文/nokiaguy  出处/博客园

一、            什么是洪水攻击

洪水之猛、势不可挡。如果将洪水比作对计算机的攻击，那大家可以想象得出，攻击是多的猛烈。

在安全领域所指的洪水攻击是指向目标机器发送大量无用的数据包，使得目标机器忙于处理这些无用的数据包，而无法处理正常的数据包。在攻击过程中，目标机器的CPU的使用率将高于正常值，有时甚至会达到100%。这样将使目标机器的性能急剧下降。这有些象我们在日常生活中的电话，如果要使某个电话瘫痪，就不停地拨这个电话的号码，那么其它的电话就无法拨通这个电话，当然，要想不接到骚扰电话，唯一的方法是将电话线拔了。同样，要想计算机完全避免洪水攻击的唯一方法，就是不让这台计算机上网，更直接的就是将网线拔了。

二、            洪水攻击的原理

洪水攻击也称为拒绝服务攻击。可以有很多种方式进行这种攻击，本文主要讨论比较常用的利用TCP三次握手的漏洞来耗尽计算机资源的方式来进行攻击。

那么什么是TCP的三次握手呢？其实原理很简单。这要从TCP的连接过程说起。我们一般使用Socket API来进行TCP连接。要做的只是将IP或计算机名以及端口号传入connect函数，如果参数正确，目标机器的服务可用的话，这个TCP连接就会成功。之所以连接这么方便，是因为Socket API已经将一些底层的操作隐藏了起来。那么这里面究竟发生了什么呢？

我们由网络7层可知，在TCP所在的传输层下面是网络层，在这一层最有代表性的协议就是IP协议。而TCP数据包就是通过IP协议传输的。这就是我们为什么经常说TCP/IP协议的缘故。TCP在底层的连接并不是这么简单。在真正建立连接之前，必须先通过ICMP(Internet Control Message Protcol)协议对连接进行验证。那么如何验证呢？

假设有两台机器A和B。A使用TCP协议连接B，在建立连接之前，A先发一个ICMP报文（就是一个数据包）给B，B在接收到这个数据包后，利用ICMP报文中的源地址（也就是A的IP）再给A发一个ICMP报文，A在接到这个ICMP报文后，又给B发了一个ICMP报文，B如果成功接到这个报文后，就正式和A建立TCP连接。过程示意如图1所示：


 附件: 您所在的用户组无法下载或查看附件
图1 TCP连接的三次握手

问题就出在第二次握手上。如果是ICMP的报文的话，ICMP的源地址应该是A的IP，但如果是一个非法的ICMP报文的话，ICMP的源地址可能并不是A的IP，也许就是一个并不存在的IP。如果是这样，那在第二次握手时，B也就无法找到A了，这当然就不可能发生第三次握手。因为，B找不到A，而A又迟迟得不到B的回信，这样TCP就无法连接。但攻击者的目的并不是要建立TCP连接，而是要耗尽B的资源。由于B找不到A，B也就无法得到A的回信，如果这种情况发生，B并不会将在第一次握手中建立的资源马上释放，而会有一个超时，假设这个时间是10秒。如果A在这10秒内向B发送10000个这样的连接数据包，就意味着B要维护这10000个连接资源。如果过了10秒，B释放了这些资源，A在下一个10称还会发10000个连接包。如果A不断地发这样数据包，就意味着B将永远要维护这10000个连接，因此，B的CPU和内存将被耗尽，至少也得被占用大部分。所以B就无法响应其它机器的请求，或者是响应迟缓。

洪水攻击的实现

在上一部分我们讨论了洪水攻击原理，在这一部分我将给出一个完成的实例说明如何使用C语言来设计洪水攻击程序。

由于ICMP报文是用IP协议发送的，因此，我们需要自己定义IP数据包的数据结构，这样我们就可以任意修改IP数据包的内容了。下面是IP协议的数据结构。



这个结构比较复杂，我们只看其中3个，其余的成员可以参考《TCP/IP详解卷1：协议》的相关部分。最后两个成员sourceIP和destIP就是上述所说的A和B的IP。而最重要的就是checksum，这个参数是一个验证码，用于验证发送的IP数据包的正确性，我们把这个验证码称为校验和。计算它的函数如下：



看了上面的代码也许会有很多疑问，下面我就简单描述一下如何计算机IP数据包的校验和。IP数据包的校验和是根据IP首部计算机出来的，而并不对IP数据包中的数据部分进行计算。为了计算一个数作为校验和，首先把校验和字段赋为0。然后，对首部中每个16位进行二进制白马反码求和（我们可以将整个IP首部看成是由一组16位的字组成），将结果保存在校验和字段中。当收到一份IP数据报后，同样对首部中每个16位进行二进制反码的求和。由于接收方在计算机过程中包含了发送方存在首部的校验和，因此，如果首部在传输过程中没有发生任何差错，那么接收方计算的结果应该全是1.如果结果不全是1（即校验和错误），那么IP就丢弃收到的数据报。但不生成差错报文，由上层（如TCP协议）去发现丢失的数据报并进行重传。

由于我们要发送假的TCP连接包，因此，为分别定义一个伪TCP首部和真正的TCP首部。

感谢原创者的辛勤劳动，希望对您有所帮助，转载请注明原出处。

您可能对 [应用系统] 的这些文章也感兴趣： 视频：如何对企业数据进行架构设计？ 中小企业实施ERP不能照搬大企业模式 OpenSocial规范、实现现状与展望 微软将在Office 2007 SP2中支持ODF和PDF Line-In 音频采集方案设计 数据抽取、清洗与转换 BI项目中ETL设计 在这个Web框架满天飞的世界中，一些开发者还在构建其自己的框架 Sun MySQL全球巡展抵达中国站 IBM与SAP将联合开发软件 预计年底推出 IE6将要寿终正寝？

在以上的准备工作都完成后，就可以写main函数中的内容了。下面是程序的定义部分。



下一步就是初始化Raw Socket

第二步就是填充刚才定义的那些数据结构



最后一步是通过一个while循环发送向目标机器发送报文



到现在为止，我们已经完成了一个洪水攻击的控制台软件。本程序使用VC6.0调试通过。感性趣的读者可以下载本文提供的完整代码。在Debug目录中有一个exe程序，synflooding.exe，可以通过参数将目标IP传入exe。如synflooding 129.11.22.33，如果不带参数，默认就是本机（127.0.0.1）。软件的运行界面如图2所示，攻击后的CPU使用情况如图3如示。


 附件: 您所在的用户组无法下载或查看附件
图2 攻击软件运行界面


 附件: 您所在的用户组无法下载或查看附件
图3 CPU已经100%

    图3是我使用本机测试的结果，如果通过局域网攻击其它的机器，CPU未必能达到100%，但至少也在50%以上，可以使目标机器明显变慢。如果我们通过其它的黑客技术将这个程序改成分布式的洪水攻击，并降低每个单机攻击的频率。这样就算是再好的防火墙也无法防御。除非对方使用蜜罐等手段隐藏或设置虚假IP，否则这种最原始的攻击手段都会奏效。