Hping is a free packet generator and analyzer for the TCP/IP protocol.
Hping là một bộ tạo và phân tích gói cho giao thức TCP/ IP.
The new version of hping, hping3, is a collection of scripts using the Tcl language
and runs a base chain engine, readable description of the TCP/ IP packets so that the programmer can write scripts related to the low-level TCP/ IP of handling and analysis packages in a very short time.
Phiên bản mới của hping là hping3 có khả năng tạo kịch bản bằng cách sử dụng ngôn ngữ Tcl
và thực thi một cơ chế dựa trên chuỗi, mô tả các gói TCP/ IP có thể đọc để các lập trình viên có thể viết các kịch bản để thao tác ở các gói TCP/ IP mức thấp và phân tích trong thời gian rất ngắn.
The new version of hping, hping3, is scriptable using the Tcl language
and implements an engine for string based, human readable description of TCP/IP packets, so that the programmer can write scripts related to low level TCP/IP packet manipulation and analysis in very short time.
Phiên bản mới của hping là hping3 có khả năng tạo kịch bản bằng cách sử dụng ngôn
ngữ Tcl và thực thi một cơ chế dựa trên chuỗi, mô tả các gói TCP/ IP có thể đọc để các lập trình viên có thể viết các kịch bản để thao tác ở các gói TCP/ IP mức thấp và phân tích trong thời gian rất ngắn.
Kết quả: 3, Thời gian: 0.0187
-
Hình 3.3: Địa chỉ IP của máy victim
Bước thứ 2: Tại máy tấn công ta thực hiện lệnh ping với kích thước
65500 bytes với mã lệnh sau :
Hping3 10.0.0.2 -1 -d 65500 -I u1 -V -n
Trong đó:
Hping3: tên tool dùng tấn cơng
10.0.0.2: IP đích địa chỉ cần tấn cơng
-1: chọn ICMP mode
-d: kích thước tâp tin [65500]
-I: tốc độ cuộc tấn cơng [u1 là tấn cơng rất nhanh]
Hình ảnh chạy lệnh tấn cơng:
Hình 3.3: Lệnh tấn cơng
Ta chạy wireshark trên máy tấn cơng để xem việc gửi các gói tin của 2
máy
28
Hình 3.4: wireshark
- Tiếp theo ta mở task manager và thấy lưu lượng CPU đo được ln
trên 50%
Hình 3.5: lưu lượng CPU tấn cơng
3.1.2. Triển khai phòng thủ
Để thực hiện bảo vệ may Victim, ta sử dụng phần mềm D-Guard AntiDdos, đây là một phần mềm ngăn chặn hầu hết các cuộc tấn công Dos và Ddos
29
phổ biến. Sau khi cài đặt ở máy victim, ta bắt đầu tấn cơng lần nữa để xem kết
quả.
Hình 3.6: Cảnh báo và bảo vệ victim
30
Hình 3.7: Chi tiết về cuộc tấn cơng
3.2. Syn flood attack
3.2.1. Triển khai tấn công
Trong cách tấn công này hacker sẽ lợi dụng tiến trình bắt tay 3 bước, tấn
công trực tiếp vào máy chủ window server bằng cách tạo ra lượng lớn các kết
nối TCP nhưng không hoàn thành các kết nối này.
Trong SYN Attack, hacker sẽ gửi đến hệ thống đích một loạt SYN
packets với địa chỉ IP nguồn khơng có thực. Hệ thống đích khi nhận được các
SYN packets này sẽ gởi trở lại SYN/ACK packet đến các địa chỉ khơng có thực
này vào chờ nhận được ACK messages từ các địa chỉ IP không có thực đó. Vì là
các địa chỉ IP khơng có thực, hệ thống đích sẽ chờ đợi vơ ích và còn nối đi
các “request” chờ đợi này nào hàng đợi, gây lãng phí một lượng đáng kể bộ nhớ
trên máy chủ mà đúng ra là phải dùng vào việc khác thay cho phải chờ đợi ACK
messages.
31
Hình 3.8: Mơ hình tấn công syn flood attack
- Tại máy tấn công ta dùng lệnh như sau :
Hping3 10.0.0.2 -a 10.0.0.100 -1 -S -i u1 -V -n
Trong đó:
Hping3: tên tool được dùng
-a: địa chỉ giả mạo cuộc tấn công
-S: bật cờ Syn
-i: Tốc độ cuộc tấn cơng
Hình ảnh lệnh tấn cơng trên kali chạy linux:
Hình 3.9: Câu lệnh
Ta bật wireshark và xem gói tin được gửi
32
Hình 3.10: Wireshark
Tiếp theo ta mở task manager và thấy lưu lượng CPU đo được luôn bất
thường tăng lên so với trước lúc chưa bị tấn cơng
Hình 3.11: Lưu lượng mạng
3.2.2. Triển khai phòng thủ
Khởi chạy D-guard anti Dos /DDos
Hình 3.12: Cảnh báo và bảo vệ victim
33
Hình 3.13: Chi tiết cuộc tấn công
3.3. Land attack
3.3.1. Tấn công
Tấn công land attack cũng như Syn flood, nhưng kiểu tấn công này sẽ
dùng Ip của nạn nhân tấn cơng chính mình->nghĩa là máy victim sẽ tự hỏi và trả
lời vơ hạn.
Hình 3.14: Mơ hình tấn cơng land attack
- Tại máy tấn cơng ta dùng lệnh như sau :
Hping3 10.0.0.2 -a 10.0.0.2 -1 -S -i u1 -V -n
Trong đó:
34
Hping3: tên tool được dùng
10.0.0.2: IP đích cần tấn cơng
-a: địa chỉ giả mạo cuộc tấn cơng
-S: bật cờ Syn
-I: tốc độ cuộc tấn cơng
Hình ảnh chạy lệnh tấn cơng trên kali linux
Hình 3.15: Câu lệnh trên kali
Hình 3.16: Wireshark
Tiếp theo ta mở task manager và thấy lưu lượng CPU đo được luôn bất
thường tăng lên so với trước lúc chưa bị tấn cơng
35
Hình 3.17: Lưu lượng mạng
3.3.2. Triển khai phòng thủ
Khởi chạy D-guard anti Dos /DDos.
36
Hình3.18: Cảnh báo và bảo vệ victim
37
Hình 3.19: Chi tiết cuộc tấn công
38