Simule o ataque SYN

0

Estou tentando simular um ataque SYN para um ensaio que estou fazendo e coletar alguns resultados (tempo gasto para o computador responder a alguma mensagem), mas nada parece acontecer quando eu tento esse método.

Eu uso o servidor WAMP para hospedar um servidor básico no PC vítima usando um roteador local sem acesso à Internet, desabilitar completamente todos os firewalls no roteador e no PC e acessar a página da Web hospedada pelo PC vítima em o atacante PC, a fim de capturar um pacote SYN legítimo usando wireshark.

Copie o hexadecimal para o pacote SYN legítimo no colasoft packet builder, e mude a porta de origem para 1444, e crie uma nova regra para o firewall do windows bloquear todas as conexões de entrada nessa porta, para que o SYN, ACK não é respondido de forma alguma.

Em seguida, faço ping no PC vítima do PC atacante proceduralmente para verificar se há um atraso na resposta e em um loop para enviar o pacote SYN agora mal-intencionado ao PC vítima, mas não há atraso na resposta, exceto o pico ocasional que é esperado .

Minha pergunta é o que estou fazendo errado, ou existe uma maneira melhor de simular um ataque SYN do que isso no Windows? (como um sidenote, eu tentei usar hping, mas não consegui fazer isso funcionar.)

Obrigado!

    
por felmo_ 02.11.2017 / 15:02

1 resposta

0

Peço desculpas antecipadamente se realmente não entendi a pergunta. Ao enviar uma inundação SYN, ataque-a para tentar criar o maior número possível de conexões semiabertas na vítima. Isso deixa cada uma das conexões semiabertas no estado SYN-RECVD temporariamente utilizando recursos.

No entanto, parece que você não está enviando seu SYN flood adequadamente, não falsificando o IP de origem dos invasores. Quando sua máquina atacante recebe o SYN / ACK, ele imediatamente envia um pacote de redefinição para desligar esse socket e nega qualquer tentativa de flood. No entanto, não estou familiarizado com o comportamento do Firewall do Windows. Se você falsificar o endereço de origem para um IP não utilizado, o RST não será enviado e cada SYN / ACK enviado pela vítima entrará em recuperação exponencial aumentando drasticamente a eficácia do ataque. (por favor use um IP no espaço privado para que os SYN / ACKs não estejam refletindo de volta em algo na internet)

Ok, o próximo é o fato de você estar repetindo o mesmo pacote com a mesma 4-tupla e o mesmo número de sequência inicial. Você precisa que cada SYN seja exclusivo para ser eficaz. Eu sugiro strongmente que você use qualquer distribuição Linux e o aplicativo "hping3". Você deve ser capaz de obter os resultados desejados. Considere também que o ping usa o ICMP e pode não ser um bom teste de atraso do servidor, pois é um processo consideravelmente diferente na forma como o servidor responde. Posso sugerir o nmap ou mesmo o hping3 novamente para testar a resposta TCP do servidor.

    
por 02.11.2017 / 17:34