一、實(shí)驗(yàn)?zāi)康?/h1>

1. 理解DDoS攻擊原理
2. 使用TFN2K發(fā)起攻擊

二、實(shí)驗(yàn)環(huán)境

1. 系統(tǒng)環(huán)境：windows環(huán)境，kali環(huán)境
2. 軟件環(huán)境：TFN2K

三、實(shí)驗(yàn)原理

1. DDOS攻擊原理
   分布式拒絕服務(wù)攻擊的英文意思是DistributedDenialofService,簡(jiǎn)稱DDOS。它利用在已經(jīng)侵入并已控制的不同的高帶寬主機(jī)（可能是數(shù)百，甚至成千上萬(wàn)臺(tái)）上安裝大量的DOS服務(wù)程序，他們等待來(lái)自中央攻擊控制中心的命令，中央攻擊控制中心適時(shí)啟動(dòng)全體受控主機(jī)的DOS服務(wù)進(jìn)程，讓它們對(duì)一個(gè)特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問請(qǐng)求，形成一股DOS洪流沖擊目標(biāo)系統(tǒng)，猛烈的DOS攻擊同一個(gè)網(wǎng)站。在寡不敵眾的力量抗衡下，被攻擊的目標(biāo)網(wǎng)站會(huì)很快失去反應(yīng)而不能及時(shí)處理正常的訪問甚至系統(tǒng)癱瘓、崩潰。
2. DDOS攻擊角色分析

1. 
   從上圖可以看出，DDOS攻擊分為三層：攻擊者、主控端、代理端，三者在攻擊中扮演者不同的角色。（1）攻擊者攻擊者所用的計(jì)算機(jī)可以是網(wǎng)絡(luò)上的任何一臺(tái)計(jì)算機(jī)，甚至可以是一個(gè)活動(dòng)的便攜機(jī)。攻擊者操作整個(gè)攻擊過程，它向主控端發(fā)送攻擊命令。（2）代理端代理端同樣也是攻擊者入侵并控制的一批主機(jī)，它們上面運(yùn)行攻擊者程序，接受和運(yùn)行主控端發(fā)來(lái)的命令。代理端主機(jī)是攻擊的執(zhí)行者，真正向受害者主機(jī)發(fā)送攻擊。

三．DDOS攻擊流程

攻擊者發(fā)起DDOS攻擊的第一步，就是尋找在Internet上有漏洞的主機(jī)，進(jìn)入系統(tǒng)后在其上面安裝后門程序，攻擊者入侵的主機(jī)越多，他的攻擊隊(duì)伍就越壯大。第二步在入侵主機(jī)上安裝攻擊程序，其中一部分主機(jī)充當(dāng)攻擊的主控端，一部分主機(jī)充當(dāng)攻擊的代理端。最后各部分主機(jī)各司其職，在攻擊者的調(diào)遣下對(duì)攻擊對(duì)象發(fā)起攻擊。由于攻擊者在幕后操作，所以在攻擊時(shí)不會(huì)受到監(jiān)控系統(tǒng)的跟蹤，身份不容易被發(fā)現(xiàn)。

四．TFN2K簡(jiǎn)介

• TFN2K是由德國(guó)著名黑客Mixter編寫的分布式拒絕服務(wù)攻擊工具，是同類攻擊工具TFN的后續(xù)版本。
• TFN2K通過主控端利用大量代理端主機(jī)的資源進(jìn)行對(duì)一個(gè)或多個(gè)目標(biāo)的協(xié)同攻擊。當(dāng)前互聯(lián)網(wǎng)中的UNIX,Solaris和WindowsNT等平臺(tái)的主機(jī)能被用于此類攻擊，而且這個(gè)工具非常容易被移植到其他系統(tǒng)平臺(tái)上。
• TFN2K由兩部分組成：在主控端主機(jī)上的客戶端和代理端主機(jī)上的守護(hù)進(jìn)程。主控端向其他代理端發(fā)起攻擊指定的目標(biāo)主機(jī)列表。代理端據(jù)此對(duì)目標(biāo)進(jìn)行拒絕服務(wù)攻擊。有一個(gè)主控端控制的多個(gè)代理端主機(jī)，能夠在攻擊過程中相互協(xié)同，保證攻擊的連續(xù)性。主控端和代理端的網(wǎng)絡(luò)通訊是經(jīng)過加密的，還可能混雜了許多虛假數(shù)據(jù)包。整個(gè)TFN2K網(wǎng)絡(luò)可能使用不同的TCP，UDP或ICMP包進(jìn)行通訊，而且主控端還能偽造其IP地址。所有這些特征都使發(fā)展防御TFN2K攻擊的策略和技術(shù)都非常困難或效率低下。
• TFN2K常用攻擊命令：

• 控制命令：

./tfn -f hostext -c 10 -i "mkdir /root/edison"在所有的HOST上root目錄建立edison,-i后面跟“命令”
./tfn -f hostext -c 4 -i x.x.x.x 使用hostext文件中記錄的主機(jī)對(duì)x.x.x.x服務(wù)器進(jìn)行UDP攻擊
./tfn -f hostext -c 5 -i x.x.x.x -p xxxx 使用hostext文件中記錄的主機(jī)對(duì)x.x.x.x服務(wù)器進(jìn)行TCP拒絕服務(wù)攻擊
./tfn -f hostext -c 6 -i x.x.x.x 使用hostext文件中記錄的主機(jī)對(duì)x.x.x.x服務(wù)器進(jìn)行ICMP攻擊

四、實(shí)驗(yàn)步驟：

• 本次實(shí)驗(yàn)使用TFN2K進(jìn)行DDOS攻擊。
• TFN2K安裝：
  在進(jìn)行攻擊之前，需對(duì)TFN2K進(jìn)行安裝，其安裝壓縮包在實(shí)驗(yàn)工具文件夾中提供。打開kali虛擬機(jī)，解壓實(shí)驗(yàn)文件夾中的tfn2k.tar文件，解壓文件如下圖所示：

雙擊進(jìn)入TFN2K文件夾，并在此文件夾中打開終端，如下圖所示：

在終端輸入命令make命令編譯源文件，在此期間會(huì)要求輸入通信密鑰，該密鑰可以任意輸入，此處輸入12345678，這里輸入密碼最少8為，這個(gè)必須記住是調(diào)用代理端td進(jìn)程的唯一認(rèn)證，如下圖所示：

輸入密鑰之后點(diǎn)擊回車，編譯完成后，生成執(zhí)行文件tfn與td，如下圖所示：

• tfn為主控端，通過此程序?qū)Υ矶思用?、下發(fā)攻擊指令。Td為代理端，負(fù)責(zé)解密、接受攻擊命令并發(fā)起攻擊。代理端和主控端之間的網(wǎng)絡(luò)通訊是進(jìn)行加密的，使用的是AES對(duì)此加密算法，所以作為加密、解密的雙方都需要知道密鑰，加密方使用密鑰對(duì)信息進(jìn)行加密，解密方使用密鑰對(duì)信息解密。
• 在tfn2k中，作為下發(fā)控制命令的主控端利用密鑰對(duì)發(fā)送信息進(jìn)行加密，作為接受命令的代理端則利用密鑰對(duì)接受的信息進(jìn)行解密并執(zhí)行命令，與此同時(shí)代理端可以通過密鑰確定主控端身份。
• tfn2k攻擊：
  此次實(shí)驗(yàn)虛構(gòu)背景為攻擊者已經(jīng)攻破了目標(biāo)機(jī)器并且可以上傳任意文件，便可以將td代理程序植入目標(biāo)機(jī)器中并將其運(yùn)行。通過ssh遠(yuǎn)程連接傀儡機(jī)，傀儡機(jī)的IP：192.168.70.137

攻擊者植入td程序后，首先將其運(yùn)行，運(yùn)行td程序命令./td

查看系統(tǒng)進(jìn)程，命令：ps -a ，從圖中可以得知td程序已于后臺(tái)運(yùn)行并監(jiān)聽來(lái)自主控端的命令，準(zhǔn)備對(duì)目標(biāo)主機(jī)發(fā)起攻擊

• 確定td程序運(yùn)行之后可以首先進(jìn)行測(cè)試，測(cè)試td程序是否能夠接受到主控端的命令并且執(zhí)行命令。例如主控端發(fā)送命令讓td程序在目標(biāo)主機(jī)中新建test文件夾，若test文件夾被成功創(chuàng)建說(shuō)明td程序正常運(yùn)行。
• 在進(jìn)行攻擊測(cè)試之前需要在主控端新建一個(gè)代理主機(jī)文件（ip.txt），并且將代理主機(jī)的IP地址加入進(jìn)去，新建代理主機(jī)文件以及添加IP地址的命令如下：
  touch ip.txt
  echo “192.168.70.137”>ip.txt

•  
• 通過主控端tfn程序發(fā)送新建test文件夾的命令給代理端來(lái)進(jìn)行簡(jiǎn)單的控制測(cè)試，通過tfn攻擊命令在傀儡機(jī)tmp目錄下新建test文件夾，命令如下：
  ./tfn -f ip.txt -c 10 -i "mkdir /tmp/test"
  打開tmp目錄，發(fā)現(xiàn)test文件夾創(chuàng)建成功，通信正常

• 
  打開傀儡機(jī)的tmp目錄下，發(fā)現(xiàn)test文件夾已經(jīng)成功被創(chuàng)建

• 
  確認(rèn)主控端與代理端通訊正常后，便可以開始對(duì)目標(biāo)主機(jī)進(jìn)行攻擊。啟動(dòng)window7虛擬機(jī)，Windows7虛擬機(jī)為被攻擊目標(biāo)機(jī)器。獲取Windows7虛擬機(jī)的IP地址，打開wireshark I/O圖表，從I/O圖標(biāo)中可以得知每秒鐘收發(fā)數(shù)據(jù)包數(shù)僅為兩位數(shù)，如下如所示：

• 
  主控端向代理端開始發(fā)起攻擊指令，命令代理端向目標(biāo)機(jī)器發(fā)起SYN泛洪攻擊。指令如下（192.168.70.139為被攻擊電腦Windows7虛擬機(jī)IP），輸入通信密鑰后點(diǎn)擊回車，代理端接受到主控端的命令開始對(duì)目標(biāo)機(jī)器發(fā)起SYN泛洪攻擊，如下圖所示：攻擊命令：./tfn -f ip.txt -c 5 -i 192.168.70.139

• 
  在Windows7虛擬機(jī)中查看wireshark抓包結(jié)果可以得知接受到了大量的數(shù)據(jù)包，如下圖所示：

• 
  在I/O圖表中可以得知每秒捕獲數(shù)萬(wàn)個(gè)數(shù)據(jù)包

• 
  主控端向代理端下發(fā)停止攻擊指令，如下圖：停止攻擊命令：./tfn -f ip.txt -c 0

•  
• 結(jié)論：利用一臺(tái)傀儡機(jī)進(jìn)行攻擊，便可以每秒捕獲上萬(wàn)偽造數(shù)據(jù)包，卻明顯感覺被攻擊的操作系統(tǒng)開始卡頓，若有更多的機(jī)器同時(shí)發(fā)起攻擊，無(wú)疑會(huì)造成的后果將更加嚴(yán)重。

DDoS攻擊防御方法

1. 過濾不必要的服務(wù)和端口：可以使用Inexpress、Express、Forwarding等工具來(lái)過濾不必要的服務(wù)和端口，即在路由器上過濾假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以針對(duì)封包Source IP和Routing Table做比較，并加以過濾。只開放服務(wù)端口成為目前很多服務(wù)器的流行做法，例如WWW服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。
2. 異常流量的清洗過濾：通過DDOS硬件防火墻對(duì)異常流量的清洗過濾，通過數(shù)據(jù)包的規(guī)則過濾、數(shù)據(jù)流指紋檢測(cè)過濾、及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術(shù)能準(zhǔn)確判斷外來(lái)訪問流量是否正常，進(jìn)一步將異常流量禁止過濾。單臺(tái)負(fù)載每秒可防御800-927萬(wàn)個(gè)syn攻擊包。
3. 分布式集群防御：這是目前網(wǎng)絡(luò)安全界防御大規(guī)模DDOS攻擊的最有效辦法。分布式集群防御的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址（負(fù)載均衡），并且每個(gè)節(jié)點(diǎn)能承受不低于10G的DDOS攻擊，如一個(gè)節(jié)點(diǎn)受攻擊無(wú)法提供服務(wù)，系統(tǒng)將會(huì)根據(jù)優(yōu)先級(jí)設(shè)置自動(dòng)切換另一個(gè)節(jié)點(diǎn)，并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn)，使攻擊源成為癱瘓狀態(tài)，從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策。
4. 高防智能DNS解析：高智能DNS解析系統(tǒng)與DDOS防御系統(tǒng)的完美結(jié)合，為企業(yè)提供對(duì)抗新興安全威脅的超級(jí)檢測(cè)功能。它顛覆了傳統(tǒng)一個(gè)域名對(duì)應(yīng)一個(gè)鏡像的做法，智能根據(jù)用戶的上網(wǎng)路線將DNS解析請(qǐng)求解析到用戶所屬網(wǎng)絡(luò)的服務(wù)器。同時(shí)智能DNS解析系統(tǒng)還有宕機(jī)檢測(cè)功能，隨時(shí)可將癱瘓的服務(wù)器IP智能更換成正常服務(wù)器IP，為企業(yè)的網(wǎng)絡(luò)保持一個(gè)永不宕機(jī)的服務(wù)狀態(tài)。