hping3攻击与snort攻击检测实验

已于 2022-06-27 11:27:27 修改
阅读量2.1k 收藏 20
点赞数 3
分类专栏: 系统安全 Linux系统 文章标签: 大数据
于 2022-06-27 11:26:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunlin2000/article/details/125480626
版权

目录

1、Land攻击部署和检测

1.1  在网关linux系统上关闭地址欺骗攻击保护:

1.2 添加检测land攻击规则

1.3 在客户机用hping3对192.168.0.100:80发动land攻击:

2、syn flood洪水攻击的部署和检测

2.1  在客户机上执行hping3攻击命令:

2.2  网关上snort检测:

3、Smurf 攻击的部署和检测

3.1 启用对广播请求的临时响应

3.2 攻击实现:

3.3 网关上用snort检测:

4、UDP 洪水攻击的部署和检测

4.1 攻击实现:

4.2 建立检测规则:

4.3 启动snort

5、端口扫描的部署与检测

5.1 TCP ACK扫描:

5.2 TCP FIN扫描:

5.3 TCP Xmas扫描:

5.4 TCP Null扫描:

5.5 UDP扫描:

1、Land攻击部署和检测

1.1  在网关linux系统上关闭地址欺骗攻击保护:

    $sudo vim /etc/sysctl.conf

修改为:(取消以下每行前的注释“#”)

    net.ipv4.conf.default.rp_filter=0
    net.ipv4.conf.all.rp_filter=0
    net.ipv4.ip_forward=1
    net.ipv4.conf.all.accept_redirects=1
    net.ipv4.conf.all.send.-_redirects=1

重启网关:reboot

使网关将能够转发伪造的数据包。
在网关使用snort进行land攻击检测:

修改/etc/snort/snort.conf

使用下面命令(注意中间的空格)注释掉所有include语句:

$sudo sed -i 's/include \$RULE_PATH/#include \$RULE_PATH/' /etc/snort/snort.conf

然后,sudo vim /etc/snort/snort.conf 修改snort.conf

    1、取消注释包含local.rules的命令行
    2、ipvar  HOME_NET 10.0.0.10/8
    3、#ipvar EXTERNAL_NET any
    4、ipvar EXTERNAL_NET !$HOME_NET

 sudo vim /etc/snort/rules/local.rules

1.2 添加检测land攻击规则

    alert  tcp HOME_NET any -> HOME_NET any 80 (msg:"land attack";sid:1000005;rev:1)

#启动snort

    $sudo snort -A console -c /etc/snort/snort.conf -q -i enp0s3

#enp0s3为网关的客户端网卡接口

1.3 在客户机用hping3对192.168.0.100:80发动land攻击:

    $sudo hping3 -S -p 80 10.0.0.10 -a 10.0.0.10 -s 80 --keep  --faster

2、syn flood洪水攻击的部署和检测

2.1  在客户机上执行hping3攻击命令:

$sudo hping3 -c 1000  -S  -p 80 --flood --rand-source 10.0.0.10

    -c 1000=发送的数据包的数量
    -p 80=目的地端口。这里可以使用其它开放端口
    --flood=尽可能快的发送数据包。洪水攻击模式。
    --rand-source=使用随机性的源头IP地址。

2.2  网关上snort检测:

添加/etc/snort/rules/local.rules检测规则

$sudo vim /etc/snort/rules/local.rules

    alert tcp any any -> $HOME_NET any (msg:"synflood";flags:S;threshold:type both,track by_dst,count 20,seconds 60;classtype:misc-attack;sid:1000006;rev:1;)

#启动snort

    $sudo snort -A console -c /etc/snort/snort.conf -q -i enp0s3

3、Smurf 攻击的部署和检测

默认情况下,Ubuntu不会响应广播ping。要启用针对网关的广播ping,你需要通过以下任一方法更改网关的设置:

3.1 启用对广播请求的临时响应

    $sudo echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    $sudo sysctl net.ipv4.icmp_echo_ignore_broadcasts 0

或者,你可以通过添加以下命令行来修改/etc/sysctl.conf:

    net.ipv4.icmp_echo_ignore_broadcasts=0
    #你可能需要重新启动节点。

3.2 攻击实现:

sudo hping3  --icmp --icmptype 8 --icmpcode 0 192.168.0.255 -a 10.0.0.10 --flood

    --icmp:icmp包类型
    --icmptype 8:回应请求
    --icmpcode 0:icmp代码
    192.168.0.255:攻击子网的广播地址;
    -a 10.0.0.10:被攻击者的IP;
    -c 10:仅发送攻击报文10个;
    --fast:alias for -i u10000(10 packets for second)
    --faster:alias for - u1000(100 packets for second)
    --flood:sent packets as fast as possible. Don't show replies

3.3 网关上用snort检测:

(1)建立检测规则:

$sudo vim /etc/snort/rules/local.rules

alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:"ICMP Smurf Attack"; itype:8; classtype:attempted-dos; sid:10000007; rev:1;)

(2)启动snort

$sudo snort -A console -c /etc/snort/snort.conf -q -i enp0s3

4、UDP 洪水攻击的部署和检测

4.1 攻击实现:

$sudo hping3 --udp  -p 53 --flood --rand-source 10.0.0.10

网关上用snort检测:

4.2 建立检测规则:

$sudo vim /etc/snort/rules/local.rules

alert udp EXTERNAL_NET any -> HOME_NET 53 (msg:"UDP Flood Attack!"; classtype:attempted-dos; threshold: type both, track by_dst, count 10, second 60 ; sid:10000008; rev:1;)

4.3 启动snort

$sudo snort -A console -c /etc/snort/snort.conf -q -i enp0s3


5、端口扫描的部署与检测

用 hping3部署从客户端到服务器的端口扫描。提示:在此攻击中,你需要将网关的 IP 地址锁定在客户端,即 192.168.0.100。

    TCP        ACK 扫描
    TCP        FIN 扫描
    TCP        Xmas 扫描
    TCP        Null 扫描(你可能会使用 nmap)。
    UDP        扫描

实现 snort 规则以检测上述扫描。特殊阈值检测要求:你需要在 60 秒的时间间隔内记录此攻击的每 20 个事件。

5.1 TCP ACK扫描:

    (1)#网关 $sudo vim /etc/snort/rules/local.rules,添加以下规则

        alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"ACK PortScan!"; flags:A;  threshold:type both,track by_dst,count 20,seconds 60; sid:10000009; rev:1;)

    (2)启动snort

    $sudo snort -A console -c /etc/snort/snort.conf -q -i enp0s3

    (3)#客户端扫描:

        $sudo hping3 10.0.0.10 --scan 1-1024 -A

检测结果:

5.2 TCP FIN扫描:

    (1)#网关 $sudo vim /etc/snort/rules/local.rules,添加以下规则

        alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"FIN PortScan!"; flags:F;  threshold:type both,track by_dst,count 20,seconds 60; sid:10000010; rev:1;)

    (2)启动snort

    $sudo snort -A console -c /etc/snort/snort.conf -q -i enp0s3

    (3)#客户端扫描:

        $sudo hping3 10.0.0.10 --scan 1-1024 -F

检测结果:

5.3 TCP Xmas扫描:

    (1)#网关 $sudo vim /etc/snort/rules/local.rules,添加以下规则

        alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"Xmas PortScan!"; flags:E;  threshold:type both,track by_dst,count 20,seconds 60; sid:10000011; rev:1;)

    (2)启动snort

    $sudo snort -A console -c /etc/snort/snort.conf -q -i enp0s3

    (3)#客户端扫描:

        $sudo hping3 10.0.0.10 --scan 1-1024 -X

检测结果:

5.4 TCP Null扫描:

    (1)#网关 $sudo vim /etc/snort/rules/local.rules,添加以下规则

        alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"Nmap Null PortScan!"; flags:0;  threshold:type both,track by_dst,count 20,seconds 60; sid:10000012; rev:1;)

    (2)启动snort

    $sudo snort -A console -c /etc/snort/snort.conf -q -i enp0s3

    (3)#客户端扫描:

        $sudo nmap -sN 10.0.0.10

检测结果:

5.5 UDP扫描:

    (1)#网关 $sudo vim /etc/snort/rules/local.rules,添加以下规则

        alert udp $EXTERNAL_NET any -> $HOME_NET any (msg:"Nmap Udp PortScan!"; threshold:type both,track by_dst,count 20,seconds 60; sid:10000013; rev:1;)

    (2)启动snort

    $sudo snort -A console -c /etc/snort/snort.conf -q -i enp0s3

    (3)#客户端扫描:

        $sudo nmap -sU 10.0.0.10

检测结果:
 

yunlin2000
关注
  • 3
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
HPing3构造多种类型DDOS攻击使用详解
Shiliang1995
10-17 4560
Hping3是安全审计,防火墙测试的重要工具,由于在工作中经常用到,在网上也看到了许多关于Hping3的文章,但是大多数是对Hping3参数的一个翻译,至于每个参数如何使用,如何联合多个参数构造出指定类型的DDOS攻击并没有介绍,本篇文章将给大家总结了如何发起各种类型的DDOS的命令。 一 、Hping3参数翻译 ——请查看其他博文 二、内容总览: 1.1、SYN洪水攻击,1.2、I...
hping3命令 测试网络及主机的安全
01-09
hping3命令是用于生成和解析TCPIP协议数据包的开源工具,也是安全审计、防火墙测试等工作的标配工具 。 目前最新版是hping3,支持使用tcl脚本自动化地调用其API。优势在于能够定制数据包的各个部分,因此用户可以...
【黑客技术】Hping攻击实验
weixin_43031313的博客
04-02 2913
hping3是一款面向TCP/IP协议的免费的数据包生成和分析工具。Hping是用于对防火墙和网络执行安全审计和测试的工具之一。(换句话说,它本身是一个安全测试工具,也可以被黑客用作攻击工具使用)。它支持TCP、UDP、ICMP和RAW-IP协议,具有路由跟踪模式,能够在覆盖的信道之间发送文件以及许多其他功能。hping的优势在于能够定值数据包的各个部分,因此可以灵活地对目标主机进行细致地探测。
使用hping3进行SYN FLOOD(典型的DOS/DDOS攻击)测试攻击
最新发布
somnus981的博客
06-18 290
Win10关闭防火墙保证两台虚拟机处于同一网段,确保两者的网络连通性对目标IP地址192.168.60.51使用nmap扫描工具进行SYN扫描,探测其开放的端口,最终扫描发现其开放了如下端口:在此我们可以利用以上端口,对其发起攻击停止攻击后,CPU恢复正常
使用hping3进行Dos攻击实验(安装+攻击保姆级教程)
m0_74806866的博客
12-02 5188
对hping3的安装和使用进行了一个简单的介绍,和一个简单的攻击实验
hping3(测试端口状态)
技术、思维
03-26 1100
安装hping3 pi@raspberrypi:~ $ sudo apt-get install hping3 正在读取软件包列表... 完成 正在分析软件包的依赖关系树 正在读取状态信息... 完成 下列软件包是自动安装的并且现在不需要了: libbluray2 使用'sudo apt autoremove'来卸载它(它们)。 将会同时安装下列软件: libp...
hping3工具DOS攻击实验
杨航的专栏
10-16 3022
需要两台机器,一台扮演攻击源,另一做目标源。 攻击源地址:10.0.40.4 被攻击机器地址:10.0.40.246 2 被攻击的机器上安装tcpdump,tcpdump主要是用来抓包的,看看网络数据包是否到达。 $yum install tcpdump -y 3 首先开启tcpdump抓取来自攻击源的数据包,其他数据包应该过排除。 $tcpdump -i eth0 src host 10.0.40.4 -i 是选择哪个网卡 ...
hping-master.zip
11-04
yum -y install libpcap-devel tcl-devel cd hping ./configure make make install hping3 --rand-source [dst_ip] -p [dst_port] -S --flood
详解ddos攻击手段及防护防御手段_极品全面.zip
11-11
hping3是一个功能强大的网络工具,可以模拟各种TCP/IP协议的包,用于网络扫描、漏洞检测以及模拟DOS攻击。了解如何正确使用hping3,可以有助于防御和对抗DDoS攻击。 最后,防御DDoS攻击需要多方面的配合,包括但...
hping3-0.0.20051105-24.el7.x86_64.rpm
08-05
hping是用于生成和解析...目前最新版是hping3,支持使用tcl脚本自动化地调用其API。hping是安全审计、防火墙测试等工作的标配工具。hping优势在于能够定制数据包的各个部分,因此用户可以灵活对目标机进行细致地探测。
HPING3
06-07
大家都知道的,一个小工具,这是源代码.
smurf攻击程序代码
12-24
基于VC6.0开发的一个smurf攻击程序代码,仅供学习用
Hping3 拒绝服务攻击手册
重启专家的博客
11-07 4328
Hping3 拒绝服务攻击手册 Hping3使用指南 hping 是 面向命令行的用于生成和解析TCP/IP协议数据包汇编/分析的开源工具。它支持TCP,UDP,ICMP和RAW-IP协议,具有跟踪路由模式,能够在覆盖的信道之间发送文件以及许多其他功能,支持使用tcl脚本自动化地调用其API。hping是安全审计、防火墙测试等工作的标配工具。hping 优势在于能够定制数据包的各个部分,因此用户可以灵活对目标机进行细致地探测。 主要功能 防火墙测试 高级端口扫描 网络测试,使用不同的协议,TOS,分片 手
kali简单攻击hping3使用
热门推荐
weixin_51685970的博客
03-28 1万+
声明:本文的介绍仅用于实验,禁止非法攻击他人,网络安全,人人有责 大家好,下面为大家简单介绍一下kali的hping3的简单使用,主要介绍的是利用该工具进行SYS FLOOD攻击同时联动fping和nmap工具 实验环境:局域网 实验工具:虚拟机kali 电脑(实验攻击对象) 第一步:利用fping了解局域网里的IP活动情况 打开终端 查看获取IP地址 ifconfig 根据获取的IP使用fping扫描活动IP fping -asg xxx.xxx.xxx.xxx/xx ..
DDOS攻击hping的安装及使用
新雪兰
12-17 3268
1、下载安装包 http://www.hping.org/download.html 安装步骤 : 1、安装依赖项 yum install -y gcc libpcap libpcap-devel tcl tcl-devel ln -sf /usr/include/pcap-bpf.h /usr/include/net/bpf.h 2、 tar -zxvf hping3-20...
hping3模拟landattack攻击
u010921364的博客
02-28 479
10.10.0.136是被攻击的主机;ens33是发出攻击的接口;
编写snort规则检测网络攻击
guansheng123的博客
02-23 5564
Snort 规则被分成两个逻辑部分:规则头和规则选项。 规则头包含规则的 动作,协议,源和目标 ip 地址与网络掩码,以源和目标端口信息; 规则选项 部分包含报警消息内容和要检查的包的具体部分。 Alert:使用选择的报警方法生成一个警报,然后记录(log)这个包。 Alert 动作用来在一个包符合规则条件时发送告警消息。告警的发送有多种方式, 例如可以发送到文件或者控制台。 Snort 当前分析可疑包的 ip 协议有四种: tcp 、 udp、 icmp 和 ip。...
hping3网络延迟检测工具——筑梦之路
筑梦之路
09-16 1473
因此,为了避免这些问题,很多网络服务都会禁用 ICMP,这使得我们无法使用 ping 来测试网络服务的可用性和往返延迟。,人们通常认为它是指网络数据传输所需的时间。会在路由的每一跳(hop)发送三个数据包,并在收到响应后输出往返延迟。之间的时间差来获得往返延迟时间。这个过程不需要特殊的认证,从而经常被很多网络攻击所利用,如,端口扫描工具。是基于 ICMP 协议的,它通过计算 ICMP 发出的。,它是指应用接收请求并返回响应所需的时间。,它是网络数据传输时间加上数据处理时间的总和。之外,另一个常用的指标是。
snort实现入侵检测功能
tlucky的博客
10-14 5957
一、安装 概念 用snort软件打造入侵监测系统: 入侵监测系统和防火墙关系 总结:从概念上我们可以看出防火墙是针对黑客攻击的一种被动的防御,IDS则是主动出击寻找潜在的攻击者;防火墙相当于一个机构的门卫,收到各种限制和区域的影响,即凡是防火墙允许的行为都是合法的,而IDS则相当于巡逻兵,不受范围和限制的约束,这也造成了IDS存在误报和漏报的情况出现。 IDS是继防火墙之后的又一道防线,防火墙是防御,IDS是主动检测,两者相结合有力的保证了内部系统的安全; IDS实时检测可以及时发现一些防火墙没有发现
kali linux hping3 攻击命令
09-23
kali linux中使用hping3进行Dos攻击的命令可以参考以下指令: hping3 -S -a [攻击IP] -p [目标端口] --flood [被攻击IP] 这个命令将发送伪造的TCP SYN包,模拟大量的连接请求来耗尽目标系统的资源。请注意,使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yunlin2000

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值