您当前的位置:首页 > 计算机 > 安全防护

SYN Flooding攻击

时间:11-21来源:作者:点击数:

SYN Flooding攻击是一种很古老的攻击,其实质是DOS(即拒绝服务攻击),该攻击是利用TCP/IP的三次握手(后面会说到详细的过程),利用大量虚假的IP身份建立不完整连接,消耗目标主机的CPU。从而使目标主机近于瘫痪。

首先,简要介绍一下TCP/IP的三次握手:

SYN Flooding就是利用红色框中的阶段进行攻击的。大概是这样的:

攻击者向服务器或者目标主机发送SYN请求连接,服务器或者目标主机在收到连接请求时会进行请求确定,即向攻击者进行连接确认,此时攻击者便会停止向服务器发送确认连接的确认包,因此,服务器或目标主机就处在了等待确认的阶段,在正常情况下,服务器或目标主机在等待一定时间后就会停止等待,此次连接也就自然而然的结束了,也就不会造成什么危害。但是攻击者会在短时间里伪造大量的SYN请求连接包发给服务器或目标主机,即使每条SYN请求包会在很短时间内被丢弃,但是大量的请求包在同一时间进行请求连接,服务器或目标主机没有足够的时间去处理这些请求包,因此就会使服务器或目标主机的CPU利用率下降,甚至使服务器或目标主机瘫痪。那么,实验过程究竟是怎么样的呢?请看下文。

一、实验环境:

攻击机:Kali Linux

靶 机:Windows XP

(要说明一点,为什么要用Windows XP?其实,任何主机或者服务器都可以作为靶机,这里选用windows XP是因为用Kali来攻击Windows XP效果最明显,如果攻击Windows 10需要耗费大量的时间,也有可能一台电脑无法使Windows 10瘫痪,需要很多电脑同时攻击,这里为了实验效果明显,就选用Windows XP)

网卡连接:NAT(Vmnet 8)

IP地址:自动获取(通过Vmware软件自动分配IP地址)

二、实验步骤:

1、查看IP地址:

Kalinux(攻击机): ifconfig eth0

Windows XP(靶机): ipconfig /all(也可以直接在桌面上进行查看)

判断2台主机IP地址是否在同一个IP网段。

Kali(攻击机)的IP地址为192.168.223.137

windowsXP(靶机)的IP地址为192.168.223.133

两台主机处于同一网段。

2、连通性测试:

Windows XP(靶机):关闭防火墙

Kali Linux(攻击机):ping WindowsXP(靶机)的IP地址

如图,在Kali上可以ping通。

3、SYN Flooding攻击

Windows XP:打开任务管理器---性能(监控CPU资源的占用率)

可以看出:在没有受到SYNFlooding攻击之前CPU的使用率为0%

在Kali Linux的终端输入:

hping3 -q -n -a 伪造源IP地址 -S -s 伪造源端口 --keep -p 攻击的目标端口 --flood 目标IP(WinXP)

例如:

hping3 -q -n -a 2.2.2.2 -S -s 53 --keep -p 445 --flood 192.168.26.129(在这说明一下,为什么选择445端口进行攻击,因为在Windows XP中默认开放445端口,如果不知道目标主机的开放端口,可以使用NMAP进行端口扫描,然后找出目标主机开放的端口作为攻击的目标端口。

查看攻击效果:

查看Windows XP的CPU资源占用率是否为100%,并且居高不下。

在物理机上启动WireShark:

选择Vmnet8网卡---抓包---是否看到大量的源地址为2.2.2.2的TCP包

证明刚才的确有IP地址为2.2.2.2的主机(虚假主机)向192.168.223.133的主机(Windows XP)发送了大量的SYN请求包。

这就是一次SYN Flooding。

拓展:

其实,还可以进行FIN攻击,原理与SYN攻击一样,攻击者向服务器或目标主机发送大量的FIN请求包,由于攻击者并未和该服务器或目标主机进行过通信,因此,在服务器或目标主机接收到该FIN请求包后,会对该FIN包进行分析,这就需要耗费服务器或者目标主机的时间,当攻击者向服务器或目标主机发送大量FIN数据包时,就会消耗CPU使用率,达到和上面一样的效果。

方便获取更多学习、工作、生活信息请关注本站微信公众号城东书院 微信服务号城东书院 微信订阅号
推荐内容
相关内容
栏目更新
栏目热门