前言：

沙雕老师用这个老掉牙的工具，没办法，网上能找到的教程几乎为0，故写一篇教程

环境

3+1，wireshark+SYNkiller，1台被ddos主机上抓取另三个人的ip地址

开始

此教程使用的是 win10+win7 x64位，与课堂要求稍微不同，希望观者能够举一反三。

先解决老掉牙的问题

1：什么是ddos？
答： 分布式拒绝服务，主要通过大量合法的请求占用大量网络资源,从而使合法用户无法得到服务的响应

2：什么是syn？
答：同步序列编号（Synchronize Sequence Numbers）。是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时，客户机首先发出一个SYN消息，服务器使用SYN+ACK应答表示接收到了这个消息，最后客户机再以ACK消息响应

3：tcp重要标记位
答：URG：紧急指针
ACK：PUSH标志的数据
RST：用于复位某种原因引起的错误连接
SYN：用来建立链接
FIN：用来释放链接
4：什么是tcp，ip
Tcpip是一个网络通信模型,以及一整个网络传输协议家族,为互联网的基础通信架构

5：ddos种类
SYN Flood攻击即洪水攻击是通过TCP建立3次握手连接的漏洞产生
ACK Flood是对虚假的ACK包，目标设备会直接回复RST包丢弃连接
UDP Flood是使用原始套接字伪造大量虚假源IP的UDP包，主要以DNS协议为主
ICMP Flood 即Ping攻击，是一种比较古老的方式。
CC攻击即ChallengeCollapsar挑战黑洞，主要通过大量的肉鸡或者寻找匿名代理服务器，模拟真实的用户向目标发起大量的访问请求，导致消耗掉大量的并发资源，使网站打开速度慢或拒绝服务

6：什么是icmp？
答：它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息