1.争做黑客—学kali linux必须知道的攻攻击四种网络攻击方法(DDoS、CC、击源ARP欺骗及SQL注入)
2.Linux系统防火墙防止DOS和CC攻击的攻攻击方法
3.DDoS/CC攻击器
争做黑客—学kali linux必须知道的四种网络攻击方法(DDoS、CC、击源ARP欺骗及SQL注入)
黑客之路:探索Kali Linux的攻攻击四大网络攻击技术作为一名黑客,我曾接下最具挑战的击源桌面挂件 源码任务—黑入X网站服务器,而装备是攻攻击成功的关键。此刻,击源我身披全黑紧身夜行衣,攻攻击戴上墨镜,击源隐藏在暗夜的攻攻击阴影中,准备用Kali Linux的击源尖刀,轻轻划开网络的攻攻击防线。
在这个黑客的击源世界里,策略与技巧并重,攻攻击但我更倾向于低调行事。kali Linux,我的秘密武器,将在我手中演绎一场无声的黑客交响曲。一、DDoS洪水攻击
在命令行中,源码安装mininet我优雅地输入:git clone /Andysun/ddos
随着屏幕的提示,DDoS攻击的数据包在Kali上悄然准备就绪。进入ddos文件夹,执行cd ddos python ddos-p2.py
然后,锁定目标IP:ping andysun.gitee.io
获取到IP后,输入攻击端口(通常是)和攻击速度,按下回车,洪水攻击便如猛兽出笼,攻城略地。二、CC攻击:狂风骤雨般的压力测试
切换到root权限,输入sudo su
接下来,使用`ab`命令,如ab -n -c /bbs/
一旦界面显示出攻击效果,CC攻击的风暴便席卷而至。三、ARP欺骗:潜伏的网络杀手
arp嗅探与欺骗开始于安装dsniff:apt-get install dsniff
定位网卡后,用fping嗅探邻近设备:fping -g .***.*.
*** 选定目标,如手机..0.,执行arpspoof -i eth0 -t ..0. ..0.1
手机的mininet 源码分析网络信号缓慢,证明 ARP欺骗已得逞,只需Ctrl+Z解除。四、SQL注入:黑客的无形钥匙
从探测漏洞开始:sqlmap -u /product.php?id=
一步步深入,获取数据库、表,再到字段数据,如sqlmap -u /product.php?id= -C admin_user_name,admin_user_pass -T admin_user -D db --batch --dump
一旦获取到用户名和密码,便能潜入服务器的核心地带。 我的黑客“探索”在此告一段落,但请记住,这些技巧仅用于学习与理解。网络安全的世界深不可测,但愿你在这次旅程中学有所获,踏上自己的Kali Linux之路。 如果你对黑客技术、Kali Linux、Linux运维或K8S等话题感兴趣,点击下方链接,继续探索更深的window 源码泄露奥秘。Linux系统防火墙防止DOS和CC攻击的方法
用Linux系统防火墙功能抵御网络攻击
虚拟主机服务商在运营过程中可能会受到黑客攻击,常见的攻击方式有SYN,DDOS等。
通过更换IP,查找被攻击的站点可能避开攻击,但是中断服务的时间比较长。比较彻底
的解决方法是添置硬件防火墙。不过,硬件防火墙价格比较昂贵。可以考虑利用Linux
系统本身提供的防火墙功能来防御。
1. 抵御SYN
SYN攻击是利用TCP/IP协议3次握手的原理,发送大量的建立连接的网络包,但不实际
建立连接,最终导致被攻击服务器的网络队列被占满,无法被正常用户访问。
Linux内核提供了若干SYN相关的配置,用命令:
sysctl -a | grep syn
看到:
net.ipv4.tcp_max_syn_backlog =
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5
tcp_max_syn_backlog是SYN队列的长度,tcp_syncookies是一个开关,是否打开SYN Cookie
功能,该功能可以防止部分SYN攻击。vs python源码tcp_synack_retries和tcp_syn_retries定义SYN
的重试次数。
加大SYN队列长度可以容纳更多等待连接的网络连接数,打开SYN Cookie功能可以阻止部分
SYN攻击,降低重试次数也有一定效果。
调整上述设置的方法是:
增加SYN队列长度到:
sysctl -w net.ipv4.tcp_max_syn_backlog=
打开SYN COOKIE功能:
sysctl -w net.ipv4.tcp_syncookies=1
降低重试次数:
sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3
为了系统重启动时保持上述配置,可将上述命令加入到/etc/rc.d/rc.local文件中。
2. 抵御DDOS
DDOS,分布式拒绝访问攻击,是指黑客组织来自不同来源的许多主机,向常见的端口,如,
等发送大量连接,但这些客户端只建立连接,不是正常访问。由于一般Apache配置的接受连接
数有限(通常为),这些“假” 访问会把Apache占满,正常访问无法进行。
Linux提供了叫ipchains的防火墙工具,可以屏蔽来自特定IP或IP地址段的对特定端口的连接。
使用ipchains抵御DDOS,就是首先通过netstat命令发现攻击来源地址,然后用ipchains命令阻断
攻击。发现一个阻断一个。
*** 打开ipchains功能
首先查看ipchains服务是否设为自动启动:
chkconfig --list ipchains
输出一般为:
ipchains 0:off 1:0ff 2:on 3:on 4:on 5:on 6:off
如果列为on,说明ipchains服务已经设为自动启动
如果没有,可以用命令:
chkconfig --add ipchains
将ipchains服务设为自动启动
其次,察看ipchains配置文件/etc/sysconfig/ipchains是否存在。如果这一文件不存在,ipchains
即使设为自动启动,也不会生效。缺省的ipchains配置文件内容如下:
# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
:input ACCEPT
:forward ACCEPT
utput ACCEPT
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
# allow mended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Lokkit-0--INPUT - [0:0]
-A INPUT -j RH-Lokkit-0--INPUT
-A RH-Lokkit-0--INPUT -i lo -j ACCEPT
-A RH-Lokkit-0--INPUT -p tcp -m tcp --dport ftp -j ACCEPT
-A RH-Lokkit-0--INPUT -p tcp -m tcp --dport ssh -j ACCEPT
-A RH-Lokkit-0--INPUT -p tcp -m tcp --dport http -j ACCEPT
-A RH-Lokkit-0--INPUT -p tcp -m tcp --dport smtp -j ACCEPT
-A RH-Lokkit-0--INPUT -p tcp -m tcp --dport pop3 -j ACCEPT
-A RH-Lokkit-0--INPUT -p tcp -m tcp --dport mysql -j ACCEPT
-A RH-Lokkit-0--INPUT -p tcp -m tcp --dport -j ACCEPT
-A RH-Lokkit-0--INPUT -p tcp -m tcp --dport domain -j ACCEPT
-A RH-Lokkit-0--INPUT -p udp -m udp --dport domain -j ACCEPT
-A RH-Lokkit-0--INPUT -p tcp -m tcp --dport 0: --syn -j REJECT
-A RH-Lokkit-0--INPUT -p tcp -m tcp --dport --syn -j REJECT
-A RH-Lokkit-0--INPUT -p udp -m udp --dport 0: -j REJECT
-A RH-Lokkit-0--INPUT -p udp -m udp --dport -j REJECT
-A RH-Lokkit-0--INPUT -p tcp -m tcp --dport : --syn -j REJECT
-A RH-Lokkit-0--INPUT -p tcp -m tcp --dport --syn -j REJECT
COMMIT
以上配置允许了ftp, ssh, http, smtp, pop3, mysql, (Prim@Hosting ACA端口),domain端口。
* 启动iptables
/etc/init.d/iptables start
* 设置iptables为自动启动
chkconfig --level iptables on
* 用iptables屏蔽IP
iptables -I RH-Lokkit-0--INPUT 1 -p tcp -m tcp -s .8.. --dport --syn -j REJECT
注意到,和ipchains的区别是:
-I 后面跟的规则名称的参数和ipchains不同,不是统一的input,而是在/etc/sysconfig/iptables里定义的那个
多了-m tcp
指定端口的参数是--dport
多了--syn参数,可以自动检测sync攻击
使用iptables禁止ping:
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 2 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j REJECT --reject-with icmp-port-unreachable
允许某ip连接
-I RH-Firewall-1-INPUT 1 -p tcp -m tcp -s ..0. --syn -j ACCEPT
DDoS/CC攻击器
在网络攻击领域,攻击工具起着关键作用,大多数攻击都是通过这些工具执行的。分类识别攻击工具并将其特征加入到防护规则中,有助于增强抵御攻击的能力。下面我们将对几种常见的CC攻击工具进行深入探讨。
首先,让我们了解HULK攻击。HULK,即Http Unbearable Load King,是一种针对web服务的拒绝服务攻击工具。它通过生成大量单一伪造流量,绕过缓存系统,直接冲击服务器的资源池。HULK的特性在于,对于每个请求都是独一无二的,能避免引擎缓存的影响,直接作用于服务器负载。其使用的技术包括源客户的混淆、引用伪装、粘附性、不使用缓存策略以及URL的独特组成。HULK攻击主要采用HTTP GET类型,并有相应的缓解方法,包括网络层和应用层的防护措施。云防护系统通常内置了相应的规则集,提供相应的防护。
接下来,介绍LOIC攻击。LOIC,即Low Orbit Ion Canon,是一款可以执行UDP、TCP和HTTP DDoS攻击的工具。它被广泛用于测试web应用的抗攻击能力。LOIC攻击手段主要包括无限循环发送大量数据,主要采用UDP/TCP/HTTP GET类型。缓解方法包括识别攻击IP并阻止其访问,云防护系统也提供相应的规则集支持。
HOIC攻击使用的是High Orbit Ion Cannon工具,该工具基于RealBasic语言开发,具有与LOIC类似的功能,但更为开源。HOIC攻击通过随机抽取目标URL、Referer和User-Agent等信息,生成并发送HTTP请求,采用大量合法HTTP请求进行DoS攻击。缓解方法主要是基于异常行为检测的策略。
Slowloris攻击是一种通过建立并维持与目标服务器的多个TCP连接,以缓慢方式发送HTTP请求来耗尽服务器资源的攻击方式。攻击者通过控制僵尸网络或反向代理向服务器发送请求。缓解方法通常包括速率限制等措施。
XOIC攻击是针对LOIC的一种扩展,支持多平台(GNU/Linux、Windows、Mac OS以及Android),但仅在Windows 7及以上版本上运行。相比于LOIC,XOIC增加了测试模式,可用于测试攻击主机的性能。缓解方法可参考LOIC的策略。
srDOS工具在与服务端建立连接后,延迟发送攻击报文,同时利用HTTPS握手相关的攻击。攻击类型为TCPSSL。缓解措施包括监控和限制连接速率。
THC SSL DOS攻击通过利用SSL重协商漏洞耗尽服务器资源。该工具由“The Hacker’s Choice”组织发布。缓解方法是禁用SSL重协商机制。
此外,还有CC_Attack、DDOSIM-Layer、OWASP DOS HTTP POST等攻击工具,它们主要用于CC演练和攻击测试。分析这些工具的特征,可以制定相应的防护策略,加入到网络安全防护体系中,以增强系统的抵御攻击能力。