受害靶机的流量包分析
文章插图
利用wireshark软件抓取数据包的数据,通过筛选器筛选出发送包频率多的ip地址 。
筛选117.xxx.xxx.0网段,分析协议占比,可以看到受害靶机接受的UDP包比较多 。
文章插图
可以看到UDP包的大小都是固定的172bytes 。
文章插图
可以看出都是发送udp包,udp包大小都是相同的,可以判断是udp flood攻击 。
文章插图
慢速拒绝服务攻击apt install slowhttptest -y
安装slowhttptest
慢速拒绝服务攻击原理:完整的http请求包是以 rnrn 结尾,慢速拒绝服务攻击时仅发送 rn,少发送一个 rn,服务器认为请求还未发完,服务器就会一直等待直至超时 。
slowhttptest -c 5000 -H -g -o my_header_stats -i 10 -r 5000 -t GET -u “http://10.10.10.134” -x 200 -p 3
(测试时建立5000连接数-c;选择slowloris模式-H;生成cvs和html文件的统计数据-G;生成的文件名my_header_stats -o;指定发送数据间的间隔10秒 -i 每秒连接数5000-t;指定url-u;指定发送的最大数据长度200 -x;指定等待时间来确认DOS攻击已经成功-p)
文章插图
观察靶机的cpu和网络流量明显增加很多
文章插图
文章插图
受害靶机的流量包分析
文章插图
攻击机ip:10.10.10.129,靶机ip:10.10.10.134
[PSH,ACK]是攻击机发送有数据的ACK包给靶机,[ACK]包是靶机回复攻击机的数据包 。
可以看到没有发送2次连续的rn,以至于靶机要一直等待 。
文章插图
http协议比例为36.6,tcp协议比例为87.4
文章插图
筛选ack数据包,占比率98.2,不符合常态,综上可以判断为慢速拒绝服务攻击
文章插图
ICMP Flood攻击ICMP Flood攻击原理:当 ICMP ping 产生的大量回应请求超出了系统的最大限度,以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流,但是由于ICMP协议报文被丢弃不影响大多数系统运行,所以容易被防护 。
利用hping3造成ICMP Flood攻击
hping3 -q -n -a 1.1.1.1 –icmp -d 200 –flood 10.10.10.134
文章插图
观察靶机的cpu和网络流量明显增加很多
文章插图
文章插图
受害靶机的流量包分析伪造的源ip:1.1.1.1发送大量icmp包给目标ip:10.10.10.134
文章插图
筛选出同一IP发送大量ICMP包,且占比率86.0,判断为ICMP拒绝服务攻击 。
文章插图
文章插图
后记拒绝服务攻击造成的危害是比较大的,本质是对有限资源的无限制的占用所造成的,所以在这方面需要限制每个不可信任的资源使用中的分配额度,或者提高系统的有限资源等方式来防范拒绝服务攻击 。
【带你破解DDOS攻击的原理】
推荐阅读
- 带你了解 免杀的小知识
- 怎么学习网络安全?这篇文带你从入门级开始学习网络安全
- Trojan Horse 如何破解黑客的手段:揪出给图片施放的特洛伊木马
- DDoS介绍与防御
- Nginx 内存池似懂非懂?一文带你看清高性能服务器内存池
- 带你见识一下大厂google的服务器机房管理?
- 一文带你搞懂RPC到底是个啥
- 普洱茶品牌排行榜,普洱茶排行榜情况如何
- Windows11来袭,10步带你看win11的安装全过程
- apk 一文带你使用Vue完成移动端项目