58-DOS与DDOS分析(正常TCP会话与SYN Flood攻击、ICMP Flood 攻击、SNMP放大攻击等)

目录

正常 TCP 会话与 SYN Flood 攻击

1、正常的三次握手过程:

2、 SYN Flood 攻击

一、攻击windows系统:

二、攻击web网站 :

拒绝服务攻击工具-Hping3-Syn Flood 攻击

拒绝服务攻击工具--Hping3--ICMP Flood 攻击

 sockstress攻击

Sockstress防范

 DNS放大攻击

产生大流量的攻击方法

DNS协议放大效果

攻击原理 

SNMP放大攻击

简单网络管理协议

攻击原理

应用层DoS


正常 TCP 会话与 SYN Flood 攻击

1、正常的三次握手过程:

第一次握手:客户端--请求(发送请求SYN+数据包当前序列号seq,无需应答)
客户端创建传输控制块TCB,进入监听LISTEN状态。
设置SYN=1,表示这是握手报文,并发送给服务器
设置发送的数据包序列号seq=x
此时客户端处于同步已发送SYN-SENT状态

第二次握手:服务器--确认发送应答ACK+请求SYN+确认收到上一个数据包的确认号ack+ 当前数据包序列号seq)
设置ACK=1,表示确认应答。
设置ack=x+1,表示已收到客户端x之前的数据,希望下次数据从x+1开始
设置SYN=1,表示握手报文,并发送给客户端
设置发送的数据包序列号seq=y
此时服务器处于同步已接收SYN-RCVD状态

第三次握手:客户端--确认服务器的确认(发送应答ACK+确认收到上一个数据包的确认号ack+ 当前数据包序列号seq ,连接已建立,无需请求)
设置ACK=1,表示确认应答。
设置ack=y+1,表示收到服务器发来的序列号为seq=y的数据包,希望下次数据从y+1开始
设置seq=x+1,表示接着上一个数据包seq=x继续发送
至此三次握手结束,连接建立


2、 SYN Flood 攻击

SYN Flood(半开放攻击)是一种拒绝服务(DDoS)攻击,其目的是通过消耗所有可用的服务器资源使服务器不可用于合法流量通过重复发送初始连接请求(SYN)数据包,攻击者能够压倒目标服务器机器上的所有可用端口,导致目标设备根本不响应合法流量。(通过利用TCP连接的握手过程,SYN Flood攻击工作)

SYN攻击判断 

看网卡状态:每秒大于1000以上的接收包。

看连接状态:netstat –na,看到大量SYN_RECEIVED状态的连接。

用冰盾DDoS监控器查看:SYN>100

被攻击的直接感受: Ping主机不通或丢包严重。 即便没有开放端口,CPU占用很高甚至100%

 演示过程:

一、攻击windows系统:

打开win2003改为桥接模式;模拟真实环境。(ip:192.168.13.200);打开kali2022(xshell连接)

 2、如攻击远程连接端口3389;目标主机打开远程桌面(计算机-右击属性)

 尝试远程连接;可以远程;

3、Windows系统使用 【FastSend.exe】工具进行攻击(端口攻击):

 4、大量SYN会话请求占用导致无法正常连接,关闭攻击即恢复。

二、攻击web网站 :

1、打开phpstudy2016  dvwa靶场

http://192.168.13.200:90/dvwa/login.php

2、 同windows使用 【FastSend.exe】工具进行攻击(端口攻击):

3、开始攻击:

网站将会无法访问,停止攻击即可恢复;最大四分钟内会话被是否,被释放也可访问

 

看连接状态:netstat –na,看到大量SYN_RECEIVED状态的连接

netstat -an

 

 目标主机的cpu使用率有明显提升:


发一个包释放一个连接,这种达不到攻击郊果。要构成攻击效果可以通过iptables限止发送RST包。这样就可以达到攻击郊果。iptables写法如下:

iptables -F  #清除iptables规则iptables -L  #查看iptables防火墙规则iptables -A OUTPUT -p tcp --tcp-flags RST RST -d 192.168.13.200 -j DROP  #添加iptables防火墙规则

这条命令的目的是阻止所有从本机出发、目标为192.168.13.200且TCP标志仅设置为RST的TCP数据包:

  • iptables: 这是Linux系统中用于配置和管理Netfilter防火墙规则的命令行工具。

  • -A OUTPUT-A 表示追加一条新规则到指定的规则链末尾,OUTPUT 是数据包流出本机(即作为响应或本机发起的连接)时经过的链。

  • -p tcp: 指定该规则只应用于TCP协议的数据包。

  • --tcp-flags RST RST: 这个选项指定了TCP标志位的匹配条件。在这里,要求数据包的TCP标志位中必须且只能包含RST标志。TCP的RST标志用于复位连接,通常在异常终止连接或响应不存在的连接时使用。

  • -d 192.168.13.200: 指定目标IP地址为192.168.13.200,即这条规则只影响发往该地址的数据包。

  • -j DROP-j 是“jump”的缩写,用于指定匹配到规则后的动作。DROP 动作意味着任何符合上述条件的数据包都将被防火墙静默丢弃,既不响应也不通知发送方。

 kali打开流量分析【Wireshark】工具:

嗅探/欺骗-->Wireshark

623255    25.906866889    216.93.6.102    192.168.13.200    TCP    174    37500 → 90 [SYN] Seq=0 Win=64 Len=120

拒绝服务攻击工具-Hping3-Syn Flood 攻击

Hping3 -几乎可以定制发送任何TCP/IP数据包,用于测试FW、端口扫描、性能测试

Syn Flood 攻击

hping3 -c 1000 -d 120 -S -w 64 -p 90 --flood --rand-source 192.168.13.200

hping3 -S -P -U -p 80 --flood --rand-source 192.168.13.200

hping3 -SARFUP -p 80 --flood --rand-source 192.168.13.200 (TCP Flood)

syn攻击特征:攻击者为随机IP、长度相同、目标主机cpu及网络应用占用明显。

 

指定任意ip(可指定使用代理池)进行攻击:

hping3 -c 1000 -d 120 -S -w 64 -p 90 -a 1.1.1.1 --flood 192.168.13.200 


 

拒绝服务攻击工具--Hping3--ICMP Flood 攻击

hping3 -q -n -a 1.1.1.1 --icmp -d 56 --flood 192.168.13.200
  • -q:安静模式,不显示每个数据包的发送反馈。
  • -n:不进行DNS反向解析,以IP地址而非主机名显示。
  • -a:设置源IP地址为1.1.1.1,这通常是用于模拟特定源IP的测试。
  • --icmp:指定使用ICMP协议,而不是默认的TCP或UDP。
  • -d 56:设置ICMP数据包的载荷大小为56字节。
  • --flood:快速连续发送数据包,不等待响应,模拟洪水攻击或压力测试。
  • 192.168.13.200:目标IP地址,这里是发送ICMP请求的目标。

 

 ICMP攻击特征:目标主机卡顿、挂机;目标主机cpu及网络应用占用明显、没有端口号。


 sockstress攻击

2008年由 Jack C. Louis 发现,针对TCP服务的拒绝服务攻击

1、消耗被攻击目标系统资源 -与攻击目标建立大量socket链接

2、完成三次握手,最后的ACK包window大小为0 (客户端不接收数据);攻击者资源消耗小(CPU、内存、带宽) ;

3、异步攻击,单机可拒绝服务高配资源服务器;

4、Window窗-实现的TCP流控

防火墙规则设置:

iptables -F  #清除iptables规则iptables -L  #查看iptables防火墙规则iptables -A OUTPUT -p TCP --tcp-flags rst rst -d 1.1.1.1 -j DROP #增加iptables防火墙规则

 把sockstress工具上传到kali;切换到工具目录;执行攻击语句:

./sockstress 192.168.13.200:90 eth0 -p payloads/http -d 10

 

  • ./sockstress:表示执行当前目录下的sockstress可执行文件。sockstress是一种曾经被用于测试系统TCP栈稳定性和抗压能力的工具,也可能被滥用于发起DoS攻击。

  • 192.168.13.200:90:指定目标IP地址和端口号,这里是针对IP地址为192.168.13.200,端口为90的服务进行操作。

  • eth0:指定本地使用的网络接口,这里是eth0,表示将通过这个网络接口发送数据包。

  • -p payloads/http:此参数可能指定了使用的payload类型或模式,http可能意味着使用HTTP协议的特定数据或头信息作为payload来构造TCP连接请求,这取决于sockstress工具的具体实现。

  • -d 10-d是微秒内指定,默认为1000000  改成10之后并发带度更快。

未攻击前可正常访问: 

 攻击中:web网站无法访问

 

 流量特征:完成三次握手、win=0、Window窗(TCP ZeroWindow)、只有请求头没有响应包

Sockstress防范

防御措施

直到今天sockstress攻击仍然是一种很有效的DoS攻击方式 -甶于建立完整的TCP三步握手,因此使用syn cookie防御无效 -根本的防御方法是采用白名单(不实际)

折中对策:限制单位时间内每IP建的TCP连接数

■封杀每30秒与80端口建立连接超过10个的IP地址

■iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --set

■iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 30 --hitcount 10 -j DROP

■以上规则对DDoS攻击无效 

 


 DNS放大攻击

产生大流量的攻击方法

-单机的带宽优势

-巨大单机数量形成的流量汇聚

-利用协议特性实现放大效果的流量

DNS协议放大效果

-查询请求流量小,但响应流量可能非常巨大

-digANYhp.com @202.106.0.20 (流量放大约8倍

dig ANY hp.com @202.106.0.20

dig:是DNS查询工具

ANY hp.com:这是查询的部分,其中:

  • ANY 是查询类型,表示请求DNS服务器返回该域名所有类型的记录
  • hp.com 是你要查询的域名,这里是惠普公司的官方网站域名

@202.106.0.20:指定了DNS解析查询应该发送给的DNS服务器地址

 

攻击原理 

-伪造源地址为被攻击目标地址,向递归域名查询服务器发起查询

-DNS服务器成为流量放大和实施攻击者,大量DNS服务器实现DDoS

SNMP放大攻击

简单网络管理协议

-Simple Network Management Protocol

-服务端UDP 161 / 162

-管理站(manager /客户端)、被管理设备(agent /服务端)

-管理信息数据库(MIB)是一个信息存储库,包含管理代理中的有关配置和性能 的数据,按照不同分类,包含分属不同组的多个数据对象

-每一个节点都有一个对象标识符(OID)来唯一的标识

-IETF定义便准的MIB库/厂家自定义MIB库

攻击原理

-请求流量小,查询结果返回流量大 -结合伪造源地址实现攻击

应用层DoS

应用服务漏洞

-服务代码存在漏洞,遇异常提交数据时程序崩溃

-应用处理大量并发请求能力有限,被拒绝的是应用或OS

缓冲区溢出漏洞

-向目标函数随机提交数据,特定情况下数据覆盖临近寄存器或内存

-影响:远程代码执行、DoS

-利用模糊测试方法发现缓冲区溢出漏洞

CesarFTP 0.99 服务漏洞

-ftp_fuzz.py # MKD/RMD

MS12-020远程桌面协议DoS漏洞

Slowhttptest (源自google)

-低带宽应用层慢速DoS攻击(相对于CC等快速攻击而言的慢速)

-最早由Python编写,跨平台支持(Linux、win、Cygwin、OSX)

-尤其擅长攻击apache、tomcat (几乎百发百中)

攻击方法

Slowloris、Slow HTTP POST 攻击

原理

耗尽应用的并发连接池,类似于Http层的Syn flood HTTP协议默认在服务器全部接收请求之后才开始处理,若客户端发送速度缓慢或不完整,服务器时钟为其保留连接资源池占用,此类大量并发将导致DoS Slowloris:完整的http请求结尾是\r\n\r\n,攻击发\r\n......     Slow POST: HTTP头content-length声明长度,但body部分缓慢发送


声明:

  • 此文章只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途,如果您对文章内容有疑问,可以尝试留言私信,如有侵权请联系小编处理。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/31685.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

不在枯燥用第三方库简化你的编程之路

简介: Python作为一种多用途的编程语言,得益于其丰富的第三方库和框架,极大地拓展了其功能和应用领域.这些工具不仅提升了开发效率,也使得Python在各个领域展现出色的表现. 今天我们就来聊一聊Python 第三方库是由第三方开发者编写并共享的库,可用于扩展 Python 的…

Unity【入门】光源、物理、音效系统

核心系统 文章目录 核心系统1、光源系统基础1、光源组件2、光面板相关 2、物理系统之碰撞检测1、刚体 RigidBody2、碰撞器 Collider3、物理材质4、碰撞检测函数5、刚体加力 3、音效系统1、音频文件导入2、音频源和音频监听器脚本3、代码控制音频源4、麦克风输入相关 1、光源系统…

智慧办公新篇章:可视化技术引领园区管理革命

随着科技的飞速发展,办公方式也在经历着前所未有的变革。在这个信息爆炸的时代,如何高效、智能地管理办公空间,成为了每个企业和园区管理者面临的重要课题。 智慧办公园区作为未来办公的新趋势,以其高效、便捷、智能的特点&#x…

Redis 7.x 系列【2】单机部署

有道无术,术尚可求,有术无道,止于术。 本系列Redis 版本 7.2.5 源码地址:https://gitee.com/pearl-organization/study-redis-demo 文章目录 1. Windows2. Linux 1. Windows Redis作为一个高性能的内存数据库,和Linu…

数据结构6---树

一、定义 树(Tree)是n(n>0)个结点的有限集。当n0时成为空树,在任意一棵非空树中: 1、有且仅有一个特定的称为根(Root)的结点; 2、当n>1时,其余结点可分为m(m>日)个互不相交的有限集T1、T2、...、 Tm,其中每一个集合本身又是一棵树,并且称为根的…

Ant Design Vue Cascader 级联选择 错位问题

当Cascader 多个的时候 对应的下列会错位 如果滚动 他不会跟着元素 而是会跟着屏幕滚动&#xff0c;如下效果 解决方法 在Cascader 标题添加 getPopupContainer 属性监听对应的位置&#xff0c;返回对应的元素 <a-cascader class"smart-width-100 " v-model:…

NetSuite 不同类型Item的公司间交易科目的设置

我们知道&#xff0c;NetSuite中有Intercompany Preferences的设置&#xff0c;如下所示&#xff0c;分别涉及到公司间应收、公司间应付、公司间收入、公司间费用以及公司间成本共5个科目&#xff0c;非常明确清晰。 最近用户遇到的场景是&#xff0c;如果是Non-Inventory Item…

ERP系统品牌大比拼:哪款产品更适合您的企业?

ERP集成了企业的销售、采购、生产、财务等各个环节&#xff0c;实现了资源的优化配置和信息的实时共享。然而&#xff0c;面对市场上琳琅满目的ERP系统产品&#xff0c;许多企业却陷入了选择的困境。 “哪款ERP系统更适合我的企业呢&#xff1f;”这或许是每一位企业决策者心中…

TrueNAS系统在ARM平台上的移植

随着家庭及中小型企业对存储和共享需求的日益增长&#xff0c;高效、可靠的文件存储系统成为支撑各类应用的关键。 在众多存储系统中&#xff0c;TrueNAS以其卓越的数据完整性与可靠性、简洁高效的应用程序部署和管理、灵活的虚拟化应用添加能力&#xff0c;以及出色的可用性&a…

@ModelAttribute

基础知识 1.ModelAttribute注解源码&#xff0c;从中可以知道&#xff0c;该注解可以标注在参数上和方法上 2.应用场景&#xff1a;先大致有个概念&#xff0c;可以用来存储项目根路径 3.介绍&#xff1a;ModelAttribute 是 Spring 框架中的一个注解&#xff0c;用于在 Spring …

G7 - Semi-Supervised GAN 理论与实战

&#x1f368; 本文为&#x1f517;365天深度学习训练营 中的学习记录博客&#x1f356; 原作者&#xff1a;K同学啊 目录 理论知识模型实现引用、配置参数初始化权重定义算法模型模型配置模型训练训练模型 模型效果总结与心得体会 理论知识 在条件GAN中&#xff0c;判别器只用…

Reddit、Discord等社媒网站抓取总结:如何更高效实现网页抓取?

有效的网络抓取需要采取战略方法来克服挑战并确保最佳数据提取。让我们深入研究一些关键实践&#xff0c;这些实践将使您能够掌握复杂的网络抓取。 一、了解 Web 抓取检测 在深入探讨最佳实践之前&#xff0c;让我们先了解一下网站如何识别和抵御网络爬虫。了解您在这一过程中…

隐藏element的DateTimePicker组件自带的清空按钮

管理台页面使用到el-date-picker&#xff0c;type datetimerange 但是组件自带了清空按钮&#xff0c;实际上这个控件业务上代表开始时间和结束时间是一个必填选项&#xff0c;所有想要把清空按钮隐藏掉。 查看了文档https://element.eleme.io/#/zh-CN/component/datetime-p…

如何使用k8s安装nexus3呢

百度云盘地址 链接&#xff1a;https://pan.baidu.com/s/1YN1qc2RvzTU3Ba6L_zCTdg?pwd5z1i 提取码&#xff1a;5z1i 下载后上传到本地服务器 docker load -i nexus3 创建 nexus-deployment.yaml apiVersion: apps/v1 kind: Deployment metadata:name: nexus3-deployment spec…

visualbox搭建linux环境双网卡配置

文章目录 1. 双网卡模式简介2. 网络模式配置2.1 virtualBox说明2.2 host-only网络模式配置2.3 NAT网络模式配置 3. 虚拟主机网络设置3.1 网卡一设置3.2 网卡二设置 4. 网卡配置5. ssh访问 本篇的目的是为了搭建本地的linux测试环境用。 1. 双网卡模式简介 双网卡网络模式简介 …

数据仓库 基础教程

数据仓库 基础教程 1. 数据仓库概述 数据仓库(Data Warehouse,简称DW或者DWH)是通过集成来自多个异构数据源的数据来构建的。它支持分析报告、结构化和/或特别查询和决策制定。本教程采用循序渐进的方法来解释数据仓库的所有必要概念。 “数据仓库”一词最早是由Bill Inmon在1…

JDBC之API(DriverManager)详解

之前在 JDBC 的快速入门写代码的时候&#xff0c;遇到了很多的API。这篇博客主要学习一些API。 目录 一、API&#xff08;介绍&#xff09; 二、JDBC之API——DriverManager &#xff08;1&#xff09;DriverManager &#xff08;获取 Connection 的连接对象&#xff09; 1、…

路由器的Wi-Fi性能是否限制了你的网速?这里有你想要的答案

​你的无线网络速度阻碍了你吗?信不信由你,升级到超快的互联网计划可能不值得。以下是如何判断路由器的Wi-Fi速度是否阻碍了你,以及你能做些什么。 如何测试你的Wi-Fi速度 比较你的有线速度和无线速度可以表明你的路由器是否阻碍了你。虽然很多人认为“Wi-Fi”和“互联网”…

rknn转换后精度差异很大,失真算子自纠

下面是添加了详细注释的优化代码&#xff1a; import cv2 import numpy as np import onnx import onnxruntime as rt from onnx import helper, shape_inferencedef get_all_node_names(model):"""获取模型中所有节点的名称。参数:model (onnx.ModelProto): O…

现代易货交易:重塑物品交换的新纪元

在数字时代的浪潮中&#xff0c;交易模式正在经历一场革命。其中&#xff0c;现代易货交易模式以其独特的魅力&#xff0c;逐渐在市场中崭露头角。这种交易模式不仅是对古老“以物换物”的复兴&#xff0c;更是对物品价值和交换方式的全新定义。 现代易货&#xff1a;物品交换的…