книги хакеры / Trabelsi_Setevye-ataki-i-zashchita_RuLit_Me_676546
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
IP-Based Denial-of-Service Attacks
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
131 |
|
|
|
|
|
m |
||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Параметры для команды, изображенной выше, следующие:
Параметры команды |
Описание |
|
|
-interface 2 |
Используемый интерфейс (см. Справку |
|
инструмента) |
|
|
-send_mode 1 |
Тип используемой библиотеки (см. Справку |
|
инструмента) |
|
|
-loops 0 |
Количество петель (0 = без остановки) |
|
|
-wait 0 |
Время ожидания после каждого пакета |
|
|
-ip_type 6 |
Тип пакета (6 = TCP пакет) |
|
|
-mac_destination |
MAC-адрес интерфейса шлюза |
|
|
-ip_source r |
IP-адрес случайного источника (r = случайный |
|
адрес) |
|
|
-ip_destination 192.168.2.4 |
IP-адрес получателя |
|
|
-tcp_port_source r |
Случайные номера портов источника TCP |
|
|
-tcp_port_destination 80 |
Номер порта назначения TCP |
|
|
-tcp_flag_syn 1 |
Установлен бит флага TCP SYN |
|
|
5.3.3.3 Шаг 5: Сниффинг сгенерированного трафика
На хосте жертвы можно использовать анализатор для захвата генерируемого трафика. Целью этого шага является анализ и проверка того, что предполагаемый трафик был сгенерирован адекватно. Например, используя CommView Sniffer, на следующем снимке экрана показано, что хост жертвы (192.168.2.4) находится под атакой SYN Flood и целевой порт
TCP равен 80.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
132 |
|||||
|
|
|
|
|
||||||
w |
|
|
|
|
||||||
w Click |
|
|
|
|
|
o |
m |
|||
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
Network Attacks and Defenses: A Hands-on Approach
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
5.3.3.4 Шаг 6: Просмотр результатов в файле журнала устройства Juniper Networks
Устройство Juniper Networks записывает сигнал тревоги в журнал событий, когда количество пакетов SYN из одного или нескольких источников в один пункт назначения превышает пороговые значения. На следующем снимке экрана показано содержимое журнала событий после обнаружения трафика атаки SYN Flood.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
IP-Based Denial-of-Service Attacks
5.4 Лабораторная работа 5.3: Атака Teardrop (слезинки)
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
133 |
to |
|
|
|
|
|
||||
|
|
|
|
|
|
|||||
|
|
|
|
|
|
m |
||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
5.4.1 Результат
Цель этого практического эксперимента - научить студентов генерировать и обнаруживать атаку Teardrop.
5.4.2 Описание
Атака Teardrop направлена на процесс повторной сборки фрагментированных IP-пакетов. Фрагментация необходима, когда дейтаграммы IP больше, чем максимальная единица передачи (MUT) сегмента сети, по которому дейтаграммы должны проходить. Чтобы успешно повторно собрать пакеты на принимающей стороне, заголовок IP для каждого фрагмента включает в себя смещение, чтобы идентифицировать положение фрагмента в исходном нефрагментированном пакете. При атаке Teardrop фрагменты пакетов преднамеренно изготавливаются с перекрывающимися полями смещения, что приводит к зависанию или сбою хоста при попытке их повторной сборки.
На следующем рисунке показано, что второй фрагментный пакет (Packet #2) имеет намерение начинаться на 20 байтов раньше (на 40), чем заканчивается первый пакетный фрагмент (Packet #1) (на 60). Смещение Packet #2 не соответствует длине пакета Packet #1. Это несоответствие может привести к сбою некоторых систем во время попытки повторной сборки.
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
134 |
|
|||||
|
|
|
|
|
|
||||||
w |
|
|
|
|
m |
||||||
w Click |
|
|
|
|
|
|
o |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
Network Attacks and Defenses: A Hands-on Approach
5.4.3 Эксперимент
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Чтобы определить, как генерировать и обнаруживать атаку Teardrop, проводится эксперимент с использованием устройства Juniper Networks в качестве устройства обнаружения. Ниже приводится описание и этапы эксперимента. В эксперименте используется та же сетевая архитектура, которая описана в практической лаборатории Land-атак (лабораторная работа 5.1), и состоит из следующих этапов:
Шаг 1: Настройте сетевые интерфейсы на устройстве Juniper Networks. Шаг 2: Установите политики безопасности (правила фильтрации). Шаг 3: Включите защиту от атаки Teardrop.
Шаг 4: Создайте пакеты атаки Teardrop.
Шаг 5: Просмотр результатов в файле журнала устройства Juniper
Networks.
Шаги 1 и 2 аналогичны тем, которые описаны в эксперименте по Landатаке в Лаборатории 5.1.
5.4.3.1 Шаг 3: Включить защиту от атаки Teardrop
Чтобы включить защиту от атаки Teardrop на устройстве Juniper Networks, выполните следующие действия:
*Войдите в интерфейс WebUI устройства Juniper Networks.
*Выберите Screening и установите следующие параметры, как показано на следующем снимке экрана, чтобы включить защиту от атаки Teardrop.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
IP-Based Denial-of-Service Attacks
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
135 |
to |
|
|
|
|
|
||||
|
|
|
|
|
|
|||||
|
|
|
|
|
|
m |
||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
*Установите для Zone значение Untrust, поскольку трафик атаки Teardrop будет генерироваться из ненадежной зоны.
*Выберите опцию Teardrop Attack Protection.
*Затем нажмите “Apply.”
5.4.3.2 Шаг 4: Создание пакетов атаки Teardrop
Для генерации атаки Teardrop необходимо собрать два фрагментированных пакета. Пакеты принадлежат одному и тому же исходному пакету и имеют одинаковую идентификацию (ID) IP. Идентификатор поля включает в себя идентифицирующее значение, назначаемое хостом отправителя для помощи в сборке фрагментов дейтаграммы. Однако два фрагментированных пакета имеют перекрывающиеся значения смещения. В качестве примера, значения IPзаголовка двух пакетов атаки Teardrop показаны на следующем рисунке.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
136 |
|||||
|
|
|
|
|
||||||
w |
|
|
|
|
||||||
w Click |
|
|
|
|
|
o |
m |
|||
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
Network Attacks and Defenses: A Hands-on Approach
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
5.4.3.2.1 CommView Visual Packet Builder
Используя CommView Visual Packet Builder, на следующих двух снимках экрана показаны первый и второй фрагментированные пакеты с перекрывающимися значениями смещения, приводящими к атаке
Teardrop.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
IP-Based Denial-of-Service Attacks
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
137 |
|
|
|
|
|
m |
||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
5.4.3.3Шаг 5: Просмотр результатов в файле журнала устройства Juniper Networks
Содержимое журнала событий в устройстве Juniper Networks после обнаружения трафика атаки Teardrop показано на следующем снимке экрана.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
138 |
|||||
|
|
|
|
|
||||||
w |
|
|
|
|
||||||
w Click |
|
|
|
|
|
o |
m |
|||
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
Network Attacks and Defenses: A Hands-on Approach
5.5 Лабораторная работа 5.4: Атака UDP Flood
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
5.5.1 Результат
Цель данного практического упражнения - научить студентов генерировать и обнаруживать атаки UDP Flood.
5.5.2 Описание
UDP (Протокол пользовательских датаграмм) является протоколом без установления соединения и не требует какой-либо процедуры установки соединения для передачи данных. Атака UDP Flood возможна, когда злоумышленник наводняет целевые порты в системе-жертве пакетами UDP. Когда система-жертва получает пакет UDP, она определяет, какое приложение ожидает порт назначения UDP. Существуют две возможности. Во-первых, если на порту нет ожидающего приложения (закрытый порт UDP), хост-жертва сгенерирует пакет ошибок ICMP (пункт назначения недоступен) по поддельному адресу источника. Во-вторых, если на конечном порту UDP запущено приложение, приложение обрабатывает пакет UDP. В обоих случаях, если достаточное количество UDP-пакетов доставлено на конечные UDP-порты, хост-жертва или приложение могут замедлиться или отключиться. Сценарий показан на следующем рисунке.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
5.5.3 Эксперимент
IP-Based Denial-of-Service Attacks
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
139 |
to |
|
|
|
|
|
||||
|
|
|
|
|
|
|||||
|
|
|
|
|
|
m |
||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Чтобы определить, как генерировать и обнаруживать атаку UDP Flood, проводится эксперимент с использованием устройства Juniper Networks в качестве устройства обнаружения. В этом эксперименте используется та же сетевая архитектура, которая описана в практической лаборатории Land-атак (лаборатория 5.1)
Эксперимент состоит из следующих этапов:
Шаг 1: Настройте сетевые интерфейсы на устройстве Juniper Networks. Шаг 2: Установите политики безопасности (правила фильтрации). Шаг 3: Включите защиту от атаки UDP Flood.
Шаг 4: Построить пакеты атаки UDP Flood. Шаг 5: Сниффинг сгенерированного трафика.
Шаг 6: Просмотр результатов в файле журнала устройства Juniper
Networks.
Шаги 1 и 2 аналогичны тем, которые описаны в эксперименте по Landатаке в Лаборатории 5.1.
5.5.3.1 Шаг 3: Включите защиту от UDP Flood Attack
Чтобы включить защиту от атаки UDP Flood на устройстве Juniper Networks, выполните следующие действия:
*Войдите в интерфейс WebUI устройства Juniper Networks.
*Выберите Screening и установите следующие параметры, как показано на следующем снимке экрана, чтобы включить защиту от атаки UDP Flood.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
140 |
|||||
|
|
|
|
|
||||||
w |
|
|
|
|
||||||
w Click |
|
|
|
|
|
o |
m |
|||
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
Network Attacks and Defenses: A Hands-on Approach
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
*Установите Zone в Untrust, потому что трафик атаки UDP Flood будет генерироваться из ненадежных зон.
*Выберите опцию защиты от наводнений UDP.
*становите порог. Порог - это количество пакетов UDP в секунду, которое устройство Juniper Networks может принять до того, как атака UDP Flood будет обнаружена и зарегистрирована. Пороговое значение по умолчанию составляет 1000 пакетов в секунду. Пользователь должен установить пороговое значение, чтобы атака UDP Flood обнаруживалась быстро.
*Затем нажмите “Apply.”
5.5.3.2 Шаг 4: Построить UDP-пакеты Flood Attack
Есть много доступных готовых к использованию инструментов атаки UDP Flood. Однако, учитывая образовательный контекст этой книги, мы призываем пользователей научиться создавать свои собственные пакеты
UDP Flood.
В пакете атаки UDP Flood исходный IP-адрес должен быть установлен на поддельный или случайный IP-адрес. Порт назначения должен быть установлен на номер открытого UDP-порта на хосте жертвы (см. Следующий рисунок).