By王隆杰7.1TCP、UDP、ICMP攻击与防范7.2网络嗅探与防范7.1TCP、UDP、ICMP攻击与防范1.SYN泛洪DOS攻击服务拒绝(DOS,DenialofService)攻击时,攻击者想法占用被攻击者的资源,例如:带宽、CPU、内存等,使得被攻击者无法响应正常用户的请求。TCP连接的建立:(1)TCP客户端(A)发送带同步序列号(SYN)控制标志设置的数据段,指示包含在报头中的序列号字段的初始值,用以开启三次握手。(2)TCP服务器需要确认从客户端处收到SYN数据段,从而建立从客户端到服务器的会话。为了达到此目的,服务器应向客户端发送带ACK标志设置的数据段,表明确认编号有效。客户端将这种带确认标志设置的数据段理解为确认信息,即服务器已收到从TCP客户端发出的SYN信息。(3)TCP客户端发送包含ACK信息的数据段,以示对服务器发送的TCPSYN信息的响应。在该数据段中,不包括用户数据。一旦在客户端和服务器之间建立了双向会话,此后该通信过程中交换的所有数据段都将包含ACK标志设置。SYN泛洪(Flood)是一种广为人知的攻击,对现代网络不太有效。攻击者向被攻击者发起大量的SYN包(第一次握手包),并且伪装源IP地址。被攻击者会发送SYN-ACK(第二次握手包)到假造的IP地址,因此永不可能收到ACK(第三次握手包)。这样被攻击者将会等待ACK(第三次握手包)的达到,从而占用内存和CPU的负载。通常把没有完全建立起来的连接称为半开连接,大量半开连接的存在将使得正常用户无法和被攻击者建立正常的TCP连接,从而无法提供正常的服务。以HUCSyn攻击工具为例说明SYN攻击,该攻击不能运行在WindowsXPSP3上,因此在WindowsServer2003上运行。攻击目标是WindowsServer2008SP1,该服务启用Web服务,在80端口上,在该计算机上安装Wireshark软件进行抓包。Syn攻击工具命令格式如下:synLikexxx.xxx.0.0Use0forChangeSourcePort,1-65535forSetSourcePort.FloodingHostIP.FloodingHostPort.Exmple:syn192.168.0.00192.168.0.180syn192.168.0.080192.168.0.1802.SYN泛洪DDOS攻击如果是单台计算机采用SYN泛洪攻击对服务器进行攻击,效果应该不很明显,但是如果采用人海战术、轮番轰炸,在多台计算机同时对服务器进行攻击,则至少会造成网络拥塞,这种攻击就是分布式拒绝服务攻击(DDOS,DistributedDenialofService)。在攻击者计算机上,启动控制端软件,如图7-1-6,单击“开始监听”按钮,控制端软件默认在12345端口接收被控制端的连接。在被控制端启动DDOS软件的服务端软件(也称肉鸡),如图7-1-7。在“地址”文本框输入控制端的IP:192.168.65.128,端口和控制端的端口应该保持一致,单击“连接”按钮。如果需要服务端软件开机运行并自动连接控制端,则选中“开机运行”和“开机连接”按钮,并单击“保存”按钮。在控制端上,应该能看到哪些被控制端(服务端)已经连接上了。首先选中哪些被控制端来进行攻击。在“测试方案设置”选项区中,输入被攻击者的IP地址、端口号,并选择“方式”为SYN,单击“应用”开始攻击。如需停止攻击,单击“停止”按钮。【说明】该DDOS工具是服务器压力测试工具,并非木马。如果服务器端把界面隐藏了、并且开机自动运行和自动连接,这时服务器端就是一个木马了,服务器端就成了名副其实的肉鸡。3.SYN泛洪攻击防范(1)实际上现在的大多操作系统已经实现了抵御SYN泛洪攻击的功能,据笔者验证只要WindowsXP系统装上SP3、Windows7装上SP1、WindowsServer2003和2008装上SP1,应该都能抵抗SYN防洪攻击。(2)或者添加/修改注册表“HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”下的值:"SynAttackProtect"=dword:00000002"TcpMaxHalfOpen"=dword:00000064"TcpMaxHalfOpenRetried"=dword:00000050"TcpMaxConnectResponseRetransmissions"=dword:00000000"TcpMaxDataRetransmissions"=dword:00000003"TCPMaxPortsExhausted"=dword:00000005"DisableIPSourceRouting"=dword:0000002"TcpTimedWaitDelay"=dword:0000001e(3)最有效的,应该是...
