网络攻击测试方法和工具简介

网络攻击测试方法和工具简介
目录
网络攻击测试方法和工具简介 1
说明 1
漏洞检测 1
扫描系统漏洞 2
网络攻击检测和防护 3
攻击模拟 3
攻击防护 5

说明
本文档内容根据网络上关于网络攻击测试方法和工具进行了分类整理，归纳出最适用于漏洞检测和 DDOS 攻防测试工具。本文中出现的工具大部分属于开源和可以免费获取到的网络工具。

漏洞检测
目前针对漏洞检测的工具分为两大类：

网络安全公司开发的收费软件
开源爱好者和组织开发的免费软件

一般收费软件更新速度快，能够根据漏洞数据库扫描出最新的漏洞；而免费工具基本很少更新，基本上只能扫描到一些基本的漏洞。

著名收费漏洞扫描软件，国内有：绿盟，知道创宇，360，软件均无法免费获得，需购买。
著名收费漏洞扫描软件，国外：Nessus，OpenVAS， Core Impact。

免费漏洞扫描软件：国内无，国外有 nmap， Retina， Nipper。

经测试使用，nmap 数据库比较新，能够实用。

扫描系统漏洞
以普通 Linux 系统为例：

从官网下载最新 nmap 7 源代码，https://nmap.org/download.html.
解压源代码到本机
bzip2 -cd nmap-.tar.bz2 | tar xvf –
进入源码目录
cd nmap-
配置源码
./configure
配置完成成功后，会有 ASCII 界面
编译并安装
make
su root
make install
下载漏洞扫描脚本
git clone https://github.com/scipag/vulscan.git
将脚本拷贝到 nmap script 目录
cp vulscan /usr/share/nmap/scripts/ -r
执行目标机扫描
本例，以局域网内 Linux 机器扫描：
nmap --script vulscan --script-args vulscandb=cve.csv -sV 10.56.56.236
扫描到的结果和 CVE 漏洞编号将打印在终端：

网络攻击检测和防护
目前针对网络设备的攻击主要是拒绝服务攻击（DoS）。针对 DoS 的工具测试工具主要有：

网络测试仪
网络爱好者开发的免费工具
专业网络安全工作人员的专用工具

其中网络测试仪是一种能够产生任何需要的测试数据包的网络硬件，能够根据需要定制测试项目，但是价格昂贵。
专业工具一般都是收费软件，网络上较难获取到。

攻击模拟
本文使用免费的工具 HYENAE，该工具最后更新时间是 2010-12-04

该工具可以自定义模拟执行所有的 DoS 攻击：
Features
• ARP-Request flooding
• ARP-Cache poisoning
• PPPoE session initiation flooding
• Blind PPPoE session termination
• ICMP-Echo flooding
• ICMP-Smurf attack
• ICMP based TCP-Connection reset
• TCP-SYN flooding
• TCP-Land attack
• Blind TCP-Connection reset
• UDP flooding
• DNS-Query flooding
• DHCP-Discover flooding
• DHCP starvation attack
• DHCP-Release forcing
• Cisco HSRP active router hijacking
• Pattern based packet address configuration
• Intelligent address and address protocol detection
• Smart wildcard-based randomization
• Daemon for setting up remote attack networks
• HyenaeFE QT-Frontend support
经测试，在 Windows 10 系统正常运行，并成功发出自定义攻击数据包。
以 ARP 请求风暴为例：
WireShark 显示系统发出大量 ARP 请求数据包请求地址 10.56.56.236：

攻击防护
Dos 攻击主要靠流量取胜，流量决定攻击和防护的输赢。所以为了保证正常业务的运行，保证正常通信流量是唯一途径。针对攻击的类型，可以采用一些基本的防护措施：

针对 TCP SYNC 攻击
优化sysctl内核 tcp 参数，并提高 tcp 连接能力
主动丢弃异常数据包
使用脚本和专用 DoS 防火墙阻击工具数据包

其中针对 CentOS 的防火墙配置防 DoS 功能：
CentOS7 默认是用 Firewall 配置防火墙，但是 Firewall 功能有限，建议使用 DoS Deflate 防御 DoS 攻击：
停用 Firewall：
systemctl stop firewalld

安装命令：
wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 700 install.sh
./install.sh

卸载命令：
wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 700 uninstall.ddos
./uninstall.ddos

2、配置DDoS deflate

下面是DDoS deflate的默认配置位于/usr/local/ddos/ddos.conf ，内容如下：

Paths of the script and other files

PROGDIR="/usr/local/ddos"
PROG="/usr/local/ddos/ddos.sh"
IGNORE_IP_LIST="/usr/local/ddos/ignore.ip.list" //IP地址白名单
CRON="/etc/cron.d/ddos.cron" //定时执行程序
APF="/etc/apf/apf"
IPT="/sbin/iptables"

frequency in minutes for running the script

Caution: Every time this setting is changed, run the script with --cron

option so that the new frequency takes effect

FREQ=1 //检查时间间隔，默认1分钟

How many connections define a bad IP? Indicate that below.

NO_OF_CONNECTIONS=150 //最大连接数，超过这个数IP就会被屏蔽，一般默认即可

APF_BAN=1 (Make sure your APF version is atleast 0.96)

APF_BAN=0 (Uses iptables for banning ips instead of APF)

APF_BAN=1 //使用APF还是iptables。推荐使用iptables,将APF_BAN的值改为0即可。

KILL=0 (Bad IPs are'nt banned, good for interactive execution of script)

KILL=1 (Recommended setting)

KILL=1 //是否屏蔽IP，默认即可

An email is sent to the following address when an IP is banned.

Blank would suppress sending of mails

EMAIL_TO="root" //当IP被屏蔽时给指定邮箱发送邮件，推荐使用，换成自己的邮箱即可

Number of seconds the banned ip should remain in blacklist.

BAN_PERIOD=600 //禁用IP时间，默认600秒，可根据情况调整

用户可根据给默认配置文件加上的注释提示内容，修改配置文件。

查看/usr/local/ddos/ddos.sh文件的第117行

netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr > $BAD_IP_LIST

修改为以下代码即可！

netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sed -n ‘/[0-9]/p’ | sort | uniq -c | sort -nr > $BAD_IP_LIST

posted @ 2018-08-07 08:49 地球人在武汉阅读(5760) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部