Hping3 là gì
Hping is a free packet generator and analyzer for the TCP/IP protocol. Hping là một bộ tạo và phân tích gói cho giao thức TCP/ IP. The new version of hping, hping3, is a collection of scripts using the Tcl language and runs a base chain engine, readable description of the TCP/ IP packets so that the programmer can write scripts related to the low-level TCP/ IP of handling and analysis packages in a very short time. Phiên bản mới của hping là hping3 có khả năng tạo kịch bản bằng cách sử dụng ngôn ngữ Tcl và thực thi một cơ chế dựa trên chuỗi, mô tả các gói TCP/ IP có thể đọc để các lập trình viên có thể viết các kịch bản để thao tác ở các gói TCP/ IP mức thấp và phân tích trong thời gian rất ngắn. The new version of hping, hping3, is scriptable using the Tcl language and implements an engine for string based, human readable description of TCP/IP packets, so that the programmer can write scripts related to low level TCP/IP packet manipulation and analysis in very short time. Phiên bản mới của hping là hping3 có khả năng tạo kịch bản bằng cách sử dụng ngôn ngữ Tcl và thực thi một cơ chế dựa trên chuỗi, mô tả các gói TCP/ IP có thể đọc để các lập trình viên có thể viết các kịch bản để thao tác ở các gói TCP/ IP mức thấp và phân tích trong thời gian rất ngắn. Kết quả: 3, Thời gian: 0.0187 - Hình 3.3: Địa chỉ IP của máy victim Bước thứ 2: Tại máy tấn công ta thực hiện lệnh ping với kích thước 65500 bytes với mã lệnh sau : Hping3 10.0.0.2 -1 -d 65500 -I u1 -V -n Trong đó: Hping3: tên tool dùng tấn cơng 10.0.0.2: IP đích địa chỉ cần tấn cơng -1: chọn ICMP mode -d: kích thước tâp tin (65500) -I: tốc độ cuộc tấn cơng (u1 là tấn cơng rất nhanh) Hình ảnh chạy lệnh tấn cơng: Hình 3.3: Lệnh tấn cơng Ta chạy wireshark trên máy tấn cơng để xem việc gửi các gói tin của 2 máy 28 Hình 3.4: wireshark - Tiếp theo ta mở task manager và thấy lưu lượng CPU đo được ln trên 50% Hình 3.5: lưu lượng CPU tấn cơng 3.1.2. Triển khai phòng thủ Để thực hiện bảo vệ may Victim, ta sử dụng phần mềm D-Guard AntiDdos, đây là một phần mềm ngăn chặn hầu hết các cuộc tấn công Dos và Ddos 29 phổ biến. Sau khi cài đặt ở máy victim, ta bắt đầu tấn cơng lần nữa để xem kết quả. Hình 3.6: Cảnh báo và bảo vệ victim 30 Hình 3.7: Chi tiết về cuộc tấn cơng 3.2. Syn flood attack 3.2.1. Triển khai tấn công Trong cách tấn công này hacker sẽ lợi dụng tiến trình bắt tay 3 bước, tấn công trực tiếp vào máy chủ window server bằng cách tạo ra lượng lớn các kết nối TCP nhưng không hoàn thành các kết nối này. Trong SYN Attack, hacker sẽ gửi đến hệ thống đích một loạt SYN packets với địa chỉ IP nguồn khơng có thực. Hệ thống đích khi nhận được các SYN packets này sẽ gởi trở lại SYN/ACK packet đến các địa chỉ khơng có thực này vào chờ nhận được ACK messages từ các địa chỉ IP không có thực đó. Vì là các địa chỉ IP khơng có thực, hệ thống đích sẽ chờ đợi vơ ích và còn nối đi các “request” chờ đợi này nào hàng đợi, gây lãng phí một lượng đáng kể bộ nhớ trên máy chủ mà đúng ra là phải dùng vào việc khác thay cho phải chờ đợi ACK messages. 31 Hình 3.8: Mơ hình tấn công syn flood attack - Tại máy tấn công ta dùng lệnh như sau : Hping3 10.0.0.2 -a 10.0.0.100 -1 -S -i u1 -V -n Trong đó: Hping3: tên tool được dùng -a: địa chỉ giả mạo cuộc tấn công -S: bật cờ Syn -i: Tốc độ cuộc tấn cơng Hình ảnh lệnh tấn cơng trên kali chạy linux: Hình 3.9: Câu lệnh Ta bật wireshark và xem gói tin được gửi 32 Hình 3.10: Wireshark Tiếp theo ta mở task manager và thấy lưu lượng CPU đo được luôn bất thường tăng lên so với trước lúc chưa bị tấn cơng Hình 3.11: Lưu lượng mạng 3.2.2. Triển khai phòng thủ Khởi chạy D-guard anti Dos /DDos Hình 3.12: Cảnh báo và bảo vệ victim 33 Hình 3.13: Chi tiết cuộc tấn công 3.3. Land attack 3.3.1. Tấn công Tấn công land attack cũng như Syn flood, nhưng kiểu tấn công này sẽ dùng Ip của nạn nhân tấn cơng chính mình->nghĩa là máy victim sẽ tự hỏi và trả lời vơ hạn. Hình 3.14: Mơ hình tấn cơng land attack - Tại máy tấn cơng ta dùng lệnh như sau : Hping3 10.0.0.2 -a 10.0.0.2 -1 -S -i u1 -V -n Trong đó: 34 Hping3: tên tool được dùng 10.0.0.2: IP đích cần tấn cơng -a: địa chỉ giả mạo cuộc tấn cơng -S: bật cờ Syn -I: tốc độ cuộc tấn cơng Hình ảnh chạy lệnh tấn cơng trên kali linux Hình 3.15: Câu lệnh trên kali Hình 3.16: Wireshark Tiếp theo ta mở task manager và thấy lưu lượng CPU đo được luôn bất thường tăng lên so với trước lúc chưa bị tấn cơng 35 Hình 3.17: Lưu lượng mạng 3.3.2. Triển khai phòng thủ Khởi chạy D-guard anti Dos /DDos. 36 Hình3.18: Cảnh báo và bảo vệ victim 37 Hình 3.19: Chi tiết cuộc tấn công 38 |