文章目录
日志审计小实验
日志审计可以通过对人员操作设备登录等情况有一个直接的认识,当然通过借助一些工具能够帮助我们更快速的实现操作,今天的实验是简单的流量审计,并作出防御:
实验要求:
前期准备:
yum install libpcap libpcap-devel ncurses ncurses-devel
yum install flex byacc
wget http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm
rpm -ivh epel-release-6-8.noarch.rpm
yum install iftop
在kali上安装hiping3,模拟DDOS攻击
kali使用工具发送大量垃圾流量进行攻击,在实验机上使用iftop结合iptables封堵攻击IP:
1.IP
攻击kali IP 192.168.100.142
试验机 IP 192.168.100.11
2.开始攻击
-c 攻击包 -d大小 -w -p 端口号 -s SYN包 -w TCP window --flood泛洪
sudo hping3 -c 5000 -d 150 -S -w 64 -p 80 --flood 192.168.100.11
3.试验机开启iftop监听网卡信息
iftop -i ens33
正常界面没有收到攻击ping 百度 可以看到回包
接收到攻击之后界面如下:
4.接收结果
我们可以看到收到了大量的垃圾包DDOS的攻击原理就是不建立连接耗尽你的可用资源,发送SYN但是不发送ACK确认,资源忙着去回应,就会导致一部分人无法连接上服务器,出现大量的空连接,可以确定是发生了DDOS攻击,那我们就可以使用iptables封堵IP,或者想要查看攻击者的攻击端口可以在iftop界面下-h调入帮助菜单,选择D显示端口进行相应的策略设置。
5.进行防御
后续试验会陆续更新,如果实验有什么问题欢迎指出,我将会虚心接收,继续改正。