0x01 环境 包含3台主机 attact 作为攻击方,使用Centos7.2 reflect 作为流量放大器,安装有dns 、ntp 、memcached三种可以放大流量的服务 windows_server ,用于被攻击,同时抓包分析流量 ,任意版本均可。安装wireshark,用于抓包 0x02 步骤 一、DNS放大攻击 登录 reflect机器,安装并配置BIND yum -y install bind 修改BIND默认配置 vi /etc/named.conf 启动服务 systemctl start named 此处需要注意centos7防火墙配置,可以关闭或添加放行规则,否则其它计算机仍然无法使用BIND查询DNS 登录attact机器,安装python 及scapy模块 yum -y install python 登录attact机器,安装dig查询工具 dig类似于windows下nslookup yum install bind-utils 使用tcpdump抓DNS包 tcpdump -i ens33 -c 20 -w dns.pcap 'port 53' //ens33为接口名 使用dig进行any查询 dig any baidu.com @x.x.x.x // x.x.x.x 为reflect服务器IP,即DNS服务器IP 可以看到大量返回值,同时用wireshark打开保存下来的dns.pcap文件。用于后述分析。 登录attact机器,使用scapy构造攻击 关于scapy的使用,可以在互联网上查询。查询协议支持字段可以用如:ls(DNS) 使用scapy读取数据包及显示 pcap=rdpcap("dns.pcap") 进入scapy,根据wireashark抓包构造如下数据,注意更换源地址和目标地址 源地址:攻击机IP 目的IP:DNS IP i=IP(src="192.168.164.1",dst="192.168.164.136") 抓包观察效果,尝试伪造源地址,再次发送。 二、NTP放大攻击 登录reflect机器,安装并配置NTP服务 NTP需要4.2.6P5前的版本,可以yum list ntp查看后,yum 安装 centos7.3 直接安装即可 yum -y install ntp 配置NTP :vi /etc/ntp.conf 注释以下两行,允许所有客户端访问 #restrict 127.0.0.1 修改下面网段,提高本地访问的权限 # Hosts on local network are less restricted. 注释以下一行,开启monitor功能 #disable monitor 保存文件后,启动服务 systemctl start ntpd 登录attactt机器,测试NTP服务器是否正常工作 ,并抓包分析 tcpdump 其中x.x.x.x为 reflect服务器IP ntpdate x.x.x.x //测试服务器是否工作 登录attactt机器,使用脚本构造monlist数据 编写以下python脚本,保存为send_ntp.py from scapy.all import * 使用脚本发送查询数据 python send_ntp.py x.x.x.x 100 放大器IP 再次获取monlist查看 ntpdc -n -c monlist x.x.x.x 登录attactt机器,使用scapy构造攻击数据包 注意替换源地址与目标地址 源地址:攻击机IP 目的IP:ntp IP scapy 三、memcached放大攻击 登录reflect机器,安装并配置MEMCACHED服务 yum -y install memcached //yum安装memcached 登录attact机器 测试MEMCACHED是否可用 yum -y install telent 登录attactt机器,使用scapy构造攻击数据包 这里我们可以用stats查询来放大,也可以用get某一键值,来放大 因为反射攻击需要使用UDP协议,MEMCACHED使用UDP时,需加上\x00\x00\x00\x00\x00\x01\x00\x00 源地址:攻击机IP 目的IP:放大器 IP scapy |