TCP SYN Flood攻击与防御实验

DoS(拒绝服务攻击)
DDoS(分布式拒绝服务攻击)
TCP SYN Flood(TCP SYN洪攻击 flood 洪水，泛滥)

什么是SYN泛洪攻击：

利用TCP三次握手协议，大量与服务器建立半连接，服务器默认需要重试5次，耗时63s才会断开接，这样，攻击者就可以把服务器的syn连接队列耗尽，让正常的连接请求不能处理。
TCP-SYN Flood攻击又称半开式连接攻击，每当我们进行一次标准的TCP连接，都会有一个三次握手的过程，而TCP-SYN Flood在它的实现过程中只有前两个步骤。这样，服务方会在一定时间处于等待接收请求方ACK消息的状态。由于一台服务器可用的TCP连接是有限的，如果恶意攻击方快速连续地发送此类连接请求，则服务器可用TCP连接队列很快将会阻塞，系统资源和可用带宽急剧下降，无法提供正常的网络服务，从而造成拒绝服务。

一、实验目的

希望学生可以掌握TCP SYN Flood攻击的原理与防御方法。

二、实验拓扑图搭建

三、实验步骤

1、kali网络进行相关修改

拓扑图内两个路由器ip配置完成后，打开VMware开启kali，并将kali的网络修改为“仅主机模式”

（1）开启kali在我的计算机里找到kali，右击 点击【设置】

（2）在网络适配器这里设置为仅主机模式

（3）kali网络生效后使用ifconfig命令查看kali网络在哪个网段

2、云（cloud）设备配置

（双击打开云设备配置界面）
注：这里选择的网卡是自己虚拟机的网卡（即VM ware的网卡）
这里点击后网卡会出现网段，可根据kali网络生效后的网段直接选择我们需要的网卡

关闭云配置窗口就会发现cloud出现了可连接端口，按照拓扑图规划，连接好设备

3、路由器ip配置

这里的IP根据我们拓扑图的规划直接配置就可以 相关配置略
注：这里之所以配置为192.168.26.X是根据我们cloud映射的网卡，将拓扑图与自己的虚拟机设置为一个小型局域网

4、ensp虚拟机内使用ping命令检测网络连通性

使用路由器1ping路由器2 路由器1ping我们刚才开启kali 来测试网络的联通性

5、R1开启telnet服务，并配置密码

[R1]telnet server enable 开启telnet服务
[R1]telnet server port 23
[R1]user-interface vty 0 4 进入远程登陆接口（可以登录5个人）
[R1-ui-vty0-4]user privilege level 15
[R1-ui-vty0-4]authentication-mode password 认证模式为密码认证
[R1-ui-vty0-4]set authentication password simple 360创建一个明文的，密码为360的密码

6、R2远程登录R1

注：这里telnet连接登录时只能在视图模式下，不能再系统命令模式下
telnet 192.168.26.6

7、在kali中，使用hping3工具进行TCP SYN Flood攻击

hping3 -S --flood -p 23 192.168.26.6
参数解释：-S：指将TCP SYN字段置为1， -p 为目的端口

8、在交换机上对与R1相连的接口进行数据抓包，观察数据包

可以看到大量TCP SYN的数据包
打开R2的命令框，发现远程连接的R1设备无法输入命令，不能执行任何操作。这里就成功实施了一次DDOS攻击，导致系统资源和可用带宽急剧下降，无法提供正常的网络服务，从而造成拒绝服务。

9、进入R1 进行相关配置做TCP SYN flood的攻击防范

system-view
[R1]anti-attack tcp-syn enable 注：这里如果已经开启了会报错，没有开启的不hi报错
[R1]anti-attack tcp-syn car cir 8000 限制TCP SYN报文接收的速率
注：缺省情况下，TCP SYN报文接收的速率为155000000bit/s。这里将接受速率修改为8000

9.1、查看分片报文攻击的统计数据。

display anti-attack statistics tcp-syn

注：这里的数据是历史已经攻击的数据，也就是刚才我们使用kali攻击后的数据

9.2、查看分片报文攻击的统计数据。

reset anti-attack statistics tcp-syn
display anti-attack statistics tcp-syn

10、再次发起攻击并检验攻击效果

10.1、再次使用kali发起TCP SYN Flood攻击

kali内输入以下命令：
hping3 -S --flood -p 23 192.168.26.6

10.2、在R1里查看分片报文攻击的统计数据。

这里我们可以看到总攻击的数据包数量为81149，丢弃包的数量为80379，通过包的数量为770，TCP SYN flood攻击防范成功

四、实验结果

实验步骤中已有，自己进行总结

五、实验总结

本实验主要对TCP SYN Flood进行演示，同时通过在路由和交换设备的配置，完成了对TCP SYN Flood的防御。
通过本次实验学生应该掌握TCP SYN Flood的原理以及防御手段。
注：上交实验报告实验总结必须自己写，严禁照搬照抄