1、DoS概述html
DoS(Denial of Service,拒絕服務)攻擊是指攻擊者利用系統及協議漏洞大量消耗網絡帶寬以及系統CPU、內存等資源,使得其餘合法用戶不能及時獲得服務器的響應。DoS攻擊即「一對一」的攻擊。git
DDoS分佈式拒絕服務攻擊,指「多對一」的攻擊,即存在大量「殭屍機」多同一個服務器進行DoS攻擊,產生的後果及影響比DoS攻擊更加嚴重。http://www.digitalattackmap.com/ 該網站能夠查看DDoS全球實時攻擊發布。服務器
2、DoS攻擊實踐網絡
使用LOIC工具進行攻擊
LOIC工具能夠在網站下載:https://sourceforge.net/projects/loic/ LOIC簡稱盧瓦或低軌道離子炮(low orbit lon cannon),是最知名的DoS攻擊工具之一,支持TCP/UDP/HTTP 洪水攻擊。如下是DoS實驗過程:分佈式
- 打開wireshark準備抓包分析
- 在win7虛擬機中運行LOIC,輸入攻擊目標的URL或IP,這裏以www.baidu.com爲例,而後選擇協議、線程數以及你所想要的請求速度,點擊右上角開始按鈕,DoS攻擊開始,此時可觀察wireshark抓取的包
- 開始TCP洪水攻擊,基於三次握手,通過幾秒鐘,中止請求,可在右下角看見此時請求數量已達三萬多
查看wireshark抓取的數據包,可見客戶端一直沒有給服務器端發送ACK報文,而是一直不斷地向服務器端發送鏈接請求,致使服務端忙於處理批量的鏈接請求,而沒有空餘資源能夠處理其餘正經常使用戶的訪問,致使服務器癱瘓。工具
- 開始UDP洪水攻擊 將協議改成UDP便可。
使用UDP洪水攻擊的原理是向目標端口發送大量無用的UDP報文來佔滿目標的帶寬,致使目標服務器癱瘓。網站
- 開始HTTP洪水攻擊 此攻擊類型主要攻擊目標是使用https協議的Web服務器上的訪問服務,當發生攻擊時攻擊者向被攻擊服務器大量高頻的發送請求服務,使服務器忙於向攻擊者提供https響應資源從而致使不能想正常的合法用戶提供請求響應服務。
使用hping3 進行SYN泛洪攻擊
SYN攻擊利用的是TCP的三次握手機制,攻擊端利用僞造的IP地址向被攻擊端發出請求,而被攻擊端發出的響應 報文將永遠發送不到目的地,那麼被攻擊端在等待關閉這個鏈接的過程當中消耗了資源,若是有成千上萬的這種鏈接,主機資源將被耗盡,從而達到攻擊的目的。url
hping命令格式:spa
# hping3 -c[設置數據包的個數] -d[設置每一個數據包的大小] -S[發送SYN數據包] -w[設置TCP 窗口大小] -p[設置目標端口] --flood[快速發送數據包] --rand-source[隨機ip地址] testsite.com[目標ip或網址]
注:使用hping3工具進行DoS攻擊可以使目標主機發現不了你的ip地址,由於有參數--rand=source ,致使目標機器不能定位你的實際IP,也可使用-a或--spoof隱藏主機名。下面進行演示:使用命令:.net
# hping3 -c 5000 -d 100 -S -w 64 -p 80 --flood --rand-source www.baidu.com
ICMP洪水:ICMP是(Internet Control Message Protocol,網絡控制報文協議 ) 該攻擊在短期內向目標主機發送大量ping請求包,消耗主機資源,當目標系統響應攻擊者發出的大量的 ping請求超出系統的最大承受限度時,目標系統資源就會耗盡殆盡,形成系統癱瘓或者沒法正常提供其餘服務。 目前使用ICMP洪水進行DoS攻擊的狀況已很少見,如圖所示,攻擊者在對目標進行ICMP洪水攻擊時,100%ICMP包丟失,說明目標一個ICMP包都沒有接收,這是由於如今大多數防火牆都已經設置ICMP包過濾機制,使得攻擊者發起的ICMP洪水在目標網絡邊界就已經被過濾並丟棄,致使攻擊無效。
hping3 -c 5000 -d 100 -a 2.2.2.2 --icmp --flood www.baidu.com #使用-a僞造源地址。
「390924 packets transmitted, 0 packets received, 100% packet loss」