第07章 tcp-ip网络协议攻击与防范.pdf

By 王隆杰
 TCP、UDP、ICMP攻击与防范
 网络嗅探与防范
TCP、UDP、ICMP攻击与防范
 1. SYN泛洪DOS攻击
服务拒绝(DOS,Denial of Service)攻击时,攻击者想法占用被攻
击者的资源,例如:带宽、CPU、内存等,使得被攻击者无法响应正
常用户的请求。
 TCP连接的建立:
(1)TCP 客户端(A)发送带同步序列号(SYN) 控制标志设置的数据段,指示包含在报头中的序列号字
段的初始值,用以开启三次握手。
(2)TCP 服务器需要确认从客户端处收到 SYN 数据段,从而建立从客户端到服务器的会话。为了达到
此目的,服务器应向客户端发送带 ACK 标志设置的数据段,表明确认编号有效。客户端将这种带确
认标志设置的数据段理解为确认信息,即服务器已收到从 TCP 客户端发出的 SYN 信息。
(3)TCP 客户端发送包含 ACK 信息的数据段,以示对服务器发送的 TCP SYN 信息的响应。在该数据段
中,不包括用户数据。一旦在客户端和服务器之间建立了双向会话,此后该通信过程中交换的所有
数据段都将包含 ACK 标志设置。
 SYN泛洪(Flood)是一种广为人知的攻击,对现代网络不太有效。攻击者向
被攻击者发起大量的SYN包(第一次握手包),并且伪装源IP地址。被攻击
者会发送SYN-ACK(第二次握手包)到假造的IP地址,因此永不可能收到
ACK(第三次握手包)。这样被攻击者将会等待ACK(第三次握手包)的达
到,从而占用内存和CPU的负载。通常把没有完全建立起来的连接称为半开
连接,大量半开连接的存在将使得正常用户无法和被攻击者建立正常的TCP
连接,从而无法提供正常的服务。
以HUC Syn 攻击工具为例说明SYN 攻击,该攻击不能运行在Windows XP SP3 上,因
此在Windows Server 2003 上运行。攻击目标是Windows Server 2008 SP1,该服务启
用Web 服务,在80 端口上,在该计算机上安装Wireshark 软件进行抓包。
Syn攻击工具命令格式如下:
syn <SourceIP> <SourcePort> <TargetIP> <TargetPort>
<SourceIP> Like
<SourcePort> Use 0 for Change SourcePort, 1-65535 for Set SourcePort.
<TargetIP> Flooding Host IP.
<TargetPort> Flooding Host Port.
Exmple:
syn 0 80
syn 80 80
 2. SYN泛洪DDOS攻击
如果是单台计算机采用SYN泛洪攻击对服务器进行攻击,效果应该不
很明显,但是如果采用人海战术、轮番轰炸,在多台计算机同时对服
务器进行攻击,则至少会造成网络拥塞,这种攻击就是分布式拒绝服
务攻击(DDOS,Distributed Denial of Service)。
在攻击者计算机上,启动控制端软件,如图7-1-6,单击“开始监听”
按钮,控制端软件默认在12345端口接收被控制端的连接。