网络安全课程设计报告-.doc

1、网络安全课程设计实验报告班 级： 信息安全三班学 号： 0905030326姓 名： 指导老师： 完成时间:2012年9月20日目录第一部分 常规实验实验一 Windows基本常用网络命令 3实验二 网络扫描与监听（NetBScanner）11第二部分 编程与设计任务一 漏洞入侵 15任务二 UDP 和Dos攻击与防范 21任务三 木马的攻击与防范 28总结 36参考文献36、实验一 Windows基本常用网络命令一、实验目的1、了解或掌握一些网络常用命令 2、掌握Ping、IPConfig、Arp、Netstat、Net、Tracert、Nslookup、At等命令、参数及意义3、能应用上述

2、命令进行网络连通、网络状态、网络配置等查看网络问题二、实验原理（此处只详述本人于课程设计中用的较多的Ping和Netstat命令）1、Ping命令的使用技巧 Ping是个使用频率极高的实用程序，用于确定本地主机是否能与另一台主机交换（发送与接受）数据包.Ping是一个测试程序，如果Ping运行正确，我们大体上就可以排除网络访问层、网卡、MODEM的输入输出线路、电缆和路由器等存在的故障,从而减小为问题的范围.也因此,网络安全扫描技术中就包括有Ping扫射。2、Netstat命令的使用技巧 Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接

3、情况。如果你的计算机有时候接收到的数据报导致出错数据或故障，你不必感到奇怪，TCP/IP可以容许这些类型的错误，并能够自动重发数据报。但如果累计的出错情况数目占到所接收的IP数据报相当大的百分比，或者它的数目正迅速增加，那么你就应该使用Netstat查一查为什么会出现这些情况了。三、实验过程与步骤1、Ping命令、参数及意义（仅部分详细解释）ping ip地址或主机号：显示 4个回显包后停止ping。（缺省的）ping ip地址或主机号 -t ：对如 10。129。4。22 这个 IP 地址不断地发送 ICMP 数据包，可查看网络是否连通。要中途查看并继续发送数据包，按control+Brea

4、k键;要停止发送数据包，按control+c键。ping ip地址或主机号 -n count：显示 count个回显包后停止 ping。（ count可以根据你的需要任意指定） ping a ip地址：将ip地址有对应的主机号表示出来，并显示 3个回显包后停止 ping。2、 Netstat命令、参数及意义netstat s：按照各个协议分别显示其统计数据。如果某应用程序（如Web浏览器）运行速度比较慢，或者不能显示Web页之类的数据,那么就可以用本选项来查看一下所显示的信息。需要仔细查看统计数据的各行,找到出错的关键字，进而确定问题所在.netstat e:用于显示关于以太网的统计数据。它列

5、出的项目包括传送的数据报的总字节数、单播的数量、广播的数量、丢弃（删除）数、错误数和未知协议的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量.netstat r：显示关于路由表的信息，类似于使用route print命令时看到的 信息.除了显示有效路由外，还显示当前有效的连接。 netstat a：显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED）,也包括监听连接请求（LISTENING）的那些连接，断开连接（CLOSE_WAIT）或者处于联机等待状态的（TIME_WAIT）等。netstat n：显示所有已建立的有

6、效连接。四、 分析与结论 一下为本人在实验操作过程碰到或想到的并于最后通过请教同学或网上查询等的方法解决了的一些问题：1) 一台接入Internet 的主机出现无法访问的情况，怎样诊断原因？答：先试着测下本机是否和网关之间联通性正常。现在在主机cmd下输入 ping 127。0。01 如果不能得到回复说明你的pc没有装tcp/ip或是坏掉了，在网上另下一个安装下。如果回复正常的可以继续以下操作：还是在cmd命令行下ipconfig/all ，查看到本机ip情况,然后找到dhcp 、gateway（网关）的ip地址，然后在cmd 中输入命令:ping .（此处为查看得到的dhcp、gateway

7、的ip地址）。如果是得到正常回复，并有ttl值，说明正常,则可能是网关路由与外部的故障。如果不能得到正常回复，则说明你的主机到网关路由之间线路有故障。2） 假如已经通过缓冲区溢出攻击获得一台主机的shell，怎样将木马程序运行起来？答：缓冲区溢出是一种相当普遍的缺陷，也是一种非常危险的缺陷，在各种系统软件、应用软件中广泛存在。缓冲区溢出可以导致程序运行失败、系统死机等后果.如果攻击者利用缓冲区溢出使计算机执行预设的非法程序，则可能获得系统特权，执行各种非法操作。 缓冲区溢出攻击的基本原理是向缓冲区中写入超长的、预设的内容，导致缓冲区溢出，覆盖其他正常的程序或数据,然后让计算机转去运行这行预设的

8、程序，达到执行非法操作、实现攻击的目的。运行木马的步骤：计划任务、VS脚本、自动运行、开机运行等。实验二 网络扫描和监听一、实验目的网络扫描是对整个目标网络或单台主机进行全面、快速、准确的获取信息的必要手段。通过网络扫描发现对方,获取对方的信息是进行网络攻防的前提.该实验使学生了解网络扫描的内容,通过主机漏洞扫描发现目标主机存在的漏洞,通过端口扫描发现目标主机的开放端口和服务,通过操作系统类型扫描判断目标主机的操作系统类型。通过该实验，了解网络扫描的作用,掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法,能够通过网络扫描发现对方的信息和是否存在漏洞。要求能够综合使用以上的方法来获取

9、目标主机的信息。而网络监听可以获知被监听用户的敏感信息。通过实验了解网络监听的实现原理，掌握网络监听软件的使用方法，以及对网络中可能存在的嗅探结点进行判断的原理.掌握网络监听工具的安装、使用，能够发现监听数据中的有价值信息，了解网络中是否存在嗅探结点的判断方法及其使用。二、实验要求基本要求了解网络扫描的作用，掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法，能够通过网络扫描发现对方的信息和是否存在漏洞.掌握网络监听工具的安装、使用,能够发现监听数据中的有价值信息等.提高要求能够对网络中可能存在的嗅探结点进行判断的方法及工具使用等.三、过程与步骤1）下载网络扫描软件NetBScann

10、er 和网络监听工具Ethereal以及Nmap 和WinPcap 驱动安装包并安装。2）打开NetBScanner.3）点击其中绿色的开始按钮，软件自动开始对地址在同一域中的目标主机或目标网络的扫描。4)不久,NerBScanner中的停止按钮会变红并扫描完毕，就可以得到同一域中所有目标主机的扫描结果,结果界面中包括有所有有关目标主机的IP Address(主机IP地址）、Computer Name（主机名）、Workgroup（工作组）、MAC Address（主机物理地址）、Network Adapter Company（网络适配器公司）和Master Browser(主浏览器）等信息,

11、由此可看出所有有关目标主机的开放端口和服务。下图是扫描结果的部分内容。5)安装好WinPcap_4_0_beta3和Ethereal等软件.6）打开软件,开始抓包。选“Caputer-option”进入下一界面，默认设置直接点确定，软件开始抓包，出现如下界面：7)一小会时间后点击“stop”停止抓包。8）获取不同抓包类型，解析如下图：四、 分析与结论 以下是本人于实验过程中所思考的问题：1、网络扫描与网络监听的区别与比较？答：网络扫描：如果你对目标机进行网络扫描是指 扫描出该机所有已经打开或者可用的端口 以便于攻击或者查看是否打开某些不允许开启的软件 所以 如果你是网络管理员 你可以对网络进行

12、扫描 如果发现有的机子的某个端口打开，而该端口是某个限制使用的下载工具使用的端口 那么你就可以知道该机上使用了该软件。网络监听：是指你目标已经明确 对某端口进行监听 可以及时发现端口打开或者关闭，一般如果你给别人植入木马后 便会使用监听 如果成功 则你监听对象的某个你要使用的端口变会被打开 这个时侯 用网络监听便很方便了 。2、 端口漏洞分析：我们发现被扫描主机及自己主机开放的端口，有些开放的端口是极其不安全的，若是对被扫描主机的漏洞进行攻击，或于自己主机的开放端口上做好防护，就达到了我们扫描的目的。下面列举部分端口极其可能存在的威胁如下:端口21：FTP端口，攻击者可能利用用户名和密码过于简

13、单，甚至可以匿名登录的漏洞登录到目标主机上，并上传木马或者病毒而控制目标主机.端口23：Telnet端口，如果目标主机开放23端口，但用户名和密码过于简单,攻击者破解后就可以登录主机并查看任何信息,甚至控制目标主机。端口80:HTTP端口，此端口开放没有太大的危险,但如果目标主机有SQL注入的漏洞，攻击者就可能利用端口80进行攻击。端口139：NETBIOS会话服务段开口,主要用于提供Windows文件和打印机共享以及Unix中的Samda服务.139端口可以被攻击者利用,建立IPC连接入侵目标主机，然后获得目标主机的root权限并放置木马。端口443：网页浏览端口，主要用于HTTPS服务，是

14、提供加密和通过安全端口传输的另一种HTTP。HTTPS服务一般是通过SSL来保证安全性的，但是SSL漏洞可能会受到黑客的攻击，比如可以黑掉在线银行系统、盗取信用卡账号等.端口3389:这个端口的开放使安装了终端服务和全拼输入法的Windows 2000服务器（sql之前的版本)存在着远程者很容易的拿到Administrator组权限。任务一 漏洞入侵一、实验目的漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以是攻击者能够在未授权的情况下访问或破坏系统。 而入侵是指在未授权的情况下，试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为。 则漏洞入侵就是指攻击者通

15、过硬件、软件、协议的具体实现或系统安全策略上的缺陷在未授权的情况下访问或破坏系统.该实验使学生了解漏洞入侵的内容，必先通过主机漏洞扫描发现目标主机存在的漏洞，在利用这些漏洞来破坏主机或从中窃取有用信息.而网络监听可以获知被监听用户的敏感信息。通过实验了解网络监听的实现原理，掌握网络监听软件的使用方法，以及对网络中可能存在的嗅探结点进行判断的原理。掌握网络监听工具的安装、使用，能够发现监听数据中的有价值信息，了解网络中是否存在嗅探结点的判断方法及其使用。二、实验要求基本要求了解漏洞入侵的作用，掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法，能够通过网络漏洞扫描发现对方的信息和是否存

16、在漏洞。掌握网络监听工具的安装、使用，能够发现监听数据中的有价值信息等.提高要求能够对网络中可能存在的嗅探结点进行判断的方法及工具使用和掌握漏洞入侵工具的使用等。三、过程与步骤 1)、下载漏洞入侵需使用的工具啊D注入工具 2)、打开啊D注入工具，并在其网址栏中输入:http：/www.baidu。com/gaoji/advanced。html，点击“浏览网页”出现如下界面:3） 、在搜索结果的第一个框中输入inurl：（asp=数字)【如inurl：(asp=3486?)】，并现则搜索结果显示的条数为“每页显示100条”，其他默认设置,用来批量搜索注入点的语句,如下图：4） 、设置完后点“百度

17、一下”出现如图：5） 、将上图地址栏中的地址复制并粘贴到啊D注入工具中的地址栏中,点击“扫描注入点”，再点击地址栏右侧的第一个小按钮，之后开始等待，出现界面如下：以下为之后在宿舍再完善部分截图6） 、看到扫描出来的“可用注入点后【难题一：此处是经常会遇到问题的地方，我在输入inurl:（asp=数字)时有尝试过很多不同的数字即注入点，常常在到达这一步后可能扫描出来的“可用注入点”为0，需要耐心多次尝试使用不同的数字做注入点，才能成功】， 于其中任选一个，用右键放在上面单击“注入连接”，当该注入点出现在嘴上的注入连接框中后,点击该框后的“检测按钮【难题二：此处也常常会出现“这个连接不能SQL注入

18、，请试别的连接这也是需要自己耐心的多次尝试的】，等待检测表段亮了之后， 点击“检测表段”，再度等待至该框中出现如“vote、admin、user、news等表段后,左键单击“admin”选中， 点击“检测字段”,等待至出现“username、password、id”等检测字段，在这三个字段的前面方框打上勾， 然后单击“检测内容，继续等待,出现如下图：此时我们检测出了管理员的用户名和密码等这些信息，接下来我们就是要找到他们的后台。7） 、点击啊D注入工具左侧的“管理入口检测后，啊D地址栏中会出现对应网站地址，在点击该框后面的“检测管理入口”按钮，出现界面如下图：四、实验结果 检测出来的后台网址，

19、我们用浏览器打开出现了界面如下图：输入前面检测到的管理员用户名、密码等信息便登录进去了。接下来上传个ASP木马，这个我没在进行下去了。五、分析与结论 啊D注入工具注入点关键字搜集：inurl:CompHonorBig.asp?id=(等号后面填任意数字）inurl：asp常州 inurl:Article_Class2。asp？inurl：detail.php?CompHonorBig。asp？id=（括号里填任意数字）inurl:show。asp? 使用啊D注入工具进行漏洞入侵过程中碰到的问题很多，如无法检测到可用注入点、检测到的可用注入点连接不能SQL注入及选择检测表段时当同类特多的时候不知

20、道选哪个等难题时,需要的就是耐心和不放弃的态度，这些东西本就需要多次尝试的.任务二 UDP Dos攻击与防范一、实验目的通过联系使用DoS/DDoS攻击工具对目标主机进行攻击;理解DoS/DDoS攻击的原理和实施过程；掌握检测和防范DoS/DDoS攻击的措施。二、实验原理DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，它的攻击方法说白了就是单挑，是比谁的机器性能好、速度快。当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高时，他的效果是明显的.但随着计算机处理能力的迅速增长，内存大大增加,CPU运算能力越来越强大，这使得Do

21、S攻击的困难程度加大了.被攻击者对恶意攻击包的抵抗能力加强的不少。这时候分布式的拒绝服务攻击手段就应运而生了。所谓分布式拒绝服务（DDoS）攻击是指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击，从而成倍的提高拒绝服务攻击的威力。三、 过程与步骤及结果分析进行UDP Dos攻击与防范需要下载阿拉丁UDP洪水攻击器和Ddoser攻击器，这两个软件均不需要安装，只需配置便可运行并得以攻击。1、UDP-Flood攻击实践：（它是一种采用Dos攻击方式的软件，它可以向特定的IP地址和端口发送UDP包） 1)、打开阿拉丁UDP洪水攻击器，在目标IP栏于端口栏里填

22、入需要攻击的目标主机IP及所使用的端口，如下图：（填入机房局域网内目标主机IP为10.1。13。340的主机作为攻击对象，通过端口80即HTTP端口攻击）2） 、选择自己想要的强度，以达到自己想要的效果【难题一：起初我选用的是中等强度，但指示灯一直是红的，后来换成了高强度，指示灯才变绿，就是说高强度时我试验才攻击成功】，如下图：3）、接下来，在被攻击的目标主机上打开Ethereal抓包软件,选“Caputer-option”进入下一界面，默认设置直接点确定，软件开始抓包，出现如下界面：【结果分析】可以发现计算机受到大量的UDP数据包,积极秒就接近10万个UDP数据包，与此同时目标机明显变得有点

23、卡了。抓包类型也分析如下图：2、 DDoSer攻击实践：（它是一个DDoS攻击工具,程序运行后自动装入系统，并在以后随系统启动，自动对实现设定好的目标进行攻击)软件分为生成器和DDoS攻击者程序两部分，下载安装以后是没有DDoS攻击者程序的，只有生成器，生成时可以自定义一些设置，如攻击目标的域名后IP地址、端口等。DDoS攻击者程序默认的文件名是DDsSer.Exe，可以在生成时任意改名.DDoSer攻击程序类似于木马软件的服务器端程序,程序运行后不会显示任何界面，看上去像没反应一样,其实它已经将自己复制到系统里面了，并且每次开机将自动运行，此时可以将考过去的安装程序删除.它运行时唯一会做的是

24、不断的对事先设定好的目标进行攻击.DDoSer使用的攻击手段是SYN Flood方式。1)、打开DDoS攻击者生成器，将目标主机设置为域名为418038的主机，通过端口80即HTTP端口攻击，生成器主界面如下:【难题一：在生成前要先进行必要的设置,其中：“目标主机的域名或IP地址：这里建议使用域名，因为IP地址是经常变换的,而域名是不会变的.“端口”:就是要攻击的端口，这里指的是TCP端口，因为本软件只能攻击基于TCP的服务.80就是攻击HTTP服务,21就是攻击FTP服务，25就是攻击SMTP服务,110就是攻击POP3服务等等。“并发连接线程数”：就是同时并发多少个线程去连接这个指定的端口

25、，当然此值越大对服务器的压力越大,当然占用本机资源也越大，这里我建议使用默认值:10个线程.“最大TCP连接数”：当连接上服务器后，如果立即断开这个连接显然不会对服务器造成什么压力,而是先保持这个连接一段时间，当本机的连接数大于此值时，就会开始断开以前的连接，从而保证本机与服务器的连接数不会超过此值。同样，此值越大对服务器的压力越大，当然占用本机资源也越大，同样建议使用默认值：1000个连接。“注册表启动项键名：就是在注册表里写入的自己的启动项键名，当然是越隐蔽越好。“服务端程序文件名”：就是在Windows系统目录里自己的文件名，同样也是越隐蔽越好。“DDoS攻击者程序保存为：就是生成的DD

26、oS攻击者程序保存在哪里，它的文件名是什么。】2） 、点击“生成”按钮，出现界面如下：3）、确定好配置是正确的，点击“是按钮，出现如下界面： 4）、DDoS攻击者程序生成完毕，攻击者开始攻击，此时打开Ethereall抓包软件，选“Caputer-option”进入下一界面，默认设置直接点确定，软件开始抓包,出现如下界面：【结果分析】此时会看到抓包类型如下图： 同时,在主机上运行DDoSer。exe后，418-038这台主机就成了攻击者的代理服务器，主机会自动发送大量的半连接SYN请求，在命令提示符下输入netstat来查看网络状态,如下图:可以看到，主机自动的向目标服务器发起了大量的SYN请

27、求，这说明主机开始利用SYN Flood攻击目标了.通过上面对DoS/DDoS攻击原理的研究与几个软件的使用可知，如果发现本地计算机的网络通信量突然急剧增加，超过平常的极限值,就要提高警惕,检测是否遭受DoS/DDoS的攻击。四、分析与结论对于DDoS攻击的防范包括：对于Smurf类型DDoS攻击的防范，对于SYN类型DDoS攻击的防范。通过翻看书本，查阅资料,回忆上课内容，对DoS攻击以及DDoS攻击的攻击原理有了一定的把握，能够比较清楚的对其工作原理进行描述，了解其攻击工作机制;对TCP/IP协议下的网络安全形势有了一定了解。而对于DDoS攻击的防范也进行了一些了解，能做到自己不会成为被控

28、制的傀儡机，保护自己所在局域网不会有人发起Smurf攻击，以及如果作为网络管理员该如何应对DDoS攻击。任务三 木马的攻击与防范一、 实验目的通过对木马的练习，使读者理解和掌握木马传播和运行的机制;通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。二、 实验原理一般木马都采用c/s运行模式，原理是,木马服务器程序在主机目标上执行后，一般会打开一个默认端口进行监听，当客户端主动提出链接请求，服务器的木马就会自动运行，来应答客服端的请求，从而建立连接.三、 过程与步骤及结果（实验是后面别处做的，所以可能IP不一样)1、 攻击 1）、把冰河木马植入虚拟

29、机，并运行。入侵目标主机，首先运行G_Client.exe，扫描主机。从上图可以看出，搜索结果中，每个IP前都是ERR。地址前面的“ERR：”表示这台计算机无法控制。所以，为了能够控制该计算机，我们就必须要让其感染冰河木马.2） 、远程连接:使用Dos命令，net use ipipc,如下图所示：3） 、磁盘映射：本实验将目标主机的C盘映射为本地主机上的X盘,如下图所示:将本地主机上的G_Server.exe拷贝到目标主机的磁盘中，并使其自动运行。如下图所示：上图中，目标主机的C盘中没有G_Server。exe程序存在。4）、此时,目标主机的C盘中已存在冰河的G_Server.exe程序，使用

30、Dos命令添加启动事件，如下图所示:首先，获取目标主机上的系统时间，然后根据该时间设置启动事件。此时，在目标主机的Dos界面下，使用at命令,可看到:下图为设定事件到达之前(即G_Server。exe执行之前）的注册表信息，可以看到在注册表下的：HKEY_LOCAL_MACHINESofwareWindowsCurrentVersionRun，其默认值并无任何值.当目标主机的系统时间到达设定时间之后，G_Server.exe程序自动启动,且无任何提示。从上图可以看到，HKEY_LOCAL_MACHINESofwareMicrosoftWindowsCurrentVersionRun的默认值发生

31、了改变。变成了：C：WINDOWSSYSTEMKenel32.exe这就说明冰河木马安装成功，拥有G_Client。exe的计算机都可以对此计算机进行控制了.此时，再次使用G_Client。exe搜索计算机，可得结果如下图所示：从搜索结果可以看到，我们刚安装了冰河木马的计算机的IP地址前变成了“OK，而不是之前的“ERR”。下面对该计算机进行连接控制：难题一：上图显示，连接失败了，为什么呢？因为冰河木马是访问口令的,且不同的版本的访问口令不尽相同,本实验中,我们使用的是冰河V2.2版，其访问口令是05181977，当我们在访问口令一栏输入该口令（或右击“文件管理器”中的该IP，“修改口令”）,

32、并点击应用,即可连接成功。连接成功了，我们就可以在“命令控制台下对该计算机进行相关的控制操作了.2、防范与清除冰河当冰河的G_SErver。exe这个服务端程序在计算机上运行时，它不会有任何提示,而是在windows/system下建立应用程序“kernel32。exe”和“Sysexplr.exe”。若试图手工删除,“Sysexplr。exe”可以删除，但是删除“kernel32。exe”时提示“无法删除kernel32.exe：指定文件正在被windows使用”，按下“Ctrl+Alt+Del”时也不可能找到“kernel32.exe，先不管它，重新启动系统,一查找,“Sysexplr.e

33、xe一定会又出来的.可以在纯DOS模式下手工删除掉这两个文件。再次重新启动,你猜发生了什么？再也进不去Windows系统了。重装系统后，再次运行G_Server.exe这个服务端程序，在“开始“运行”中输入“regedit打开注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun下面发现=”C:WINDOWSSYSTEMKernel32。exe的存在,说明它是每次启动自动执行的.下图为卸载冰河木马前的注册表信息:卸载清除：1、远程把被攻击者机器上的冰河木马卸载掉。步骤如下图:2、木马删除。步骤如下：下图为清除冰河木马之

34、后的注册表信息：四、总结分析(包括问题和解决方法、心得体会、应用网络安全原理对实验中的现象与问题进行解释等）对于计算机木马的概念，我们都还局限在很窄的层面,通过对冰河木马的学习并使用它完成本次实验，认识到木马是怎样侵入到我们的计算机并获得所需要的信息的.本次实验，我们是利用IPC漏洞进行攻击的.不过，事实上，仅仅使用IPC漏洞扫描器并不太容易找到存在漏洞可供植入病毒的主机，通过其他途径（下载运行隐藏病毒文件）更容易使远程主机中木马病毒。对木马病毒的防护建议：1、 及时下载系统补丁，修补系统漏洞。2、 提高防范意识,不要打开陌生人的可以邮件和附件，其中可能隐藏病毒。3、 如果电脑出现无故重启、桌面异常、速度变慢等情况,注意检查是否已中病毒。4、 使用杀毒软件和防火墙，配置好运行规则。参考文献：1网络技术M。北京:高等教育出版社，2004:58642罗跃川。计算机网络技术及应用M.北京：航空工业出版社，2001：34-633天极网。拒绝服务攻击完全解析EB/OL.4郑彬.黑客攻防与入门进阶。第1版 北京/清华大学出版社， 2010年。5刘建伟、张卫东 安全网络实验教程 第1版 北京 清华大学出版社，2007年.6崔宝江，周亚建等 信息安全试验指导 第一版 北京 国防工业出版社 2005年