9.WireShark学习-使用WireShark分析SYN-Flooding攻击

最新推荐文章于 2024-09-16 22:24:52 发布
最新推荐文章于 2024-09-16 22:24:52 发布
阅读量7.2k 收藏 53
点赞数 7
分类专栏: 安全工具 文章标签: Wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36810852/article/details/107326124
版权

使用WireShark分析SYNFlooding攻击

本文内容:

  • 拒绝服务攻击的相关理论;
  • 使用Hping发起SYN flooding攻击;
  • Wireshark的流量图功能;
  • SYN flooding攻击解决方案。

9.1拒绝服务攻击的相关理论

服务器所面临的最大威胁当数拒绝服务攻击,拒绝服务攻击其实是一类攻击的合称。所有这种类型的攻击的目的都是相同的,那就是要是使受攻击的服务器系统瘫痪或服务失效,从而使合法用户无法得到相应的资源。虽然服务器的功能多种多样,但是这些差异都是表现在应用层,无论它们使用的是什么应用程序,但是最终都会使用到传输层的协议。而传输层常用的协议只有TCP和UDP两种。因此攻击者只需要研究这两个协议的缺陷,就几乎可以实现对所有类型服务器的攻击。

目前已经出现了很多种类型的拒绝服务攻击方式,我们只挑选其中最为典型的两种SYN flooding攻击和UDP flooding攻击进行讲解。其中SYN flooding攻击是针对TCP协议的,它的主要目的是占用目标上所有可用的连接请求。而UDP flooding攻击则是针对UDP协议的,主要目的是耗尽目标所在网络的带宽

9.1.1 TCP连接的建立方式

TCP协议在进行通信之前需要先建立连接,例如一个客户机和一个服务器之间在发送实际的数据之前,会互相向对方发送控制数据包。这个过程使得客户机和服务器都进入连接状态,然后就可以进行数据交换了,我们称其为3次握手。握手过程一旦完成,客户机和服务器之间就建立好了一个连接,因此我们在描述TCP协议时会说这是一个面向连接的协议。

1

一般我们用到的是这个字段,标志位,一般我们叫做SYN数据包,
2

与SYN相关的还有个字段,序列号,WireShark默认为三次握手的相对值,因此我们把它调回原来的样子,方便分析

3
编辑——首选项

4
protocols——TCP,去掉相对值的选项

5
可以看到序列号真实值很大,是个随机数,因为不希望他人猜出来

6
查看第二个数据包SYN,ACK数据包,因为它syn和ack字段都为1,因此叫它SYN,ACK数据包

7

而这里的ack序列号为951057940,是上一个ack数据包序列号加1得来的。

8

9.1.2 SYN flooding攻击

这种攻击最早出现于1996年,当时大量的网站服务器都遭受到了这种SYN flooding攻击。这种攻击利用了TCP连接的3次握手,但是这个握手过程是建立在理想状态下的而在实际状态下当服务器收到了来自客户端发送的SYN请求之后,会发出一个SYN-ACK回应,是连接进入到了半开状态,但是这个回应很有可能会因为网络问题无法达到客户端。所以此时需要给这个半开的连接设置一个计时器,如果计时完成了还没有收到客户端的ACK回应,就会重新发送SYN-ACK消息,直到超过一定次数之后才会释放连接。服务器需要为每一个半开连接分配一定的系统资源,所以当出现数量众多的半开连接时,服务器就会因为资源耗尽,进而停止对所有连接请求的响应。

9.2使用Hping3发起攻击

这次我们采用Kali Linux 2中自带的hping3来进行一次拒绝服务攻击。这是一款用于生成和解析TCP/IP协议数据包的开源工具,之前推出过hping和hping2两个版本,目前最新的版本是hping3,利用这款工具我们可以快速定制数据包的各个部分, hping3也是一个命令式的工具,其中的各种功能要依靠设置参数来实现。启动hping3的方式就是在Kali Linux2中启动一个终端,然后输入"hping3 "即可:

root@kali:-# hping3
hping3>

好了,现在我们就利用刚刚介绍过的hping3参数来构造一次基于TCP协议的拒绝服务攻击。在Kali Linux 2中打开一个终端,然后在终端中输入:

hping3 -q -n --rand-source -S -p 80 --flood 目标IP

这时攻击就开始了,在这个过程中可以随时使用Ctrl+C组合键来结束这次攻击。

9

几秒钟就抓了几十万个数据包,而且ip地址全是伪造的

10

9.3 Wireshark的流量图功能

查看流量图

11

左下角,的限制显示过滤器,勾上后会显示使用显示过滤器过滤后的包

12
以下为正常的tcp流

13

syn泛洪攻击的流,可以看到没有应答的包

14

9.4解决方案

  • (1)丢弃第一个SYN数据包
  • (2)反向探测
  • (3)代理模式
WireShark支持插件显示ip地址地理位置

在编辑——首选项中设置ip协议,打上勾,支持地址转换功能

15
下载插件

下载第三方库云盘地址:https://pan.baidu.com/s/1UV_G-47gv1B7yhSXuM5Bbw 提取码:lxu8

官方下载地址: https://dev.maxmind.com/geoip/geoip2/geolite2/

  1. 打开个人配置的文件夹

16
2. 新建个文件夹,把下载好的解压放进去
17

18

  1. 编辑——首选项——Name Resolution——MaxMind database directories——Edit,MaxMind DB 文件格式是使用高效的二进制搜索树将IPv4和IPv6地址映射到数据记录的数据库格式。

19

  1. 把刚刚新建的文件夹地址写上

20

完成

21

设置就是这么简单,但是这里没有看到很多人想要的经纬度信息,这是因为在wireshark更新后,它支持的第三方库文件的后缀就变成了.mmdb格式,这种格式GeoIP并没有放出有经纬度信息的,记得好像是因为License的问题。当然如果有需要使用经纬度信息,那么就去安装wireshark3.0以下的版本吧。

Wireshark3以下用的第三方数据库文件的格式是.dat的

参考:Wireshark使用技巧之GeoIP显示IP地理位置及经纬度信息

人间且慢行呀
关注
专栏目录
4-wireshark网络安全分析——TCP SYN Flooding攻击
网络安全
03-15 4053
关于tcp协议的参考链接: 16-tcp首部分析
Wireshark TS | SYN Flood 攻击案例
7ACE的博客
08-12 808
Wireshark TS | SYN Flood 攻击案例
什么是SYN Flooding攻击?如何防御?底层原理是什么?
最新发布
长风破浪会有时的博客
09-16 1036
SYN Flooding攻击是一种常见的DoS(Denial of Service,拒绝服务)攻击手段,其目的是通过向目标服务器发送大量的SYNSynchronize)数据包来耗尽服务器的资源,从而使服务器无法响应合法用户的请求。SYN Flooding攻击是一种通过发送大量未完成三次握手的SYN数据包来耗尽服务器资源的攻击方式。防御SYN Flooding攻击的方法包括使用SYN Cookie技术、增加SYN队列大小、使用防火墙或IDS、限制SYN请求频率、使用DDoS防护服务以及增强服务器配置等。
一个小小的利用kali中的工具进行DOS攻击的记录
weixin_43649742的博客
10-06 2816
一个小小的利用kali中的工具进行DOS攻击的记录 目标:我朋友的一台服务器,已知网址 [具体的就不写出来了] 登录后得到的是学校的教务处的大创登陆界面 nmap 网址 由于挂在了学校网的后面,DNS解析困难,无法得到IP地址。所以直接转向无所不能的wireshark。 先打开浏览器,输入网址,暂时不用回车,打开我们的wireshark,这里由于目标比较明确,就不用过滤器进行高级选项的设置,点...
Wireshark网络分析从入门到实践》整理和总结
demo
01-19 2984
2.过滤 伯克利(BPF)网卡捕获过滤 显示过滤器 菜单栏输入框根据表达式 可创建自定义过滤器 数据包细节面板右键直接创建 3.捕获文件的操作 每隔10秒捕获文件分包,避免文件过大停止响应 环状缓冲区,新的覆盖旧的文件 解析名称 保存配置文件,方便换电脑 1.认识wireshark 介绍安装和抓一个包 4.0虚拟网络环境构建 eNSP华为虚拟设备软件 VMware PC虚拟工具 Kali Linux 2集成工具渗透测试操作系统 eNSP
SYN Flooding 攻击
03-23
说明:SYN-Flood攻击输入IP地址上的输入特定端口。数据包源IP地址为一伪造地址,每一次攻击都不断变换源IP地址源端口也是随机变化的。程序没有做到教科书要求的 伪造的源IP地址可路由但是不可达。程序采用的几乎都是不可达的IP。教科书中还有一种做法,选取一伪造IP,从不同的端口连接被攻击端口,扩大了攻击面。本程序目前没有实现这样的功能,不过非常容易做到。
SYN Flooding攻击
wwl012345的博客
11-20 9518
       SYN Flooding攻击是一种很古老的攻击,其实质是DOS(即拒绝服务攻击),该攻击是利用TCP/IP的三次握手(后面会说到详细的过程),利用大量虚假的IP身份建立不完整连接,消耗目标主机的CPU。从而使目标主机近于瘫痪。        首先,简要介绍一下TCP/IP的三次握手: SYN Flooding就是利用红色框中的阶段进行攻击的。大概是这样的:        攻...
Wireshark网络安全之传输层安全-拒绝服务DOS介绍以及SYN Flood
qq_43776408的博客
06-30 680
DOS仅针对两种协议:UDP和TCP //////////////////// WireShark进行分析三次握手 下的前三行 都是通过TCP进行传送的 SYN SYN+ACK ACK 比如第一行:从本机57100端口发送到目标80端口,SYN 第四行表示成功 第六行也表示成功 /////////////////////////////////////////////// TCP SYN flooding安全测试 SYN—>服务 服务—>SYN+ACK 此时客户端不在发送ACK给服务端 则服
SYN flooding
大草的博客
07-24 1400
SYN flooding攻击攻击者可以在短时间内发送大量的伪SYN包,占用服务器的TCB队列资源,致使正常用户无法连接。下面我们使用netwox工具,分别从家庭局域网内的主机和服务器,向一个搭建wordpress的目标服务器(myself),发送伪SYN包。 使用自己构建的代码,发起SYN flooding攻击。 介绍防御措施:SYN cookie。
6. WireShar学习-使用WireShark分析链路层攻击
Daylight
07-12 857
6. 使用WireShark分析链路层攻击 据统计,目前网络安全的问题有80%来自于"内部网络" ,很多黑客也将攻击目标从单纯的计算机转到了网络结构和网络设计上来。因为链路层是内部网络通信最为重要的协议,而交换机正是这一层的典型设备,所以我们的讲解以交换机为例。但是相比起其他网络设备来说,交换机的防护措施往往也是最差的,因此也经常成为黑客攻击的目标。 内容: 针对交换机的常见攻击方式: 使用macof发起MAC地址泛洪攻击; 使用统计功能分析针对交换机的攻击; 如何防御MAC地址泛洪攻击。 6.1针对交
《网络安全自学教程》- SYN Flood原理分析与实战演示
热门推荐
wangyuxiang946的博客
04-08 1万+
使用hping3执行SYN Flood,分析SYN Flood原理、防御措施。
SYN_Flooding网络攻击的原理、检测及防御技术
06-26
SYN_Flooding网络攻击的原理、检测及防御技术,适合无线传感网络的洪泛攻击学习
TCP协议的SYN Flood攻击原理详细讲解
10-09
1. **SYN Cookie**:服务器使用一种技术,将SYN请求的部分信息加密,并作为SYN+ACK响应的一部分返回,这样即使攻击者伪造SYN请求,也无法正确回应服务器的SYN+ACK,从而避免资源浪费。 2. **限速和连接限制**:设置...
网络应用实例(二)SYN Flooding攻击
qq_42180996的博客
06-06 1791
SYN Flooding攻击 一、实验环境 二、实验原理 三、实验步骤 1.查看IP地址 2.连通性测试 3.监控CPU资源的占用率 4.SYN Flooding攻击 5.查看攻击效果 6.抓包查看 一、实验环境 1.攻击机:Kali Linux 2.靶 机:Windows XP 3.网卡连接:NAT(Vmnet 8) 4.IP地址:自动获取(通过Vmware软...
使用Kali Linux进行SYN Flood攻击
浅浅的博客
11-21 5091
1、SYN SYN:同步序列编号(Synchronize Sequence Numbers),是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首先发出一个SYN消息,服务器使用SYN+ACK应答表示接收到了这个消息,最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接,数据才可以在客户机和服务器之间传递。...
SYN Flooding实验
Suzime的博客
04-27 502
SYN Flooding实验 一.ubuntu update 一开始用的默认源结果有问题,向老师咨询后,改为使用镜像源,快了很多. 镜像布置方法如下: 1.找到ubuntu自带的软件更新程序 2.将源从中国站点换为阿里云或者中科大 3.等待自动更新完成即可 安装时出现的问题: 在第一次使用镜像源的时候出现系统崩溃,不知道具体原因,应该是之前使用默认源更新的时候没有下载完全导致产生冲突,重新安装一个ubuntu虚拟机即可解决. 另外记得使用快照也可以避免很多问题(右键单机虚拟机找到快照按键进行快照)
el-table数据不显示_Wireshark数据包分析三板斧
weixin_39621060的博客
11-29 289
阅读本文大约需要15分钟,您可以先关注我们或收藏,避免无法找到该文章。引言Wireshark是IT技术人员必备大杀器,Wireshark分析数据包的能力十分强大,能够分析IT界的各种数据包。 本运维老狗利用和业务同学撕逼的空隙,总结了Wireshark数据包分析三板斧。咱们以理服人,通过数据包的分析来证明系统没问题、网络没问题。每板斧都能砍透甩锅同学的脑门,让撕逼从此优雅从容。好了,废话不多说,下...
Syn-Flood攻击
hl1293348082的专栏
04-06 9885
Syn-Flood Attack是一种基于TCP/IP协议的拒绝服务攻击,它会造成服务器TCP连接数达到最大上限,从而不能为新的用户的正常访问请求建立TCP连接,以此达到攻击目的。这种攻击方式危害巨大,不仅会让用户体验不佳,更直接的影响是对企业造成严重的经济损失!所以我们有必要了解这种攻击的原理和防御措施。 0x01. TCP/IP三次握手 1.第一次握手:Client将标志位(也就是flags位)SYN置为1,随机产生一个值seq=J,并将该数据包发送给Server,Client进入SYN_SEN
Wireshark攻击流量分析
qq_52486507的博客
03-10 3784
7.继续查看数据包文件logs.pacapng将恶意用户下载的文件里面的内容作为Flag值(形式:[文件内容])提交。5.继续查看数据包文件logs.pacapng分析出恶意用户连接一句话木马的密码是什么,并将一句话密码作为Flag。3.继续查看数据包文件logs.pacapng分析出恶意用户读取服务器的文件名是什么,并将该文件名作为Flag值。4.继续查看数据包文件logs.pacapng分析出恶意用户写入一句话木马的路径是什么,并将该路径作为Flag值。所以Flag的值:Flag:[flag.zip]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值