实验目的
了解DDoS攻击原理,及一个DDoS攻击的过程
实验内容
了解DDoS攻击原理,及一个DDoS攻击的过程
实验环境描述
1、 学生机与实验室网络直连;
2、 VPC1与实验室网络直连;
3、 学生机与VPC1物理链路连通;
实验步骤
学生登录实验场景的操作 1.学生单击 “网络拓扑”进入实验场景,单击windows2003中的“打开控制台”按钮,进入目标主机。如图所示:
2.学生输入密码p@ssw0rd,登录到实验场景中的目标主机。如图所示:
学生进入winxp可直接进入系统,登录到实验场景中的目标主机
3.先在window server 2003系统里,默认已经建一个网站可以正常访问。
- 进入XP系统,打开C:\tools\cc攻击器文件夹,运行cc攻击器,界面如下图:
5.在目标下的地址处,输入要攻击的网站网址,也可以是ip,不过在真实环境中最好是输入网址。其攻击模式如下图,一般选中动态CC,获取到目标网站类似于图中的动态地址,攻击开始后,就会针对该动态脚本进行攻击,然后会导致该URL不停的查询数据库,造成数据库进程占用CPU很高,这样服务器就会出现长时间卡顿或者死机。
6.运行cc攻击器程序的称为控制台,己被控的机器是傀儡机(肉鸡)。 点击上线主机,可以查看到当前所控制的傀儡机,因为平台环境有限,所以这里显示不出来被控制的肉鸡,但真实环境中,中了该工具关联的木马后,是会连接到该控制台的。如下图:
7.在全选或者反选那里,一定要选下全选or反选,它表示选中全部的肉鸡,在地址栏处输入我想要攻击的网址,单击开始就可以了。如下图:
cc主要是用来攻击页面的.大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,一般来说,访问的人越多,论坛的页面越多,数据库就越大,被访问的频率也越高,占用的系统资源也就相当可观这样,被cc攻击的网站,就可能会有超负载的页面请求!最后会不能正常的回应请求! cc的攻击的防御
- 使用cookie认证。 这时候朋友说cc里面也允许cookie,但是这里的cookie是所有连接都使用的,所以启用ip+cookie认证就可以了。
- 利用session。 这个判断比cookie更加方便,不光可以ip认证,还可以防刷新模式,在页面里判断刷新,是刷新就不让它访问,没有刷新符号给它刷新符号。给些示范代码吧, session: 1 then session(“refresh”)=session(“refresh”)+1 response.redirect “index.asp” end if 这样用户第一次访问会使得refresh=1,第二次访问,正常,第三次,不让他访问了,认为是刷新,可以加上一个时间参数,让多少时间允许访问,这样就限制了耗时间的页面的访问,对正常客户几乎没有什么影响。
- 代理 通过代理发送的http_x_forwarded_for变量来判断使用代理攻击机器的真实ip,这招完全可以找到发动攻击的人,当然,不是所有的代理服务器都发送,但是有很多代理都发送这个参数。详细代码: 这样会生成cclog.txt,它的记录格式是:真实ip [代理的ip] 时间,看看哪个真实ip出现的次数多,就知道是谁在攻击了。将这个代码做成conn.asp文件,替代那些连接数据库的文件,这样所有的数据库请求就连接到这个文件上,然后马上就能发现攻击的人。
- redirect 还有一个方法就是把需要对数据查询的语句做在redirect后面,让对方必须先访问一个判断页面,然后redirect过去。
- 限制ip连接数和cpu使用时间 在存在多站的服务器上,严格限制每一个站允许的ip连接数和cpu使用时间,这是一个很有效的方法。 cc的防御要从代码做起,其实一个好的页面代码都应该注意这些东西,还有sql注入,不光是一个入侵工具,更是一个ddos缺口,大家都应该在代码中注意。举个例子吧,某服务器,开动了5000线的cc攻击,没有一点反应,因为它所有的访问数据库请求都必须一个随机参数在session里面,全是静态页面,没有效果。突然发现它有一个请求会和外面的服务器联系获得,需要较长的时间,而且没有什么认证,开800线攻击,服务器马上满负荷了。