DDoS攻击及防御.docx

实训十四
攻击及防御
年级：班级：组别：
小组成员：
评分：
【实训目的】
了解DDoS攻击的原理和后果；
掌握防火墙防御DDoS攻击的设置。
【基本原理】
分布式拒绝服务攻击，通常简称1OOMb
IAM2
,1
OflQ?EEQ0:
2W
34
鄭1
WOMb
LAN3

26;12
0O:tA-.BE:00:26:13
1S0&
1080
2436
lCOMb
LAN4
DO::00:26:14
1500
0
w0
3、设置WEB服务器、攻击机、客户机的TCP/IP属性。
4、在WEB服务器上配置网站首页，要求有自己的姓名和学号。
二、配置防火墙，让网络连通
1、通过端□映射使DMZ区的Web服务器，能够以外网地址（）的方式访问。
防火墙”
“NAT策略”“DNAT策略”，通过下面的配置，点击“保存”
|SHAT黄砧鬲第
DHAT建賂
保存
返回
生成DNAT策略
ONAT養皓
SHAT債略鬲履
XAU
□迎■列表
序号▲
DMAT网□
DNAT耀址
TCP
wgn
(wsnB・1)
10001[S0]
添加
2、在防火墙”〉NAT策略”〉SNAT策略”配置一条策略，使内部网络转变成外网IP,让
内部网络可以访问外网，截图。
3、攻击为发生前，://,确认访问正常，截图。
4、设置DDoS攻击，。
通过攻击工具,（若攻击强度不够,可以增
加攻击机器）
5、查看正常的HTTP访问是否可以进行
已经无法正常访问Web服务器提供的HTTP访问了
6、为防火墙设置DDoS防御
网络设置”“网口配置”“高级”
闿口祈惜设牡1对1厲11童音:全阿莎
弓电tWPecho
tCUFprJ
區暑l/utxjhti
诵転CMP
»=Ttpr-ffr
-詐ECX
气旦1XP好丁勻
—邑隔SACK
|6553M~
GO
ViUOF.
网
♦-itkP]
it」
r
■-|e5535
xESTNfbadp工
—甘
-TLiLifrtad
u
€4/
IMClifffteaa:*9
o|m
w
萌
L
1—
L
LAFir
L
参数定义:
屏蔽ICMPecho:该选项针对以广播形式的拒绝服务攻击。
屏蔽ICMPping:该选项使防火墙对于任何ping都不回应
屏蔽multicast：，该选项可以避免生成这类日志
屏蔽IGMP:IGMP数据包本身是无害的，但会造成大量的日志；该选项可以避免生成这类日志
启用TCP时间戳：在高速连接时提供TCP的效率
启用ECN:启动显性网络拥塞通知。
启用TCP滑动窗□:使TCP的往复确认变得更有效率
启用SACK:当丢包率上升时，启动该选项将提高TCP的效率。启用连接状态检测：一般使用默认值
启用SYN+FIN防御：SYN+FIN扫描可以后台扫描整个网段，这种扫描攻击对于蓝盾防火墙没有任何影响，该选项是为了使防火墙忽略这种扫描，不在日志中记录。
启用SYNcookies:该选项用来防范SYNFlood攻击的一种手段
启用SYNflood防御：防范SYN洪水攻击
启用UDPflood防御：防范UDP数据包的攻击
启用ICMPflood防御：防范ICMPping大流量的攻击
高级”处进行设置，开启防DDoS攻击的设置项，如：
KS
RQ]桥揍设定
!■■■4
大申165呂35
5=S\NRotsd9V
週療|300
w
遇挣（600
DMZ
LAM2
7、再次查看正常的HTTP访问可以进行，截图。
【实训总结】
实际上，对于DDoS攻击并没有百分之