原理

TCP Flood攻击

配置环境

Windows Server 2016配置

服务器管理器，创建一个Web服务器并开启该服务器功能

kali配置

vim /etc/network/interfaces

ifup eth0 开启网络

查看Kali ip 信息：

修改路由器信息：

拓扑关系如下所示：

GNS 3 中修改路由器 R1:

GNS3 中修改Wireshark路径

连通性测试：

Windows Server 2016 ping kali:

kali ping Windows Server 2016:

攻击

此时kali可以正常访问服务器：

在Kali Linux上使用 hping3 攻击Windows 2016 Server

hping3 -S（表示SYN Flood攻击） -c 包数量 –-flood（表示以最快速度发送包，并且不显示回复） -d 每个包中数据长度 -w 窗口长度 -p 目标端口号 --rand-source（表示以随机的IP地址发送流量）


在GNS3上服务器网段上打开Wireshark抓包

hping3 -S -c 100 --flood -d 32 -w 64 -p 80 --rand-source 192.168.2.2

此时服务器可以正常访问

hping3 -S -c 500 --flood -d 64 -w 128 -p 80 --rand-source 192.168.2.2

此时服务器也可以正常访问，但加载时间较长

hping3 -S -c 1000 --flood -d 128 -w 512 -p 80 --rand-source 192.168.2.2

此时服务器无法访问，页面无法加载

UDP 攻击

创建 DNS 服务器域名到 IP 地址的映射

创建了DNS服务器上www.cybersecurity.com到其IP地址的映射关系：

1. 新建区域：

区域名为 www.cybersecurity.com

新建主机：

填写ip地址作为该域名的解析地址：

win 10 访问域名

win10 网络配置如下：

Win10 正常解析出 www.cybersecurity.com的IP地址：

Wireshark抓取该过程的UDP报文：

Win10请求Windows Server2016 DNS 解析的UDP报文分析：

UDP 字段包括：源端口号，目的端口号，报文长度，校验和，时间戳，载荷。

数据段包括请求的选项、查询部分(Queries) ,查询部分包括域名(www.cybersecurity.com)，域名长度(Name Length : 21 )，查询类型 (Type: AAAA)

Windows Server 2016的响应报文如下：

响应报文中数据段额外包含 Answers 字段：包括对客户端查询的回答(addr 192.168.2.3)、请求到达时间、响应时间

攻击

通过Kali Linux的hping3工具用以下指令攻击Windows2016服务器

hping3 --udp --rand-source -p 53 -d 100 --flood 192.168.2.2

打开真实机上的Wireshark抓取192.168.2.0/24网段的流量，观察并分析攻击时发送的UDP包的特征： UDP 包的源 IP 地址随机，且UDP 包的格式非法(Malformed Packet)

攻击UDP 包的具体内容如下：

攻击UDP包的特征：

1. 基于UDP协议，目标端口是 53（DNS 端口）
2. 源 IP 地址是随机变化的 (--rand - source参数)
3. “Malformed Packet: DNS”（畸形 DNS 数据包）。因为hping3发送的数据包可能不符合正常的 DNS 数据包格式，目的是通过发送异常数据包来干扰或攻击目标服务器的 DNS 服务。这种畸形数据包可能会导致目标服务器在处理 DNS 请求时出现错误，消耗系统资源来处理这些异常情况。
   

此时在Windows10上通过nslookup 无法解析出域名

打赏

如果觉得文章对您有用，请随意打赏。
您的支持是我们继续创作的动力！

微信扫一扫

支付宝扫一扫