Notebook

网络攻击

11.网络攻击
11.1.DDoS分布式拒绝服务。分类：基于网路、基于协议、基于应用；
11.1.1.基于网路：ICMP Flood、UDP Flood；
11.1.2.基于协议：Syn Flood、arp、dns；
11.1.3.基于应用：操作系统应用程序的攻击，到时无法服务；大量消耗服务资源；通常网路正常，但服务停止响应；
11.1.4.
11.2.ARP欺骗攻击：
11.2.1.ARP原理，相信发来的ARP响应，更改自身ARP 缓存；
11.2.2.C段攻击：同一网关的ARP主机嗅探，在嗅探到敏感数据后，继续对内网进行渗透；
11.2.3.ARP嗅探欺骗工具：
11.2.3.1.Cain：windows平台的ARP工具，强大的嗅探与欺骗工具，可以作为中间人，欺骗网关和客户端，嗅探账号密码，还有强大的密码破解能力；
11.2.3.2.
11.3.SYN-Flood：发送SYN，与目标主机请求连接，但是就没有后续的，目标服务器一直在等待完成TCP三次握手工作流程；
11.4.CC攻击：
11.4.1.CC(ChallengeCollapsar，挑战黑洞)攻击是DDoS攻击一种，攻击者控制多台主机，然后利用代理服务器对目标机器进行大量的访问，造成目标主机CPU资源利用率高的一种攻击，使得目标服务器无法正常对合法用户提供正常服务；
11.5.Smurf攻击：
11.5.1.伪造源地址IP来发送广播包，所有局域网接收到广播包都会返回一个相应包，当量比较大的时候就造成一个拒绝服务；核心是传输数据的窗口，攻击端设置自己的窗口是0，目标服务器会等待直到可以传输数据为止。
11.6.Sockstress攻击
11.6.1.针对TCP服务的拒绝服务攻击，消耗目标服务器资源的攻击方式，自身可以资源消耗小造成目标服务器资源消耗大的效果；
11.6.2.可以从github下载脚本工具测试，C语言脚本，使用gcc来编译；
11.6.3.防御：
11.6.3.1.至今没有特别好的方法，利用白名单应用性不大；
11.6.3.2.限制单位时间单个IP的TCP连接数量；
11.6.3.3.
11.6.4.
11.7.TearDrop
11.7.1.主要针对早期的系统；区别与数据包分段；
11.7.2.早期的系统对于分段数据包如果不合规格（不认识）会造成系统的错误，从而导致蓝屏。
11.8.LAND攻击
设置源地址和目的地址都是目标的地址，让目标自己攻击自己；
利用hping3来做测试，主要把伪造的地址改成目标机器的地址；
11.9.DNS放大攻击
11.9.1.攻击原理：
11.9.1.1.伪造源地址为被攻击目标地址，向递归域名查询服务器发起查询；
11.9.1.2.DNS服务器成为流量放大和实施攻击者，大量DNS服务器实现DDoS;
11.9.2.演示：
11.9.2.1.dig ANY baidu.com @202.106.0.20 dig百度的域名；
11.9.2.2.
11.9.3.
11.10.应用层Dos
11.10.1.原理：
11.10.1.1.服务代码存在漏洞，遇到异常提交数据时程序奔溃（应用服务漏洞）；
11.10.1.2.处理大量请求服务，大量消耗资源（应用服务漏洞）；
11.10.1.3.缓冲区溢出漏洞；
11.10.2.实施：
11.10.2.1.CesarFtp缓冲区溢出Dos攻击；
这个必须是由账号密码登录，然后发送命令，命令里就有payload，会造成缓冲区溢出漏洞；
11.10.2.2.Ms12-020远程桌面Dos攻击；
不断得发会使XP蓝屏；
11.10.2.3.慢速http拒绝服务攻击
11.10.2.3.1.slowhttptest，擅长打击apache、tomcat服务器；中小企业用java开发，一般用tomcat来部署，现在用这种方式来打击，基本可以百发百中；基本原理是耗尽连接池；工具一个个连接，造成连接池的耗尽；针对的是web应用；
11.10.2.3.2.攻击方法：Slowloris、Slow Http POST攻击、Slow read、Apache Range Header攻击：
1.Slowloris：完整的http请求结尾是\r\n\r\n，攻击者就发送\r\n没有结尾，服务器就一直等着；
2.Slow Http POST：body部分慢慢地发，一直耗着；
3.Slow read：告诉服务器TCP窗口小，让服务器慢慢发数据包，达到占用连接池的目的；
4.Apache Range Header攻击：针对Apache服务器的攻击，Range针对的是大的文件才会使用，耗尽服务器CPU、内存资源；
11.10.2.3.3.演示：
命令：
slowhttptest -c 65533 -H -g -o my_header_stats -i 10 -r 1 -t GET -u
http://192.168.1.68 -x 24 -p 3 -l 1000000

11.10.2.4.Rudy工具
11.10.2.4.1.是一种web慢速http攻击，每次只发一个字节的数据；
11.10.2.5.Siege
11.10.2.5.1.压力测试工具，可以当成拒绝服务工具，
11.10.2.6.
11.10.3.利用Nmap攻击服务器漏洞，造成拒绝服务攻击：
11.10.3.1.使用拒绝服务类来造成系统崩溃；
11.10.4.匿名者开发的拒绝服务类工具：
11.10.4.1.LOIC【windows】：正常访问http的量，同时消耗自己的资源：
11.10.4.2.HOIC【windows】
会造成目标网站变慢，同时也消耗自己的资源；
11.10.4.3.DDoSer【windows】
命令行界面，输入IP地址和攻击时间即可：