在我们之前的“DOS攻击渗透测试”中,我们已经描述了几种DOS攻击的场景,并通过snort接收Dos攻击的警报。DOS 可以通过多种方式执行,可以使用命令行工具(例如 Hping3)或基于 GUI 的工具。因此,今天您将学习如何使用 GUI 工具和命令行工具执行 Dos 攻击,并通过 snort 获取警报。
开始吧!
使用 LOIC 的 TCP 洪水攻击
正如我们在文章第 1 部分和第 2 部分中所描述的,在目标系统中,Snort 作为 NIDS 来分析网络流量数据包。因此,首先我们在 snort 中建立了一个规则来分析进入我们网络的随机 TCP 数据包的速度。
在 ubuntu 终端中执行以下命令,在文本编辑器中打开 snort 本地规则文件。
sudo gedit /etc/snort/rules/local.rules alert TCP any any -> 192.168.1.10 any (msg: "TCP Flood"; sid:1000001;)上述规则将通过生成“TCP Flood”警报来监视 192.168.1.10 上传入的 TCP 数据包。现在通过在终端中执行以下命令来打开 Snort 的 IDS 模式:
sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
LOIC:低轨道铁炮的缩写,是Praetox Technologies公司开发的GUI工具,是一种网络压力测试工具。我们在本地网络中仅将其用于教育目的,在公共部门使用它将被视为犯罪并从事非法工作。从谷歌下载。
我们已经在Windows系统中下载了LOIC,运行安装文件进行安装。按照以下步骤启动该工具:
-
选择您的目标:在这里,我们将使用IP 选项并输入受害者 IP:192.168.1.10,然后单击选项卡上的“锁定”。
-
攻击选项:输入端口号。并选择方法(例如 TCP)并输入 no。线程。_ 如果您想等待来自受害者网络的回复数据包,请启用复选框以禁用它。
-
调整比例: 向左或向右拖动光标以设置 TCP 数据包的速度更快或更慢模式。
-
攻击状态:描述攻击状态,如连接或请求等。
-
准备好: 现在点击 IMMA CHARGIN MAH LAZER 发起 DOS 攻击,然后点击停止洪水以阻止 DOS 攻击。
我们在本教程中使用了 Wireshark,以便您可以清楚地看到从攻击者网络发送到目标网络的数据包。因此,在下图中,您可以注意到目标网络上已发送了无尽的 TCP 数据包。它被认为是基于卷的 DOS 攻击,它通过发送无限数据包淹没目标网络,为其他合法用户摧毁其网络。
返回到目标计算机,您会注意到 snort 以完全相同的方式捕获所有传入流量,在这里您将观察到它正在生成“TCP Flood”警报 。因此,您可以阻止攻击者的 IP (192.168.1.16),以保护您的网络免于丢弃所有进一步传入您网络的数据包。
使用 LOIC 的 UDP 洪水攻击
我认为现在您已经清楚如何在 snort 中构建规则,再次对可疑网络发出警报,重复相同的操作并在 ubuntu 终端中执行以下命令,在文本编辑器中打开 snort 本地规则文件并添加 UDP 洪水规则。
sudo gedit /etc/snort/rules/local.rules
alert UDP any any -> 192.168.1.10 any (msg: "UDP Flood"; sid:1000003;)上述规则将通过生成“UDP Flood”警报来监视 192.168.1.10 上传入的 UDP 数据包。现在通过在终端中执行以下命令来打开 Snort 的 IDS 模式:
sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
重复上面的整个步骤,只是将方法攻击选项更改为选择UDP方法,并对目标IP发起DOS攻击。由于是教程,您可以设置任意数量的攻击线程,因此,我为 UDP 设置了 20 个。它被认为是基于卷的 DOS 攻击,它通过发送无限数据包淹没目标网络,为其他合法用户摧毁其网络。
返回到目标计算机,您将观察到 snort 以相同的方式精确捕获所有传入流量,在这里您将观察到它正在生成“UDP Flood”警报 。因此,您可以再次阻止攻击者的 IP (192.168.1.16),以保护您的网络不丢弃所有通过端口 80 向您的网络传入的数据包。
使用 HOIC 的 TCP 洪水攻击
接下来,我们使用 HOIC,它也是用于 TCP 攻击的 GUI 工具,如果您还记得我们已经在本地规则文件中配置了 TCP 洪水规则。现在通过在终端中执行以下命令来打开 Snort 的 IDS 模式:
sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0HOIC:代表Praetox Technologies公司开发的高轨道离子炮,是一种网络压力测试工具。我们在本地网络中仅将其用于教育目的,在公共部门使用它将被视为犯罪并从事非法工作。从谷歌下载。
我们已经在Windows系统中下载了HOIC,运行安装文件进行安装。按照以下步骤启动该工具:
通过单击加号“+ ”来添加目标
将弹出攻击选项列表,如下图所示,然后按照以下步骤操作:
URL:输入您的目标网络地址http://192.168.1.10
功率:低/中/高决定数据包弯曲到目标机器的速度。
最后点击添加。
从下面的图片中,您可以检查攻击的状态“就绪”,现在设置线程数,然后单击“FIRE THE LAZER”选项卡来启动 dos 攻击。
您可以清楚地观察到 TCP 数据包从攻击者网络发送到目标网络。在下图中,您可以注意到使用 TCP 标志(例如 SYN/RST/ACK)在目标网络上发送了无尽的 TCP 数据包。它被认为是基于卷的 DOS 攻击,它通过发送无限数据包淹没目标网络,为其他合法用户摧毁其网络。
返回到目标计算机,您会注意到 snort 正在以与上面完全相同的方式捕获所有传入流量,在这里您将观察到它正在生成“TCP Flood”警报 。因此,您可以阻止攻击者的 IP (192.168.1.11),以保护您的网络免于丢弃所有通过端口 80 发送至您网络的数据包。
Goldeneye
Goldeneye 是一个用于安全测试目的的命令行工具,我们仅用于教程,不要在公共部门使用它,它会被视为犯罪并被视为非法工作。在 Kali Linux 中执行下面的命令,从 GitHub 下载它。
git clone https://github.com/jseidl/GoldenEye.git
现在向 python 脚本授予所有权限并执行以下命令以在目标网络上发起 DOS 攻击。基本上,Goldeneye 用于 HTTP dos 测试,以测试任何 Web 服务器网络安全。
./goldeneye.py http://192.168.1.10
使用 Wireshark,您可以观察受害者和攻击者网络之间的流量。因此,如果在下图中给出通知,那么您会发现第一个攻击者(192.168.1.103)发送 TCP syn 数据包以与受害者的网络建立连接,然后攻击者通过受害者的网络发送 http 数据包。
在这里您将观察到它正在生成“TCP Flood”警报 ,因为端口是遵循 TCP 协议的 80,因此,snort 捕获了 Goldeneye 生成的流量。因此,您可以阻止攻击者的 IP (192.168.1.103),以保护您的网络不丢弃所有通过端口 80 向您的网络传入的数据包。
Slowloris
Slowloris 是一个用于安全测试目的的命令行工具,我们仅用于教程,不要在公共部门使用它,它会被视为犯罪并从事非法工作。在 Kali Linux 中执行下面的命令,从 GitHub 下载它。
git clone https://github.com/llaera/slowloris.pl.git
现在授予 Perl 脚本所有权限,并执行以下命令以在目标网络上发起 DOS 攻击。
perl Slowloris.pl -dns 192.1681.10
使用 Wireshark,您可以观察受害者和攻击者网络之间的流量。因此,如果如下图所示,您会发现第一个攻击者(192.168.1.103)发送 TCP syn 数据包以与受害者的网络建立连接,然后受害者通过攻击者的网络发送 SYN、ACK 数据包,然后攻击者发送 ACK 数据包,这将继续循环。
返回到目标计算机,您会注意到 snort 正在以与上面完全相同的方式捕获所有传入流量,在这里您将观察到它正在生成“TCP Flood”警报 。因此,您可以阻止攻击者的 IP (192.168.1.11),以保护您的网络免于丢弃所有通过端口 80 发送至您网络的数据包。
Xerxes
Xerxes 是一个用于安全测试目的的命令行工具,我们仅用于教程,不要在公共部门使用它,它会被视为犯罪并被视为非法工作。在 Kali Linux 中执行下面的命令,从 GitHub 下载它。
git clone https://github.com/zanyarjamal/xerxes.git
由于它是用 C 语言编写的,因此我们需要使用 gcc 对其进行编译,如下面给出的命令所示,然后运行然后运行脚本以发起 DOS 攻击。
gcc xerxes.c -o xerxes./xerxes 192.168.1.10 80
您可以清楚地观察到 TCP 数据包从攻击者网络发送到目标网络。在下图中,您可以注意到使用 TCP 标志(例如 SYN/ACK/PSH)在目标网络上发送了无尽的 TCP 数据包。这些数据包在攻击者可以定位的网络之间循环发送。
返回到目标计算机,您会注意到 snort 正在以与上面完全相同的方式捕获所有传入流量,在这里您将观察到它正在生成“TCP Flood”警报 。因此,您可以阻止攻击者的 IP (192.168.1.11),以保护您的网络免于丢弃所有通过端口 80 发送至您网络的数据包。
在本教程中,我们使用了最强大的 5 个 DOS 攻击工具。
另外推荐阅读文章:DOS 攻击渗透测试(第 1 部分)
以上内容仅供学习和参考,请勿非法用途!
想学习了解更多知识,点击关注公众号!我们会持续为您提供优质内容和服务。
从surface 中 选择* ,其中Dark
夜晚,是最孤独的,也许,就这样吧!
原文始发于微信公众号(深网知识库):DOS 攻击渗透测试(第 2 部分)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论