分布式拒绝服务攻击(tfn2k)攻击及iptables过滤测试

heart我是我543

heart我是我543

2016-01-29 19:11

分布式拒绝服务攻击(tfn2k)攻击及iptables过滤测试,分布式拒绝服务攻击(tfn2k)攻击及iptables过滤测试
 

By lanf, 出处:http://www.linuxaid.com.cn/forum/

By wjpfjy From LinuxAID Forum

  首先,我写这篇文章的目的,并不是我想成为什么hacker之类,而且我不并不鼓励任何人利用它来做一些有损他人的事情,我只是想多一些人关注网络安全,共同研究并防御DOS。因为我是深受其害:(,所以,这篇文章仅用于技术参考,供大家研究DDOS防御之用。如果你利用它来做一些不合法的事情,那结果与我无关。

  拒绝服务攻击(DOS,Denial Of Service)可以指任何使服务不能正常提供的操作。如软件bug,操作失误等。不过现在因为失误操作而造成的dos,可能性非常小,更多的是恶意的攻击行为。现在拒绝服务攻击早已演变为分布式拒绝服务攻击(DDOS,Distributed Denial Of Service),利用更多的代理集中攻击目标,其危害更大。

  我们大家都知道tcp/ip协议现在已经成为整个internet框架协议,可以说,如果没有tcp/ip,至少internet不会像现在这样普及,甚至不可能会有internet。但凡事皆有两面性,tcp/ip使我们大家受益,同时因为协议本身构造的问题,它也成为别人攻击我们的工具。我们以tcp三握手建立连接的过程来说明。  

一、tcp syn flood
  

  1.客户端(client)发送一个包含SYN(synchronize)的tcp包至服务器,此数据包内包含客户端端口及tcp序列号等基本信息。

(本文来源于图老师网站,更多请访问https://m.tulaoshi.com/linux/)

  2.服务器(server)接收到SYN包之后,将发送一个SYN-ACK包来确认。

  3.客户端在收到服务器的SYN-ACK包之后,将回送ACK至服务器,服务器如接收到此包,则TCP连接建立完成,双方可以进行通讯(感觉像,一拜天地...二拜高堂...送入洞房...哈哈)

(本文来源于图老师网站,更多请访问https://m.tulaoshi.com/linux/)

  问题就出在第3步,如果服务器收不到客户端的ACK包,将会等待下去,这种状态叫做半连接状态。它会保持一定时间(具体时间不同操作系统不同),如果SYN请求超过了服务器能容纳的限度,缓冲区队列满,那么服务器就不再接收新的请求了,其他合法用户的连接都被拒绝掉。这种攻击往往事半' 罪'倍,杀伤力超强。 

  当然,DOS攻击的方法多种多样,如:UDP flood,ICMP/Ping,ICMP/SMURF...,具体原理的介绍大家可以到 http://www.chinaitlab.com/www/special/ciwddos.asp去看看,有很详细的原理及常用攻击软件介绍。不过说到DOS攻击软件,最具代表的莫过于tfn2k (Tribe Flood Network 2000),其作者是德国大名鼎鼎的mixter(其主页http://mixter.void.ru/papers.html),好像最近正在埋头搞什么tfn3k,哎~~,不知道又有多少人寝食难安了...

二.tfn2k攻击原理

  1.tfn2k的攻击体系。

  tfn2k应该算是DDOS攻击中的代表作,其所能实现的功能让人瞠目结舌,叹为观止...(对它的敬畏有如滔滔江水,延续不绝...)来看看它的架构。

  主控端---运行tfn客户端,来遥控并指定攻击目标,更改攻击方法.(罪大恶极)

  代理端---被植入并运行td进程的牺牲品,接受tfn的指挥,攻击的实施者.需要注意的是,一个攻击者,往往控制多台代理来完成攻击,而且其系统多为unix,linux等.(可怜的牺牲品)

  目标主机---被攻击的主机或网络,曾经被DDOS的有Yahoo、Amazon、CNN、e-bay等.(最大的受害者,郁闷如我)

  2.tfn2k特性。

  ◆ 主控端通过TCP、UDP、ICMP或随机性使用其中之一(默认.随机)的数据包向代理端主机发送命令,攻击方法包括TCP/SYN、UDP、ICMP/PING、混合攻击、TARGA3等。

  ◆ 主控端与代理端的通讯采取单向,即主控端只向代理端发送命令,并且会采取随机的头信息,甚至虚拟的源地址信息,代理端不会逆向向主控端发送任何信息.

  ◆ 所有命令经过CAST-256算法加命,其关键字即编译程序时的输入的口令.并且这个口令做为唯一认证凭证.

  ◆ 利用td进程,主控端可以远程执行shell命令.

  ◆ td进程的名称可以在编译时更改,更便于隐藏.

  ◆ tfn可以编译运行于win32及linux系统的.

  ...

  至于伪造源IP地址等功能,更是基本功能,并且其与老版本的tfn相比,它的发包效率更高,我自已的测试,在短短不到5分钟,两台代理机,使我的redhat linux 9.0系统瘫痪.

三.tfn2k 实战测试

  1.测试环境:

   软件:redhat linux 9.0
   硬件平台:
     master:
        IP: 192.168.0.6
       PIV2.4/256*2/rtl8139
     Ag1 :
        IP: 192.168.0.2
       PIV2.4/256*/rtl8139
     AG2 : IP: 192.168.0.3
       pIV2.6/512*2/3c905
     AIM: 192.168.0.5
       pIV2.66c/512*2/3c905
     switch: D_link des 1024R

  1.下载tfn2k.tgz(因为此软件非比寻常,所以我并不提供下载地址,如果有兴趣,自已到网上找吧)

  2.解压: tar zxvf tfn2k.tgz

  3.修改文件

  A. src/Ma

展开更多 50%)
分享

猜你喜欢

分布式拒绝服务攻击(tfn2k)攻击及iptables过滤测试

Linux Linux命令 Linux安装 Linux编程 Linux桌面 Linux软件 Linux内核 Linux管理
分布式拒绝服务攻击(tfn2k)攻击及iptables过滤测试

拒绝服务攻击原理及解决方法(2)

电脑网络
拒绝服务攻击原理及解决方法(2)

s8lol主宰符文怎么配

英雄联盟 网络游戏
s8lol主宰符文怎么配

拒绝服务攻击原理及解决方法(1)

电脑网络
拒绝服务攻击原理及解决方法(1)

拒绝服务攻击原理及解决方法(3)

电脑网络
拒绝服务攻击原理及解决方法(3)

lol偷钱流符文搭配推荐

英雄联盟 网络游戏
lol偷钱流符文搭配推荐

分布式查询和分布式事务

SQLServer
分布式查询和分布式事务

修改Win2k注册表抵抗拒绝服务

windows 操作系统
修改Win2k注册表抵抗拒绝服务

lolAD刺客新符文搭配推荐

英雄联盟
lolAD刺客新符文搭配推荐

ASP 3.0高级编程(十八)

ASP 3.0高级编程(十八)

《鬼泣4 特别版》全人物连招打法技巧攻略

《鬼泣4 特别版》全人物连招打法技巧攻略
下拉加载更多内容 ↓