摘要：每当加载passthru后，再次卸载或者禁用passthru会导致卡住，可能原因：资源没有释放。而且在加载passthru驱动后，winpcap会出现卡死，最后资源耗尽的情况，具体表现为“ping，no resource”。明天测试，仅利用pcap_sendpacket发送大量数据包，会不会卡死？调试passthru时，先“!sym noisy”，然后“.reload passthru”，注意passthru残留而导致的symbol不匹配的情况。 阅读全文

摘要：“视图”-“属性管理器”：展开“Debug|Win32”双击“Microsoft.Cpp.Win32.user”，在这个里面添加包含目录后，可以实现全局设置。 阅读全文

摘要：搭建两种实现方式的客户端平台复习指针、引用、值传参。1. 平台搭建简化跳变过程，假设跳变周期很长，于是有令虚拟服务器为As:Ps，当前服务端信息（IP地址和端口）为A1:P1，内部服务器端信息为A0:P0。a. 应用层客户端：利用winpcap抓包转发。b. 驱动层客户端：利用中间层驱动修改数据包。 阅读全文

摘要：性能比较：比较多次运行态转换所消耗的资源积累，（CPU，内存，网络带宽）。传输大文件（4G），带宽1Mbytes/s,资源负载情况的对比。从开始发送文件开始，截取相同时间内的数据。发送相同大小文件的速率对比，两条曲线，x轴为时间，y轴为速度。 阅读全文

摘要：DNS反射攻击利用DNS协议的安全漏洞进行的攻击的拒绝访问攻击方式，攻击者利用僵尸网络向DNS服务器发送DNS请求，并将请求数据包的源地址设置为受害者。原理简单，但效果明显。首先，在僵尸机上需要安装wpcap，用于发送携带虚拟源地址IP数据包。然后，构造攻击数据包。简单的实现方式如下：封装wpcap为MPcap类View Code #pragma once#include <vector>using namespace std;#include <pcap.h>typedef struct{ string name, desc, addrs;}Device, *PDev 阅读全文

摘要：DDoS的检测分类基于某种具体DDoS攻击的特征检测。借用入侵检测系统进行异常检测。1. 特征检测MULTOPS监控出入链路的流量，当流量比异常时，认为有可能发生DDoS攻击；SYN和FIN包比例最早用于SYN洪泛攻击检测。Bloom Filter记录一段时间内的SYN包数量，消除FIN/RST包的影响。还有基于时间序列，光谱分析，小波分析和统计特性等。光谱分析假设攻击流量没有周期性的特征且进队TCP流有效，时间序列仅对部分已知攻击有效。基于统计特性和机群学习等来检测。针对应用层DDoS攻击，利用半隐马式描述用户流量网页的行为，然后据此检测HTTP请求flood攻击。组测试理论：假设攻击者的请 阅读全文

摘要：一、出入口过滤在ISP边缘路由器上对数据包进行检测，对于达到本AS的数据包，判断其源地址是否为本AS曾经发到的地址，对于发出去的数据包，判断其源地址是否属于本AS。uRPF（RFC3704）单播反向路径转发检测，当某个物理接口接收到一个IP包后，查看以该包的源地址作为目的地址的IP包能否通过该物理接口发送。但由于不对称路由的存在，rRPF存在一定的局限性。有文献提出让AS之间认证的SPM方法，PassPort方法，BASE协议，SAVA僵尸网络采用真实的IP地址进行攻击。IP追踪上，《基于概率的包标记PPM、FIT和基于hash的IP包追踪》，分布式的分而治之的方式进行追踪。构建攻击树，攻击路 阅读全文

摘要：拒绝服务攻击，英文：Denial of Service Attack（DoS）。主要针对两种目标的攻击，一是系统漏洞，二是系统资源。前者通过系统更新、修补漏洞等可以有效地解决，但后者则难以解决。历年的DoS攻击事件2000.02，Yahoo网站受到DDoS攻击瘫痪3个小时。2006.03，ICANN报道了DDoS攻击流量达到214G。2007年，爱沙尼亚政府被迫封禁国外IP访问。DDoS攻击以46%的比例位居第一位。DDoS攻击的四个基本要素幕后攻击者僵尸网络攻击机群受害者DDoS攻击的分类（按包类型）网络传输层攻击：包括SYNFlood，ICMPFlood，UDPFlood和IP包分片Flo 阅读全文

摘要：Udp类：对UDP套接字进行封装udp.h 1 // udp.h对UDP套接字进行封装 2 #ifndef __UDP_H__ 3 #define __UDP_H__ 4 5 class Udp 6 { 7 private: 8 int sock; //套接字描述符 9 public:10 int Open(char *errbuff);11 void Close();12 int Bind(char* addr, unsigned short port, char* errbuff);13 int Recv(char* buf... 阅读全文

摘要：实现一个UDP类类名Udpprivateintsock套接字描述符publicintOpen(char *errbuff)创建新的套接字，如果出错的将错误内容填充在errbuff中，errbuff可为空；如果成功，返回0，否则返回-1；voidClose()关闭套接字 阅读全文

摘要：在进行开发之前，需要配置好windows的winpcap开发环境。首先，从winpcap官网下载最版本的开发winpcap，地址为http://www.winpcap.org/devel.htm。其次，配置Visual Studio C++6.0开发IDE。在包含目录中添加需头文件目录和lib目录（tools->options）然后，新建工程uflood。在静态链接库中添加wpcap.lib，预定义中添加WPCAP HAVE_REMOTE。 阅读全文