共包含三台主机
一台centos7.3 为attact主机,装有python +Scapy 一台centos7.3,server,装有bind9 ntp memcached,作为DDOS攻击的反射器 一台windwos,作为被攻击方,来分析 攻击数据编辑配置文件vi /etc/named.conf
option {}中加入下列限制 recursion no; //禁止递归查询配置后,重启服务
systemctl restart named
登录attact机器,使用dig查询
dig any baidu.com @x.x.x.x
编辑配置文件 vi /etc/named.conf
在option 下加入
rate-limit { ipv4-prefix-length 32; window 10; responses-per-second 20; errors-per-second 5; nxdomains-per-second 5; slip 2; };配置后需重启服务
同学们可以编写shell脚本或python脚本 ,使用dig或scapy快速查询。观察配置效果。shell脚本可以参ssl攻击脚本 ,python脚本可以参照之前send_ntp
NTP被利用的本质就是monlist功能,直接禁用掉
vi /etc/ntp.conf
disable monlist //关闭monlist功能 restrict 192.168.164.0 mask 255.255.255.0 notrust nomodify notrap noquery //禁止向网段 192.168.164.0/24提供服务配置后,重启服务,再次验证攻击
memcached默认启动UDP端口。在启动memcached时,
不要使用
systemctl start memcached使用下列命令代替,-U 0 (大写U)表示禁止启动UDP端口 /usr/bin/memcached -u memcached -p 11211 -U 0 -m 64 -c 1024
同时替代方案也有多种
可以使用iptables过滤相应端口 可以使用memcached的认证功能等。