选择“可靠性和性能”单击
选择“性能监视器”单击
选择“+”号单击
弹出添加计数器如下图所示
选择Datagrams Received/sec后单击“添加”得下图所示，单击确定。
当入侵者发起UDP Flood攻击时，可以通过在被攻击计算 机中的系统监视器，查看系统监测到的UDP数据包信息，如 图所示，图中左半部分的凸起曲线，显示了UDP Flood攻击 从开始到结束的过程，接收UDP数据包的最大速率为250包/ 秒，由于图中显示比例为0.1，所以对应的坐标为25。 在被攻击的计算机上打开Ethereal工具，可以捕捉由攻击 者计算机发到本地计算机的UDP数据包，可以看到内容为 “UDP Flood.Server stress test”的大量UDP数据包。
拒绝服务攻击与防范实验
一、实验目的

通过练习使用DoS/DDoS攻击工具对目标主机进 行攻击，理解DoS/DDoS攻击的原理及其实施过程， 掌握监测和防范Dos/DDoS攻击的措施
二、实验原理
拒绝服务（Denial of Service，DoS）攻击通常是针 对TCP/IP中的某个弱点，或者系统存在的某些漏洞，对 目标系统发起大规模的进攻，使服务器充斥大量要求 回复的信息，消耗网络带宽或系统资源，导致目标网 络或系统不胜负荷直至瘫痪、无法提供正常服务。 分布式拒绝服务（Distribute Denial of Service， DDoS）攻击是对传统DoS攻击的发展，攻击者首先侵 入并控制一些计算机，然后控制这些计算机同时向一 个特定的目标发起拒绝服务攻击。
在被攻击的计算机上打开Ethereal工具，可以捕捉 由攻击者的计算机发到本地计算机的异常TCP数据包， 可以看到这些TCP数据包的源计算机和目标计算机IP地 址都是10.0.83.117，这正是Land攻击的明显特征。
任务三 DDoS攻击演练
软件下载：到ftp://10.0.91.2，如图所示
任务二 Land攻击演练
软件到ftp://10.0.91.2下载，如图所示
Land的使用方法是在命令提示符下，在Land15所在的目录下输入命令“LAND15 10.0.83.117 80”，过程如下：运行cmd ，进入命令模式。
进入Land所在的磁盘和目录（假设Land放在D盘），操作如下：d:回车， cd land15回车，如下图所示。
DoS攻击可使用一些公开的软件进行攻击，发动较 为简单而且在较短的时间内即可达到效果，但要防止 这类攻击是非常困难的，从技术上看，目前还没有根 本的解决办法。 DoS攻击的实现方式主要包括：资源消耗、服务终 止、物理破坏等。例如：服务器的缓冲区满，不接受 新的请求。如SYN Flood洪泛攻击、Land攻击。 使用IP欺骗，迫使服务器将合法用户的连接复位， 影响连接。如Smurf攻击。
还有一种Fraggle攻击，它和Smurf攻击原理相同，只不 过使用的是UDP应答消息而不是ICMP。可以通过在防火墙 上过滤UDP应答消息实现对这种攻击的防范。 UDP Flood攻击也是利用TCP/IP服务来进行，它利用了 Chagen和Echo来回传送毫无用处的数据来占用带宽。在攻 击过程中，伪造与某一计算机的Chargen服务之间的一次 UDP连接，而回复地址指向开着Echo服务的一台计算机， 这样就生成在两台计算机之间大量的无用数据流，导致带 宽完全被占用而拒绝提供服务。防范UDP Flood攻击的办法 是关掉不必要的TCP/IP服务，或者配臵防火墙以阻断来自 Internet的UDP服务请求。
作业
将三个任务完成的过程和结果用截图的形式放入 Word文件，下课前发送到老师的信箱。
输入命令“land15 10.0.83.117 80（在不同的机房使用不同的IP）”回车， 得如图所示的结果，停止攻击按“Ctrl+c”键。
在攻击过程中，在被攻击的计算机上启动“任务管理器”，如图6-7所示， 可以看到CPU的使用率迅速上升，这说明Land攻击将导致被攻击主机的 CPU资源被耗费。
在Land攻击中，一个特别打造的SYN包的源地址和 目标地址都被设臵成某一个服务器地址，这时将导致 接受服务器向它自己的地址发送SYN-ACK消息，结果 这个地址又发回ACK消息并创建一个空连接，每一个 这样的连接都将保留直到超时。对Land攻击，不同的 操作系统反应不同，许多UNIX将崩溃，而WindowsNT 会变得极其缓慢（大约持续5分钟）。 预防Land攻击的最好办法是通过配臵防火墙，过 滤从外部发来的含有内部源IP地址的数据包。
Smurf攻击的原理如图6-1所示，攻击者主要使用IP广播和IP欺骗 的方法，发送伪造的ICMP Echo Request报给目标网络的IP广播 地址。 当攻击者向某个网络的广播地址发送ICMP Echo Request包时， 如果路由器对发往网络广播地址的ICMP包不进行过滤，则所有 主机都可以接收到该ICMP包，并且都要向ICMP包所指示的源 地址发送ICMP Echo Reply响应包。如果攻击者将发送的ICMP包 的源地址伪造成被攻击者的地址，则该响应包都要发往被攻击 的主机。这不仅造成被攻击主机流量过载、减慢甚至停止ቤተ መጻሕፍቲ ባይዱ常 的服务，而且发出ICMP响应包的中间受害网络也会出现拥塞甚 至网络瘫痪。为了防范这种攻击，最好关闭外部路由器或防火 墙的地址广播功能。
DDoS攻击者1.5软件是一个DDoS攻击工具，程序运行后自动装入 系统，并在以后随系统启动，自动对事先设定好的目标进行攻击。 DDoS攻击者1.5软件分为生成器（DDoSMaker.exe）和DDoS攻 击者程序（DDoSer.exe）两部分。软件在下载安装后是没有DDoS 攻击者程序的，只有生成器DDoSMaker.exe，DDoS攻击者程序要 通过生成器进行生成。生成时可以自定义一些设臵，如攻击目标 的域名或IP地址、端口等。DDoS攻击者默认的文件名为 DDoSer.exe，可以在生成时或生成后任意改名。DDoS攻击者程序 类似于木马软件的服务器端程序，程序运行后不会显示任何界面， 看上去好像没有反应，其实它已经将自己复制到系统中，并且会 在每次开机时自动运行，此时可以将复制过去的安装程序删除。 它运行时唯一会做的工作就是源源不断地对事先设定好的目标进 行攻击。DDoSer使用的攻击手段是SYN Flood方式。
三、实验环境
运行Windows 2008/XP的多台计算机，通过网络连 接，在其中某一台计算机上安装实验所需的软件。
任务一 UDP Flood攻击演练
实验软件到ftp://10.0.91.2下载，如图所示解压后可直接使用
UDP Flood是一种采用UDP Flood攻击方式的DoS软件， 它可以向特定的IP地址和端口发送UDP包。在 “IP/hostname”和“Port”文本框中指定目标主机的IP地 址和端口号，“Max duration（secs）”文本框中可设定最 长的攻击时间，在“Speed（pkts/sec）”中可以设臵UDP 包发送的速度，在“Data”选项区域中可定义UDP数据包中 包含的内容，默认情况下为UDP Flood.Serverstress test的 text文件内容。单击“Go”按钮即可对目标主机发起UDP Flood攻击，如图所示。从10.0.27.x（不同的机房IP不同）主 机发起UDP-Flood攻击，发包的速率为250包/秒。虽然本实 验只有一台攻击计算机，对网络带宽的占用率影响不大， 但攻击者数据很多时，对网络带宽的影响也不容忽视。
DDoSer1.5的设置：打开DDoSmaker.exe程序，界面如图所示。 DDoS攻击者具体设置如下： 目标主机的域名或IP地址”：就是要攻击主机的域名或IP地址，建议使用域名，因为IP地址是可以经常变换的，而域名一般不会变。 “端口”：就是要攻击的端口，请注意，这里指的是TCP端口，因为此软件只能攻击基于TCP的服务。如80就是攻击HTTP的服务，21就是攻击FTP服务，25就是攻 击SMTP服务，110就是攻击POP3服务等。 “并发连接线程数”：就是同时并发多少个线程去连接这个指定的端口，当然此值越大对服务器的压力越大，当然占用本机资源也越大。建议使用默认值，即10 个线程。 “最大TCP连接数”：当连接上服务器后，如果立即断开这个连接显然不会对服务器造成什么压力，而是先保持这个连接一段时间，当本机的连接数大于此值时， 就会开始断开以前的连接，从而保证本机与服务器的连接数不会超过此值。同样，此值越大对服务器的压力越大，当然占用本机资源也越大。建议使用默认值， 即1000个连接。 “注册表启动项键名”：就是在注册表里写入的启动项键名，当然是越隐蔽越好。 “服务器端程序文件名”：就是在Windows系统目录中的文件名，同样也是越隐蔽越好。 “DDoS攻击者程序保存为”：就是生成的DDoS攻击者程序保存在何处、它的文件名是什么 按照图6-9所示的设置后，软件就会自动生成一个DDoSer.exe的可执行文件，这个文件就是攻击程序，这个程序在哪台主机上运行，哪台主机就会自动向目标发起 攻击。因此为了达到较好的效果，可以将这个攻击者程序复制到多台计算机上并同时运行。
DDoSer.exe的运行及结果观察
在某台主机上运行DDoSer.exe，则这台主机就成 了攻击者的代理端，主机会自动发出大量的半连接请 求，在命令提示符下输入“netstat”命令来查看网络 状态。 从图中可以看到，主机自动向目标服务器发起大 量的SYN请求，这就说明主机开始利用SYN Flood攻击 目标了。
在被攻击的计算机10.0.27.10中可以查看收到的UDP 数据包，这需要事先对系统监视器进行配臵，依次执 行“控制面板”→“管理工具”→“性能”，首先在 系统监视器中单击右侧图文框上面的“+”按钮，弹出 “添加计数器”对话框，如图所示。在这个对话框中 添加对UDP数据包的监视，在“性能对象”组合框中 选择“UDP v4”协议，选择“从列表选择计数器”单 选按钮，并在下面的列表框中选择“Datagrams Received/sec”即对收到的UDP数据包进行计算，配臵 并保存在此计数器信息的日志文件。