Відбиток — це процес збору інформації про комп’ютерні системи та об’єкти для виявлення вразливостей і створення мережевих карт.
387 
Відмова в обслуговуванні (DoS) — це атака на комп’ютерну систему чи мережу, спрямована на те, щоб зробити систему чи мережу недоступною для призначених користувачів шляхом перевантаження її трафіком, даними чи запитами. Мета DoS-атаки полягає в тому, щоб порушити нормальні операції та запобігти доступу законних користувачів до цільової системи чи мережі. DoS-атаки можуть приймати різні форми, включаючи переповнення мережі трафіком, використання вразливостей програмного забезпечення або використання методів грубої сили для вгадування облікових даних для входу. Такі атаки можуть завдати значних збитків, фінансових втрат і завдати шкоди репутації компанії. Також (DoS) — це різновид кібератаки, метою якої є зробити комп’ютерний ресурс недоступним для призначених користувачів. Атака може бути здійснена шляхом перевантаження цільової системи трафіком, що робить її нездатною обробляти законні запити. Атака також може бути здійснена шляхом використання вразливостей у цільовій системі для її збою.
DoS-атаки можуть здійснюватися окремими особами або групами з різних причин, наприклад, вимагання, протест або помста. Атаки розподіленої відмови в обслуговуванні (DDoS) залучають кілька комп’ютерів до атаки, що ускладнює пом’якшення атаки. Запобігання DoS-атакам вимагає різноманітних заходів, таких як захист мережевої інфраструктури, фільтрація трафіку та автентифікація користувачів. DoS-атаки зазвичай діляться на 2 категорії: Атаки переповнення буфера.Тип атаки, під час якого переповнення буфера пам’яті може спричинити використання комп’ютером усього доступного місця на жорсткому диску. Ця форма експлойту часто призводить до повільної роботи, збоїв системи або іншої шкідливої поведінки сервера, що призводить до відмови в обслуговуванні. Напади повені. Насичуючи цільовий сервер величезною кількістю пакетів, зловмисник може перенаситити потужність сервера, що призведе до відмови в обслуговуванні. Щоб більшість DoS-атак були успішними, зловмисник повинен мати більшу доступну пропускну здатність, ніж мета. Історично склалося так, що DoS-атаки зазвичай використовували вразливі місця безпеки, наявні в мережі, програмному та апаратному забезпеченні. Ці атаки стали менш поширеними, оскільки DDoS-атаки мають більшу руйнівну здатність і їх відносно легко створити, враховуючи наявні інструменти. Насправді більшість DoS-атак також можна перетворити на DDoS-атаки.
Атака Smurf — це тип розподіленої атаки на відмову в обслуговуванні (DDoS), яка заповнює мережу жертви пакетами протоколу ICMP (Internet Control Message Protocol). Атака запускається з використанням підроблених широкомовних адрес, що призводить до перевантаження цільової мережі трафіком. Це може призвести до перевантаження мережі, уповільнення або зупинки продуктивності та потенційно навіть простою. Назва «Smurf» походить від того факту, що ця атака спочатку використовувала шкідливе програмне забезпечення Smurf для генерації трафіку.
Пінг-флуд — це тип атаки на відмову в обслуговуванні (DoS), під час якої зловмисник переповнює цільовий пристрій або мережу пакетами ехо-запиту ICMP (Internet Control Message Protocol), широко відомими як «пінги». Атака зазвичай здійснюється за допомогою автоматизованих інструментів, які надсилають велику кількість запитів ping до цілі, через що цільовий пристрій або мережа перестають реагувати на законний трафік. Пінг-потоки можуть бути запущені з відносно невеликою пропускною здатністю, і їх важко пом’якшити, що робить їх звичайною тактикою для зловмисників, які хочуть порушити роботу онлайн-служб.
Пінг смерті — це тип атаки типу «відмова в обслуговуванні» (DoS), коли зловмисник надсилає на цільовий комп’ютер або сервер навмисно неправильно сформований або завеликий пакет ping. Це може спричинити збій цільової системи або перестати відповідати, оскільки їй важко обробити надмірно великий або недійсний пакет. Хоча атака Ping of Death значною мірою застаріла через удосконалення мережевих протоколів і заходів безпеки, вона залишається важливою частиною історії комп’ютерної безпеки.
SYN-флуд — це форма атаки на відмову в обслуговуванні, під час якої зловмисник надсилає послідовність запитів SYN на цільову машину, намагаючись вичерпати її ресурси та змусити її не реагувати на законний вхідний трафік. Сеанс TCP встановлює з’єднання за допомогою механізму тристороннього рукостискання. Джерело надсилає SYN-пакет адресату. Приймач, отримавши пакет SYN, відповідає, надсилаючи пакет SYN/ACK назад до джерела. Цей пакет SYN/ACK підтверджує надходження першого пакету SYN до джерела. На завершення джерело надсилає пакет ACK для пакета ACK/SYN, надісланого одержувачем. Під час атаки SYN зловмисник використовує метод тристороннього рукостискання. Спочатку зловмисник надсилає фальшивий запит TCP SYN на цільовий сервер, і коли сервер надсилає SYN/ACK у відповідь на запит клієнта (зловмисника), клієнт ніколи не надсилає відповідь ACK. Це залишає сервер в очікуванні завершення підключення.
Підробка IP-адреси машини зловмисника. Виконайте SYN Flooding на цільовій машині.
Віртуальна машина Kali Linux. Віртуальна машина Windows 10 (з вимкненим брандмауером). Віртуальна машина Windows Server 2012 або 2016.
Увійдіть у систему Kali Linux і відкрийте нове вікно терміналу. Ми збираємося виконати SYN-флуд у Windows 10 через якийсь відкритий порт . Щоб перевірити, який порт відкритий чи ні, ми використаємо Nmap для сканування всіх відкритих портів.
У цій лаб. роботі ми будемо використовувати допоміжний модуль відMetasploitпід назвою synflood для виконання DoS-атаки на ціль за допомогою порту 445.
Встановлюючи для параметра SHOST IP-адресу Windows Server, ви підроблюєте IP-адресу машини Kali Linux. Після налаштування допоміжного модуля запустіть DoS-атаку на Windows 10, ввівши:
Перейдіть на машину з Windows 10 і запустіть Wireshark , виберіть правильний інтерфейс і натисніть «Пуск». Wireshark відображає трафік, що надходить від машини, як показано нижче:
Тут ви можете помітити, що вихідна IP-адреса з Windows Server. Це означає, що IP-адресу Kali Linux було підроблено. Далі відкрийте диспетчер завдань у Windows 10 і натисніть вкладку продуктивності . Ви помітите, що використання процесора та Ethernet різко зросло після атаки, що означає, що триває атака DoS. Якщо атака триватиме деякий час, ресурси машини будуть повністю вичерпані, і вона перестане реагувати.
hping3 — це інструмент командного рядка для створення пакетів і зондування мережі для мережевих адміністраторів і експертів з безпеки. Він дозволяє користувачам створювати та надсилати різні типи мережевих пакетів, включаючи TCP, UDP, ICMP і RAW-IP, із налаштованими параметрами та корисним навантаженням. hping3 можна використовувати для різноманітних завдань, таких як тестування брандмауера, сканування портів, функції traceroute і аудит безпеки мережі. Його гнучкість і універсальність роблять його популярним інструментом для аналізу мережі та пошуку несправностей.
Це ініціює SYN-флуд у Windows 10. Hping3 заповнює жертвену машину, надсилаючи масові пакети SYN і перевантажуючи ресурси жертви. Перейдіть на Windows 10 і запустіть Wireshark , виберіть правильний інтерфейс і почніть зйомку. Проаналізувавши отриманий трафік, ви помітите величезну кількість SYN-пакетів , які можуть призвести до збою цільової машини.
Атака розподіленої відмови в обслуговуванні (DDoS) включає групу скомпрометованих систем, зазвичай заражених троянськими програмами, які використовуються для виконання DoS-атаки на цільову систему або мережу.
Виконати DDoS-атаку – HTTP-флуд.
Віртуальна машина Kali Linux (Target). Віртуальна машина Windows Server, Windows 10 і Windows 7 (зловмисники).
High Orbit Ion Cannon (HOIC) — це безкоштовна мережева програма з відкритим вихідним кодом, розроблена групою хактивістів Anonymous, щоб замінити Low Orbit Ion Cannon (LOIC). Використовується для атак на відмову в обслуговуванні (DoS) і розподілених атак на відмову в обслуговуванні (DDoS), він функціонує шляхом заповнення цільових систем небажаними HTTP-запитами GET і POST.
Перш ніж розпочати цю лабораторну роботу, увімкніть усі віртуальні машини в цій лабораторній роботі (Windows 7, 10, Server і Kali Linux) і ввійдіть на них. Скопіюйте папку High Orbit Ion Cannon (HOIC) на всі віртуальні машини Windows(3).
Перейдіть на Windows 10 і відкрийте HOIC (hoic2.1.exe). У GUI HOIC натисніть « + », щоб додати ціль.
Коли HOIC налаштовано на всіх машинах, перейдіть на кожну машину та натисніть FIRE TEH LAZER!.
Це ініціює DDoS-атаку на ціль (Kali Linux). Перейдіть на Kali Linux і запустіть Wireshark . Зверніть увагу, що Wireshark починає перехоплювати дуже великий обсяг пакетів, що означає, що машина отримує величезну кількість вхідних пакетів. Ці пакети надходять із віртуальних машин Windows 7, Windows Server і Windows 10.
У цій лабораторії лише три машини демонструють заливку однієї машини. Якщо існує велика кількість машин, які виконують залив, то цільові ресурси Kali Linux повністю споживаються, а машина перевантажується. У режимі реального часу група хакерів, які керують сотнями або тисячами машин, налаштовують цей інструмент на своїх машинах і імітують DDoS-атаку, одночасно заливаючи цільову машину/веб-сайт. Ціль перевантажена і перестає відповідати на запити користувачів або починає скидати пакети, що надходять від законних користувачів. Чим більша кількість машин-зловмисників, тим вищий вплив атаки на цільову машину/веб-сайт. Щоб зупинити DDoS, натисніть FIRE TEH LAZER! знову, а потім закрийте вікно HOIC.
KFSensor — це honeypot IDS на базі Windows. Він діє як приманка для залучення та виявлення хакерів і черв’яків, імітуючи вразливі системні служби та троянські програми. Діючи як сервер-приманка, він може відволікати атаки від критично важливих систем і надавати більш високий рівень інформації.
Виявлення DoS-атаки за допомогою. KFSensorПроаналізуйте дамп вхідного пакета за допомогою Wireshark.
Віртуальна машина Windows 10. Віртуальна машина Windows Server 2012 або 2016. Віртуальна машина Kali Linux.
Встановіть KFSensor і Wireshark на віртуальну машину Windows 10. Запустіть KFSensor від імені адміністратора. Натисніть «Налаштування» у верхньому меню та виберіть «Майстер налаштування». Залиште параметри за замовчуванням, доки не зупиніться на параметрах DoS.
Виберіть «Обережно» зі спадного списку «Параметри відмови в обслуговуванні» та виберіть « Увімкнути файли дампа пакетів» зі спадного списку « Аналізатор мережевого протоколу» :
Натисніть «Далі» та завершіть роботу майстра:
На лівій панелі ви побачите значок FTP зеленого кольору, а розділ FTP порожній, це означає, що зараз немає трафіку через порт 21.
Тепер KFSensor налаштовано на виявлення атак DoS.
Після введення команди перейдіть на Windows 10 , спостерігайте, що машина майже зависла, що означає, що ресурси Windows повністю вичерпані. Це означає, що DoS-атака виконана успішно. Поверніться до Kali Linux і натисніть Ctrl+C, щоб припинити залив SYN.
Це означає, що KFSensor виявив DoS-атаку. Виберіть іншу випадкову подію та двічі клацніть її, щоб переглянути деталі події. У вікні події, яке містить підсумок події, ви можете побачити рівень серйозності події (Високий) , опис події (Syn Scan) , відвідувача події (IP-адреса комп’ютера зловмисника) , назву датчика (FTP) і так далі, як ви бачите нижче.
387 
404 
309 
384 
308 
322 
376