Симулировать SYN-атаку

Question

Симулировать SYN-атаку

Я пытаюсь смоделировать атаку SYN для сочинения, которое я делаю, и собираю некоторые результаты (время, которое требуется компьютеру, чтобы ответить на какое-либо сообщение), но, кажется, ничего не происходит, когда я пытаюсь использовать этот метод.

Я использую сервер WAMP для размещения базового сервера на компьютере жертвы с помощью локального маршрутизатора без доступа к Интернету, полностью отключаю все брандмауэры на маршрутизаторе и ПК, а затем получаю доступ к веб-странице, размещенной на компьютере жертвы на компьютере злоумышленника чтобы захватить законный пакет SYN, используя wireshark.

Затем я копирую шестнадцатеричный код для легитимного пакета SYN в конструктор пакетов colasoft и изменяю порт источника на 1444, а затем создаю новое правило для брандмауэра Windows, чтобы блокировать все входящие соединения на этом порту, чтобы SYN, ACK не отвечал в любом случае.

Затем я процедурно проверяю ПК-жертву с ПК-злоумышленника, чтобы проверить задержку ответа, и отправляю петлю отправленный сейчас вредоносный пакет SYN на компьютер-жертву, но в ответе нет задержки, за исключением ожидаемого скачка.

У меня вопрос, что я делаю не так, или есть лучший способ симуляции атаки SYN, чем это на Windows? (В качестве идентификатора я пытался использовать hping, но не мог заставить это работать вообще.)

Спасибо!

0

windows-10 networking security tcp

Источник

felmo_ 02 ноя '17 в 14:02

1 ответ

Другие вопросы по тегам windows-10 networking security tcp

Jeff Pliska 02 ноя '17 в 16:34 2017-11-02 16:34 · Answer 1 · 2017-11-02 16:34

Я заранее прошу прощения, если я не совсем понимаю вопрос. При отправке SYN-флуд-атаки его целью является попытка создать как можно больше полуоткрытых соединений на жертве. Это оставляет каждое из полуоткрытых соединений в состоянии SYN-RECVD, временно используя ресурсы.

Тем не менее, похоже, что вы не отправляете свой SYN-флуд должным образом, не подделывая IP-адрес источника атакующего. Когда ваша атакующая машина получает SYN/ACK, она немедленно отправит пакет сброса, закрывая этот сокет и отменяя любые попытки потока. Однако я не знаком с поведением брандмауэра Windows. Если вы измените адрес источника на неиспользуемый IP-адрес, RST не будет отправлен, и каждый SYN/ACK, отправленный жертвой, перейдет в экспоненциальный откат, что значительно повысит эффективность атаки. (пожалуйста, используйте IP в приватном пространстве, чтобы SYN/ACK не отражали что-либо в Интернете)

Хорошо, далее следует тот факт, что вы воспроизводите тот же пакет с тем же 4-кортежем и тем же начальным порядковым номером. Вам нужно, чтобы каждый SYN был уникальным, чтобы быть эффективным. Я настоятельно рекомендую вам использовать любой дистрибутив Linux и приложение "hping3". Вы должны быть в состоянии получить желаемые результаты. Также учтите, что ping использует ICMP и не может быть хорошим тестом задержки сервера, так как это значительно отличается в том, как сервер отвечает. Могу ли я снова предложить nmap или даже hping3 для тестирования ответа TCP серверов.