx.xxx.0.0 SourcePort Use 0 for Change SourcePort, 1-65535 for Set SourcePort. TargetIP Flooding Host IP. TargetPort Flooding Host Port. Exmple: syn 0 80 syn 80 80  2. SYN泛洪DDOS攻击  如果是单台计算机采用SYN泛洪攻击对服务器进行攻击 ，效果应该不 很明显 ，但是如果采用人海战术、轮番轰炸 ，在多台计算机同时对服 务器进行攻击 ，则至少会造成网络拥塞 ，这种攻击就是分布式拒绝服 务攻击(DDOS ，Distributed Denial of Service)。  在攻击者计算机上 ，启动控制端软件 ，如图7-1-6 ，单击 “开始监听” 按钮 ，控制端软件默认在12345端口接收被控制端的连接。  在被控制端启动DDOS软件的服务端软件 （也称肉鸡 ），如图7-1-7。 在 “地址”文本框输入控制端的IP ：28 ，端口和控制端 的端口应该保持一致 ，单击 “连接”按钮。如果需要服务端软件开机 运行并自动连接控制端 ，则选中 “开机运行”和 “开机连接”按钮 ， 并单击 “保存”按钮。  在控制端上 ，应该能看到哪些被控制端 （服务端）已经连接上了。首先选中哪些 被控制端来进行攻击。在 “测试方案设置”选项区中 ，输入被攻击者的IP地址、 端口号 ，并选择 “方式”为SYN ，单击 “应用”开始攻击。如需停止攻击 ，单击 “停止”按钮。  【说明】该DDOS工具是服务器压力测试工具 ，并非木马。如果服务器端把界面隐藏了、 并且开机自动运行和自动连接 ，这时服务器端就是一个木马了 ，服务器端就成了名副其实 的肉鸡。  3. SYN泛洪攻击防范  （1 ）实际上现在的大多操作