利用hping3进行传输层拒绝服务攻击实验

利用hping3进行传输层拒绝服务攻击实验

摘要

本文详细介绍了如何使用Kali Linux和工具hping3，针对Metasploitable Linux靶机执行传输层的拒绝服务（DoS）攻击实验。该实验旨在帮助网络安全工程师理解DoS攻击的工作原理及其对目标系统的影响，从而更好地制定防御策略。

1. 实验环境搭建

1.1 环境配置

• 攻击机：Kali Linux，IP地址为192.168.1.30
• 靶机：Metasploitable2 Linux，IP地址为192.168.1.45

确保两台机器在同一个局域网内，并且可以互相通信。可以通过ping命令测试网络连通性：

# 在Kali Linux上测试到Metasploitable Linux的连通性
ping 192.168.1.45

1.2 安装hping3

在Kali Linux上安装hping3工具：

sudo apt-get update
sudo apt-get install hping3

1.3 靶机页面

点击DVWA或者其他链接可以直接进入页面访问。如下：

2. DoS攻击原理

拒绝服务（DoS）攻击通过使目标系统的资源耗尽或使其不可用，导致合法用户无法访问服务。常见的DoS攻击包括SYN Flood、UDP Flood等。这些攻击通常会消耗目标服务器的CPU、内存或带宽资源。

3. 使用hping3进行SYN Flood攻击

SYN Flood攻击是通过发送大量伪造源IP地址的SYN请求，使目标服务器的TCP连接队列占满，从而阻止新的合法连接。

3.1 发起SYN Flood攻击

$hping3 -a 1.1.1.1 --udp -S -s 53 --keep -p 68 --flood 192.168.1.45

命令概述

这条命令使用hping3工具向目标IP地址（192.168.1.45）发送大量的UDP数据包，试图通过占用大量资源或带宽来使目标系统无法正常提供服务。具体来说，它伪造了源IP地址，并设置了特定的源端口和目标端口。

参数详解

1. -a 1.1.1.1
   • 功能：伪造源IP地址。
   • 解释：将源IP地址设置为1.1.1.1，而不是攻击机的真实IP地址（192.168.1.30）。这可以用于混淆攻击来源，增加追踪难度。
2. --udp
   • 功能：指定使用UDP协议。
   • 解释：使hping3发送UDP数据包，而不是默认的TCP数据包。UDP是一种无连接的协议，通常用于不需要可靠传输的场景，如DNS查询、视频流等。
3. -S
   • 功能：设置SYN标志位。
   • 解释：虽然-S通常用于TCP SYN Flood攻击，但在UDP模式下这个标志位可能不会产生预期效果。在UDP中，SYN标志位没有实际意义，因为UDP是无连接的协议。因此，这个选项在此处可能是多余的或误用。
4. -s 53
   • 功能：指定源端口。
   • 解释：将源端口设置为53，这是DNS服务的标准端口。伪造源端口为53可能会误导目标系统认为这些数据包来自合法的DNS服务器。
5. --keep
   • 功能：保持连接状态。
   • 解释：此选项在TCP模式下有意义，表示保持连接状态不关闭。但在UDP模式下，由于UDP是无连接的，这个选项实际上不起作用。
6. -p 68
   • 功能：指定目标端口。
   • 解释：将目标端口设置为68，这是DHCP客户端的标准端口。选择这个端口可能是为了针对DHCP服务进行攻击，或者只是为了迷惑目标系统。
7. --flood
   • 功能：以最大速率发送数据包。
   • 解释：使hping3尽可能快地发送数据包，以迅速耗尽目标系统的资源或带宽。这种高频率的数据包发送可以导致目标系统过载，从而实现拒绝服务攻击。
8. 192.168.1.45
   • 功能：指定目标IP地址。
   • 解释：攻击的目标是位于局域网中的Metasploitable Linux机器，其IP地址为192.168.1.45。

这条命令的主要目的是通过伪造源IP地址和特定端口，向目标系统（192.168.1.45）的DHCP客户端端口（68）发送大量的UDP数据包，以期达到消耗目标系统资源或带宽的效果，进而实现拒绝服务攻击。

需要注意的是，部分选项（如-S和--keep）在UDP模式下并不适用或没有实际意义，建议根据实际需求调整命令参数以确保攻击的有效性和准确性。

在Kali Linux上使用hping3发起SYN Flood攻击：

$ sudo hping3 -S -a -s --keep 192.168.1.100 -p 80 --flood 192.168.1.45

• -S：发送SYN包。
• -a 192.168.1.100：伪造源IP地址为192.168.1.100。
• -p 80：指定目标端口为80（HTTP服务）。
• --flood：以最大速率发送数据包。

3.2 监控靶机状态

在Metasploitable Linux上监控网络流量和服务状态：

# 查看当前TCP连接状态
netstat -an | grep ESTABLISHED

# 查看HTTP服务是否正常运行
curl http://localhost

如果靶机的HTTP服务响应变慢或无响应，则说明SYN Flood攻击已经影响了目标服务。

4. 使用hping3进行UDP Flood攻击

UDP Flood攻击通过发送大量的UDP数据包，占用目标服务器的带宽或处理能力。

4.1 发起UDP Flood攻击

在Kali Linux上使用hping3发起UDP Flood攻击：

sudo hping3 -2 -d 120 --flood 192.168.1.45

• -2：发送UDP包。
• -d 120：设置数据包大小为120字节。
• --flood：以最大速率发送数据包。

4.2 监控靶机状态

在Metasploitable Linux上监控网络流量和服务状态：

# 查看当前网络流量
iftop
# 查看UDP流量
netstat -uan

如果靶机的网络流量显著增加，或者某些服务响应变慢或无响应，则说明UDP Flood攻击已经影响了目标服务。

4.3 在攻击机上用wireshark抓包

通过抓包，发现有大量的来自伪造的源IP地址向靶机发送的UDP包。源端口53指向目标端口68，如下所示：

在攻击机端浏览器地址栏点击靶机主页面的链接都不能正常访问，如下：

5. 结果分析与防御建议

5.1 攻击效果评估

通过上述实验，我们可以观察到SYN Flood和UDP Flood攻击对目标系统的具体影响。例如，靶机的HTTP服务可能变得不可用，或者网络带宽被大量占用，导致其他服务也无法正常工作。

5.2 防御建议

为了防御DoS攻击，可以采取以下措施：

• 启用防火墙规则：限制特定IP地址或端口的访问频率。
• 配置负载均衡：分散流量到多个服务器，避免单点故障。
• 使用入侵检测系统（IDS）：实时监控异常流量并及时响应。
• 优化服务配置：调整服务的最大连接数、超时时间等参数，提高抗压能力。

6. 总结

本文通过实际操作演示了如何使用hping3对Metasploitable Linux进行传输层的拒绝服务攻击实验。通过对SYN Flood和UDP Flood攻击的分析，我们不仅了解了DoS攻击的工作原理，还探讨了相应的防御措施。希望本文能为网络安全工程师提供有价值的参考，帮助他们更好地应对和防范此类攻击。

欢迎关注、转发、收藏、点赞！！！