一、实验目的
  1. 理解DDOS攻击原理
  2. 使用TFN2K发起攻击
二、实验环境
  1. 系统环境:Windows环境,kali环境
  2. 软件环境:TFN2K
三、实验原理
  1. DDOS攻击原理分布式拒绝服务攻击的英文意思是DistributedDenialofService,简称DDOS。它利用在已经侵入并已控制的不同的高带宽主机(可能是数百,甚至成千上万台)上安装大量的DOS服务程序,他们等待来自中央攻击控制中心的命令,中央攻击控制中心适时启动全体受控主机的DOS服务进程,让它们对一个特定目标发送尽可能多的网络访问请求,形成一股DOS洪流冲击目标系统,猛烈的DOS攻击同一个网站。在寡不敌众的力量抗衡下,被攻击的目标网站会很快失去反应而不能及时处理正常的访问甚至系统瘫痪、崩溃。
  2. DDOS攻击角色分析

ddos的特点以及常用攻击手段(DDOS攻击原理和防御方式)(1)

  1. 从上图可以看出,DDOS攻击分为三层:攻击者、主控端、代理端,三者在攻击中扮演者不同的角色。(1)攻击者攻击者所用的计算机可以是网络上的任何一台计算机,甚至可以是一个活动的便携机。攻击者操作整个攻击过程,它向主控端发送攻击命令。(2)代理端代理端同样也是攻击者入侵并控制的一批主机,它们上面运行攻击者程序,接受和运行主控端发来的命令。代理端主机是攻击的执行者,真正向受害者主机发送攻击。
三.DDOS攻击流程

攻击者发起DDOS攻击的第一步,就是寻找在Internet上有漏洞的主机,进入系统后在其上面安装后门程序,攻击者入侵的主机越多,他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序,其中一部分主机充当攻击的主控端,一部分主机充当攻击的代理端。最后各部分主机各司其职,在攻击者的调遣下对攻击对象发起攻击。由于攻击者在幕后操作,所以在攻击时不会受到监控系统的跟踪,身份不容易被发现。

四.TFN2K简介

-f

这个参数后面跟文本文件名,就是真正实现DDOS攻击

-h

DOS攻击也就是单机,一对一的攻击,后面跟一个主机或IP地址

-p

后面指定一个端口

-c

最关键的参数,一共有11个选项:

0

停止攻击

1

反欺骗等级设定,因为TFN这个工具在攻击的时候所发出的数据包是带有源地址的,但是源地址是随机的,也就是说地址不是你自己给的,所以不用担心会反查到你的IP地址

2

改编数据包的包尺寸:缺省的ICMP/8,smurf,udp攻击缺省使用最小包,可以通过改变每个包的有效载荷的字节增加它的大小

3

绑定rootshell:启动一个会话服务,然后连接一个指定端口就可以得到一个rootshell

4

UDP洪水攻击:这个攻击是利用这样一个事实:每个UDP包被送往一个关闭的端口,这样就会有一个ICMP不可达到的信息返回,增加了攻击的能力

5

SYN洪水攻击:这个攻击由规律的送虚假的链接请求。结果会是目标端口拒绝服务,添满TCP连接表,通过对不存在主机的TCP/RST响应增加攻击潜力,是标准的拒绝服务攻击

6

ICMP响应(ping)攻击:这个攻击发送虚假地址的ping请求,目标主机会回送相同大小的响应包

7

SMURF攻击:用目标主机的地址发送ping请求以广播扩大,这样目标主机将得到回复一个多倍的回复

8

MIX攻击:按照1:1:1的关系交替的发送UDP,SYN,ICMP包,这样就可以对付路由器,其它包转发设备,NIDS,sniffers等,轮播轰炸

9

TARGA3攻击

10

远程命令执行,这个参数是TFN的附加功能,其实TFN的攻击不仅仅是DOS,还可以远程的进行明令控制

./tfn -f hostext -c 10 -i "mkdir /root/edison"在所有的HOST上root目录建立edison,-i后面跟“命令” ./tfn -f hostext -c 4 -i x.x.x.x 使用hostext文件中记录的主机对x.x.x.x服务器进行UDP攻击 ./tfn -f hostext -c 5 -i x.x.x.x -p xxxx 使用hostext文件中记录的主机对x.x.x.x服务器进行TCP拒绝服务攻击 ./tfn -f hostext -c 6 -i x.x.x.x 使用hostext文件中记录的主机对x.x.x.x服务器进行ICMP攻击

四、实验步骤:

ddos的特点以及常用攻击手段(DDOS攻击原理和防御方式)(2)

双击进入TFN2K文件夹,并在此文件夹中打开终端,如下图所示:

ddos的特点以及常用攻击手段(DDOS攻击原理和防御方式)(3)

在终端输入命令make命令编译源文件,在此期间会要求输入通信密钥,该密钥可以任意输入,此处输入12345678,这里输入密码最少8为,这个必须记住是调用代理端td进程的唯一认证,如下图所示:

ddos的特点以及常用攻击手段(DDOS攻击原理和防御方式)(4)

输入密钥之后点击回车,编译完成后,生成执行文件tfn与td,如下图所示:

ddos的特点以及常用攻击手段(DDOS攻击原理和防御方式)(5)

ddos的特点以及常用攻击手段(DDOS攻击原理和防御方式)(6)

攻击者植入td程序后,首先将其运行,运行td程序命令./td

ddos的特点以及常用攻击手段(DDOS攻击原理和防御方式)(7)

查看系统进程,命令:ps -a ,从图中可以得知td程序已于后台运行并监听来自主控端的命令,准备对目标主机发起攻击

ddos的特点以及常用攻击手段(DDOS攻击原理和防御方式)(8)

ddos的特点以及常用攻击手段(DDOS攻击原理和防御方式)(9)

ddos的特点以及常用攻击手段(DDOS攻击原理和防御方式)(10)

ddos的特点以及常用攻击手段(DDOS攻击原理和防御方式)(11)

ddos的特点以及常用攻击手段(DDOS攻击原理和防御方式)(12)

ddos的特点以及常用攻击手段(DDOS攻击原理和防御方式)(13)

ddos的特点以及常用攻击手段(DDOS攻击原理和防御方式)(14)

ddos的特点以及常用攻击手段(DDOS攻击原理和防御方式)(15)

ddos的特点以及常用攻击手段(DDOS攻击原理和防御方式)(16)

DDoS攻击防御方法
  1. 过滤不必要的服务和端口:可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口,即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包Source IP和Routing Table做比较,并加以过滤。只开放服务端口成为目前很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
  2. 异常流量的清洗过滤:通过DDOS硬件防火墙对异常流量的清洗过滤,通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常,进一步将异常流量禁止过滤。单台负载每秒可防御800-927万个syn攻击包。
  3. 分布式集群防御:这是目前网络安全界防御大规模DDOS攻击的最有效办法。分布式集群防御的特点是在每个节点服务器配置多个IP地址(负载均衡),并且每个节点能承受不低于10G的DDOS攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。
  4. 高防智能DNS解析:高智能DNS解析系统与DDOS防御系统的完美结合,为企业提供对抗新兴安全威胁的超级检测功能。它颠覆了传统一个域名对应一个镜像的做法,智能根据用户的上网路线将DNS解析请求解析到用户所属网络的服务器。同时智能DNS解析系统还有宕机检测功能,随时可将瘫痪的服务器IP智能更换成正常服务器IP,为企业的网络保持一个永不宕机的服务状态。
,