SYN Flooding攻击

SYN Flooding攻击是一种很古老的攻击，其实质是DOS（即拒绝服务攻击），该攻击是利用TCP/IP的三次握手（后面会说到详细的过程），利用大量虚假的IP身份建立不完整连接，消耗目标主机的CPU。从而使目标主机近于瘫痪。

首先，简要介绍一下TCP/IP的三次握手：

SYN Flooding就是利用红色框中的阶段进行攻击的。大概是这样的：

攻击者向服务器或者目标主机发送SYN请求连接，服务器或者目标主机在收到连接请求时会进行请求确定，即向攻击者进行连接确认，此时攻击者便会停止向服务器发送确认连接的确认包，因此，服务器或目标主机就处在了等待确认的阶段，在正常情况下，服务器或目标主机在等待一定时间后就会停止等待，此次连接也就自然而然的结束了，也就不会造成什么危害。但是攻击者会在短时间里伪造大量的SYN请求连接包发给服务器或目标主机，即使每条SYN请求包会在很短时间内被丢弃，但是大量的请求包在同一时间进行请求连接，服务器或目标主机没有足够的时间去处理这些请求包，因此就会使服务器或目标主机的CPU利用率下降，甚至使服务器或目标主机瘫痪。那么，实验过程究竟是怎么样的呢？请看下文。

一、实验环境：

攻击机：Kali Linux

靶 机：Windows XP

（要说明一点，为什么要用Windows XP？其实，任何主机或者服务器都可以作为靶机，这里选用windows XP是因为用Kali来攻击Windows XP效果最明显，如果攻击Windows 10需要耗费大量的时间，也有可能一台电脑无法使Windows 10瘫痪，需要很多电脑同时攻击，这里为了实验效果明显，就选用Windows XP）

网卡连接：NAT（Vmnet 8）

IP地址：自动获取（通过Vmware软件自动分配IP地址）

二、实验步骤：

1、查看IP地址：

Kalinux（攻击机）： ifconfig eth0

Windows XP（靶机）： ipconfig /all（也可以直接在桌面上进行查看）

判断2台主机IP地址是否在同一个IP网段。

Kali（攻击机）的IP地址为192.168.223.137

windowsXP（靶机）的IP地址为192.168.223.133

两台主机处于同一网段。

2、连通性测试：

Windows XP（靶机）：关闭防火墙

Kali Linux（攻击机）：ping WindowsXP（靶机）的IP地址

如图，在Kali上可以ping通。

3、SYN Flooding攻击

Windows XP：打开任务管理器---性能（监控CPU资源的占用率）

可以看出：在没有受到SYNFlooding攻击之前CPU的使用率为0%

在Kali Linux的终端输入：

hping3 -q -n -a 伪造源IP地址 -S -s 伪造源端口 --keep -p 攻击的目标端口 --flood 目标IP（WinXP）

例如：

hping3 -q -n -a 2.2.2.2 -S -s 53 --keep -p 445 --flood 192.168.26.129（在这说明一下，为什么选择445端口进行攻击，因为在Windows XP中默认开放445端口，如果不知道目标主机的开放端口，可以使用NMAP进行端口扫描，然后找出目标主机开放的端口作为攻击的目标端口。

查看攻击效果：

查看Windows XP的CPU资源占用率是否为100%，并且居高不下。

在物理机上启动WireShark：

选择Vmnet8网卡---抓包---是否看到大量的源地址为2.2.2.2的TCP包

证明刚才的确有IP地址为2.2.2.2的主机（虚假主机）向192.168.223.133的主机（Windows XP）发送了大量的SYN请求包。

这就是一次SYN Flooding。

拓展：

其实，还可以进行FIN攻击，原理与SYN攻击一样，攻击者向服务器或目标主机发送大量的FIN请求包，由于攻击者并未和该服务器或目标主机进行过通信，因此，在服务器或目标主机接收到该FIN请求包后，会对该FIN包进行分析，这就需要耗费服务器或者目标主机的时间，当攻击者向服务器或目标主机发送大量FIN数据包时，就会消耗CPU使用率，达到和上面一样的效果。