Utilizando hping
Neste artigo farei uma apresentação e alguns exemplos de utilização do hping, uma ferramenta muito útil para trabalhos de pentest, testar IDS, firewall.
Introdução
O hping é um software poderoso quando se fala de ataque de negação de serviço e para tanto é preciso conhecer a relação cliente/servidor. As mensagens servidor/cliente são trocadas em 3 vias.
O cliente envia uma requisição de conexão: pacote com flag syn com um determinado número de sequência x. O servidor recebe o pacote e responde com uma mensagem de reconhecimento: flag syn-ack com um número de sequência x+1 e y. O cliente reconhece o pacote syn-ack com y+1 e a conexão está estabelecida.
Aqui podemos ver um exemplo de estabilização de uma determinada comunicação.
Para complementar, a conexão é fechada quando o cliente ou servidor envia um pacote com flag fin ou de forma abrupta com uma flag rst. Com base nestes conhecimentos, um ataque do tipo Syn-flood ou enxurrada de pacotes é utilizado para desestabilizar ou derrubar recursos computacionais e podem acontecer em vários níveis do protocolo TCP.
O ataque consiste no envio de uma grande quantidade de pacotes com flags setadas SYN para a vítima, de tal maneira que a mesma não consiga responder a todos as requisições. Com um grande número de pacotes SYN apilha de memória sofre um estouro e todas as requisições são desprezadas.
Fazendo de todas estas informações a utilização para testes, em nossa rede, servidores, ou para testar alguns "servidores públicos", IDS, entre outras.
O cliente envia uma requisição de conexão: pacote com flag syn com um determinado número de sequência x. O servidor recebe o pacote e responde com uma mensagem de reconhecimento: flag syn-ack com um número de sequência x+1 e y. O cliente reconhece o pacote syn-ack com y+1 e a conexão está estabelecida.
Aqui podemos ver um exemplo de estabilização de uma determinada comunicação.
O ataque consiste no envio de uma grande quantidade de pacotes com flags setadas SYN para a vítima, de tal maneira que a mesma não consiga responder a todos as requisições. Com um grande número de pacotes SYN apilha de memória sofre um estouro e todas as requisições são desprezadas.
Fazendo de todas estas informações a utilização para testes, em nossa rede, servidores, ou para testar alguns "servidores públicos", IDS, entre outras.
Veja a Ultima linha do traceroute 8.8.8.8
google-public-dns-a.google.com (8.8.8.8)
O exemplo de flood loucão no DNS do google foi sem querer?
Com a falta de IPs v4 válidos até aquele que achávamos inexistentes estão sendo usados. Logo logo o clássico exemplo 1.2.3.4 não será mais fictício, logo teremos que apelar para 300.300.300.300 hehehehe
Bom artigo.