返回文章列表
玄貓(BlackCat)

TUCANNON+:開發 DDoS 攻擊測試與監控平台

本文介紹 TUCANNON+,一個自製的 DDoS 攻擊測試與監控平台,探討其設計理念、核心模組以及實際應用。TUCANNON+ 提供了靈活的攻擊模擬和視覺化監控功能,有助於深入理解 DDoS 攻擊原理並提升網路防禦能力。

資安 網路工程
DDoS 網路攻擊 網路安全 流量監控 測試平台 TUCANNON+

現今 DDoS 攻擊手法日新月異,仰賴現成工具已不足以應付複雜的網路威脅。為了更精準地模擬攻擊場景並深入研究防禦策略,我開發了 TUCANNON+ 這個整合攻擊與監控的平台。它不僅能產生多種 DDoS 攻擊模式,還能即時監控網路流量,提供寶貴的資料分析。

TUCANNON+ 由攻擊模組和監控模組組成,兩者協同運作,構成完整的測試環境。攻擊模組提供友善的圖形介面,讓使用者能輕鬆設定攻擊引數,例如協定型別、攻擊模式、來源 IP 等。監控模組則能即時顯示網路流量變化,並以圖表呈現關鍵指標,例如封包數量、協定分佈、唯一來源 IP 數量等。

為了驗證 TUCANNON+ 的效能,我在實驗室環境中搭建了一個名為 TUIDS 的測試平台。這個平台模擬真實網路環境,包含多個 VLAN 和不同型別的網路裝置。透過 TUCANNON+,我可以模擬各種攻擊模式,例如 TCP SYN Flood、UDP Flood、ICMP Flood 等,並觀察目標主機的反應。

在實際測試中,TUCANNON+ 展現了高度的靈活性與效率。我可以根據需求調整攻擊引數,例如封包大小、傳送速率、來源 IP 數量等,並即時監控目標主機的 CPU 使用率、記憶體用量、網路流量等指標。這些資料有助於評估目標主機的防禦能力,並找出潛在的弱點。

TUCANNON+ 的監控模組也提供了進階的功能,例如算術運算式輸入。我可以透過輸入算術運算式,例如 SYN 封包佔總 TCP 封包的比例,來監控特定指標的變化趨勢。這對於分析攻擊模式和評估防禦策略非常有幫助。

此外,TUCANNON+ 的模組化設計也方便日後擴充功能。我可以根據需求新增新的攻擊模式或監控指標,讓 TUCANNON+ 持續進化,以應付日新月異的網路威脅。

玄貓解構 DDoS 攻擊:自製 TUCANNON+ 攻擊與監控工具

過去,DDoS 攻擊工具如 Trinoo、TFN 等隨手可得。但身為一個追求極致掌控的工程師,我深知這些現成工具往往缺乏客製化彈性,難以滿足在測試環境中精準模擬攻擊場景的需求。為了更深入理解 DDoS 防禦,我決定開發自己的攻擊產生與監控工具:TUCANNON+。

從零開始:開發 DDoS 攻擊測試床

在網路安全研究中,開發專屬的測試床和 DDoS 攻擊工具至關重要。這不僅能讓我們徹底掌握攻擊細節,更能激發創新防禦方案。TUCANNON+ 的目標不僅是產生各種型別的 DDoS 攻擊,更要提供視覺化介面,方便分析流量模式。

TUCANNON+ 分為兩個核心模組:

  • 攻擊者模組: 安裝在攻擊者網路中,負責發動攻擊。
  • 防禦者模組: 安裝在受害者網路中,負責監控與分析流量。

為了驗證 TUCANNON+ 的效果,我在實驗室中建構了一個名為 TUIDS 的測試床(如圖 7.3 所示)。這個測試床包含多個網路,主機分散在不同的 VLAN 中,並透過 L3 或 L2 交換器連線。攻擊可以來自有線或無線網路,目標則位於網路內部。透過 TUCANNON+,我可以模擬各種攻擊,包括恆定速率、遞增速率、脈衝式和子群攻擊,並支援 TCP、UDP 和 ICMP 等協定。

TUCANNON+ 攻擊模組:雙劍合璧

TUCANNON+ 的攻擊模組包含兩個子模組:

  1. 伺服器子模組: 攻擊者透過此模組建立通訊,並向受感染的機器(bots)傳送指令。
  2. 客戶端子模組: 執行在每個 bot 上的程式,負責接收伺服器指令並發動攻擊。

接下來,我將探討這兩個子模組的邏輯結構。

TUCANNON 伺服器子模組:GUI 介面與攻擊引數

伺服器子模組負責與測試床中被設定為 bots 的機器通訊。這個伺服器程式提供一個使用者介面,方便指定和控制攻擊流量的各種屬性,例如:

  • 協定型別(TCP、UDP、ICMP)
  • 攻擊模式(恆定速率、遞增速率、脈衝式)
  • 來源 IP 型別(真實 IP 或隨機產生的偽造 IP)
  • 執行緒數量(每個執行緒在單一 bot 機器內執行一個客戶端程式副本)
  • 受害者連線埠範圍

啟動後,主控端會等待 bots 連線。圖 7.5 顯示了伺服器子模組的 GUI 介面。

多樣化的 DDoS 攻擊型別

根據使用的協定,我將攻擊型別分為以下幾種:

  • TCP Flood: 大量帶有不同 flags(SYN、RST、ACK)的封包被傳送到受害者機器。TCP SYN Flood 透過耗盡主機的 TCP 連線佇列,拒絕合法的連線請求。TCP ACK Flood 也可能導致 flood 主機位址對應節點的中斷。
  • ICMP Flood(例如 Ping Flood): 大量 ICMP 封包被傳送到受害者主機。Smurf 攻擊是 ICMP Flood 的一種變體,它將包含 ICMP ECHO REQUEST 的偽造 IP 封包傳送到定向廣播位址。
  • UDP Flood: 大量 UDP 封包被傳送到受害者主機。

玄貓經驗談:自製工具的價值

開發 TUCANNON+ 的過程讓我深刻體會到,即使現成工具唾手可得,但為了更深入理解技術本質,開發專屬工具往往是不可或缺的。透過 TUCANNON+,我不僅能精準模擬各種 DDoS 攻擊場景,更能從中學習到網路安全防禦的精髓。

TUCannon:一款靈活且高效的網路攻擊工具

玄貓將帶領大家深入瞭解 TUCannon,一款用於模擬和分析網路攻擊的工具。它具備高度的靈活性和效率,可用於生成各種複雜的攻擊模式,幫助安全研究人員和網路管理員評估網路的防禦能力。

TUCannon 的核心元件:主控端與殭屍端

TUCannon 主要由兩個核心元件構成:主控端(Server Sub-module)和殭屍端(Client Sub-module)。主控端負責接收攻擊者的指令,並將其傳達給所有連線的殭屍端。殭屍端則按照主控端的指令,實際發起攻擊流量。

主控端的功能詳解

主控端提供了一個使用者介面,攻擊者可以透過這個介面設定各種攻擊引數:

  1. 殭屍列表:顯示所有已連線到主控端的殭屍端 IP 地址。
  2. 協定型別:選擇攻擊所使用的協定,例如 TCP、UDP 或 ICMP。
  3. 來源 IP 設定:設定攻擊封包的來源 IP 地址。攻擊者可以選擇使用真實的來源 IP 地址,也可以選擇使用偽造的 IP 地址。如果選擇使用偽造的 IP 地址,還可以指定要使用的不同偽造 IP 地址的數量,以便將攻擊流量分散到多個來源 IP 地址。
  4. 執行緒數量:設定每個殭屍端使用的執行緒數量。透過增加執行緒數量,可以提高每個殭屍端產生的流量,進而控制整體攻擊的流量速率。
  5. 目標 IP:指定受害者的 IP 地址。
  6. 目標埠範圍:指定攻擊流量傳送到的目標埠範圍。
  7. 攻擊模式:選擇不同的流量模式,例如恆定速率、脈衝速率、遞增速率和子群組攻擊。
  8. 發動:點選此按鈕,將攻擊指令和設定的引數傳送到所有已連線的殭屍端。
  9. 停止:點選此按鈕,停止所有正在進行的攻擊。

殭屍端的工作原理

殭屍端負責按照主控端傳送的指令產生攻擊流量。當殭屍端啟動時,它會連線到主控端。一旦與主控端建立連線,它就會等待來自主控端的指令。收到指令後,殭屍端會根據指令採取相應的行動。

TUCannon 的擴充套件性與速度

TUCannon 能夠生成包含各種攻擊模式的大量攻擊流量。由於其高效的邏輯結構,TUCannon 能夠在很短的時間內(例如,一秒內)產生完整的突發攻擊。

反射攻擊:一種間接攻擊方式

TUCannon 還支援發起反射攻擊。在反射攻擊中,攻擊者指示殭屍端將攻擊流量傳送到一組無辜的機器,並將來源 IP 地址偽造成受害者的 IP 地址。當無辜的機器收到這些偽造的請求時,它會將回覆傳送到請求封包中攜帶的來源 IP 地址,也就是受害者的 IP 地址。結果,受害者會收到大量的回覆訊息,這可能會耗盡受害者的資源。TUCannon 的使用者介面允許攻擊者將無辜的 IP 地址列表傳送到殭屍端,殭屍端隨後會使用這些無辜的伺服器作為反射器來執行間接攻擊。

TUCannon 的架構設計

TUCannon 採用模組化結構,分為伺服器端和客戶端。這種設計使得在不大幅修改現有模組的情況下,可以輕鬆地增加新功能。

伺服器端架構

TUCannon 的伺服器端由三個模組組成:使用者介面模組、指令生成模組和傳輸模組。使用者介面模組負責提供使用者介面,使用者可以透過該介面指定攻擊引數,例如協定、執行緒數量、來源 IP 型別、目標埠範圍、受害者地址和攻擊模式。指令生成模組提取使用者指定的輸入,並生成一個可被客戶端(即殭屍端)識別的指令字串。一旦根據使用者規範構建了指令,傳輸模組就會將該指令傳輸到連線到伺服器的殭屍端列表。

客戶端架構

客戶端程式由伺服器通訊單元、攻擊組態單元和封包生成單元組成。伺服器通訊單元包含兩個模組:連線模組和監聽模組。連線模組負責在客戶端程式啟動後立即連線到伺服器。建立連線後,監聽模組接管控制權並等待來自伺服器的指令。當監聽模組收到來自伺服器的指令時,它會將其傳遞到攻擊組態單元。攻擊組態單元包含一個解析器和一個組態模組。解析器模組解析接收到的指令,以提取使用者指定的引數。然後,組態模組組態殭屍端的引數,例如協定、執行緒數量、攻擊封包的來源和目標 IP 地址,以及生成封包的執行緒數量。組態完引數後,封包將被生成。

TUCannon 是一個功能強大且靈活的網路攻擊工具,可用於模擬各種攻擊場景,幫助網路管理員和安全研究人員評估和改進其網路的安全防禦能力。透過瞭解 TUCannon 的工作原理和架構設計,我們可以更好地理解網路攻擊的本質,並採取有效的措施來保護我們的網路。

TUMonitor:圖形化網路流量監控工具的深度解析

TUMonitor 是一款根據圖形使用者介面(GUI)的網路流量監控工具,它讓使用者能夠觀察一系列選定的特徵,例如:特定時間間隔內的封包計數、特定協定的封包計數、特定 TCP 旗標的封包計數,以及特定時間間隔內唯一來源 IP 位址的數量。TUMonitor 也能夠接受包含部分特徵的算術運算式作為輸入,以監控特定的網路流量模式。

舉例來說,使用者可能會對所有 TCP 封包中 SYN 封包的百分比感興趣;這個百分比在 TCP SYN 洪水攻擊下可能會出現非常大的變化。這個工具對於學生或研究人員來說,也能夠幫助他們理解不同條件下的網路流量。

當然,TUMonitor 並不是一個入侵偵測系統(IDS);然而,網路管理員可以使用這個工具來監控透過監控點的流量。例如,網路管理員可以監控 SYN 封包和(FIN+RST)封包之間的差異。正如 [257] 所建議的那樣,上述觀察到的流量屬性的值突然飆升,可能就是 TCP SYN 洪水 DDoS 攻擊的強烈徵兆。類別似地,ICMP 或 UDP 流量比例的急劇增加也可能引起懷疑,或者唯一來源 IP 位址數量的突然增加,也可能是網路管理員需要關注的點。

TUMonitor 的核心功能與優勢

TUMonitor 不僅能協助網路管理員或網路安全研究人員觀察網路流量模式,還能協助建立網路防禦。它允許使用者捕捉和讀取封包和流量。它還能夠使用使用者指定的流量特徵來組織、收集和視覺化網路流量統計資訊。

以下是 TUMonitor 提供的主要支援:

(a) 捕捉型別選擇:TUMonitor 提供了監聽即時網路流量,或開啟儲存在特定目錄中的現有捕捉流量追蹤檔的選項。它允許捕捉封包,以及使用選定的特徵子集來提取流量資訊。在起始畫面中,它允許使用者選擇任何這些選項。對於流量資訊,可以從路由器或儲存的封包資訊中提取。

(b) 流量來源選擇:在選擇捕捉型別後,系統會要求使用者指定可用的網路介面,或從中讀取捕捉的流量追蹤檔的目錄路徑,具體取決於使用者的選擇。在這兩種情況下,TUMonitor 都將支援將給定時間間隔內的輸入封包視覺化為圖表。

(c) 指定和視覺化流量特徵:TUMonitor 提供了一個名為 IOGraph 的選項,供使用者 (i) 指定一組特徵,以及 (ii) 在多個視窗中視覺化它們在給定時間間隔內的圖形形式。

TUMonitor 提供的另一個功能是同時視覺化多個圖表。透過使用這個功能,可以指定多種型別的特徵,並在多個視窗中監控給定時間間隔內的攻擊和正常流量模式。

(d) 算術運算式作為輸入:TUMonitor 還支援一種特殊的功能,透過在給定的時間間隔內,於運算式文字方塊中編寫算術運算式來監控封包和 Netflow 流量模式。例如,它可以顯示所有 TCP 封包中 SYN 封包的百分比。在這裡,每個特徵都用一個字母表示。例如,封包計數用字母 A 表示,TCP 封包的數量用 B 表示,依此類別推。使用者可以使用這些字母作為佔位符,在給定的文字方塊中編寫任何有效的 infix 算術運算式,以獲得相應的圖表。

TUMonitor 的模組化架構

TUMonitor 的架構採用模組化設計,主要由四個子模組組成:

(a) 捕捉/讀取子模組:這個子模組負責從網路介面(NI)或儲存的追蹤檔(NT)中嗅探即時流量。它使用使用者指定的檔案來儲存捕捉的資料。它依賴於兩個專用元件,稱為 PCM 和 FCM。PCM 用於從即時流量中收集封包,或從指定的檔案中讀取。它將封包資訊轉發到封包流量組織器(PTO)。為了捕捉封包,它使用 pcap.net 函式庫 [1]。類別似地,為了提取流量資訊,FCM 提供了兩個選項,即直接從路由器收集,或從已捕捉的封包中提取。一旦成功提取流量資訊,FCM 會將其轉發到流量組織器,稱為流量流量組織器(FTO)。

(b) 流量組織器子模組:正如前面提到的,TUMonitor 會追蹤特定協定的封包計數、特定 TCP 旗標的封包計數,以及給定時間間隔內唯一來源 IP 的數量。為了方便起見,它包含了兩個元件,稱為 PTO 和 FTO。PTO,也就是封包組織器,主要負責組織封包流量,並將其轉發到不同的模組進行進一步處理。

玄貓認為 TUMonitor 是一款功能強大的網路監控工具,透過圖形化介面和靈活的特徵選擇,能幫助網路管理員和安全研究人員更有效地分析和理解網路流量,從而提升網路安全防禦能力。

TUMonitor:流量監控與DDoS攻擊視覺化

在網路安全領域,即時監控和視覺化網路流量對於檢測和防禦DDoS攻擊至關重要。TUMonitor 是一個專為此目的設計的工具,它提供了一系列功能,從流量統計生成到特徵顯示組織,幫助網路管理員快速瞭解網路狀況。

TUMonitor 的核心模組

TUMonitor 的架構設計模組化,每個模組負責不同的功能,協同工作以提供全面的流量監控和分析能力。

(a) 資料擷取模組:此模組負責從網路介面擷取原始封包資料,並將其轉換為可分析的格式。封包擷取器(Packet Sniffer, PS)使用 libpcap 函式庫來捕捉流經網路介面的封包。流量特徵提取器(Traffic Feature Extractor, TFE)則從這些封包中提取有用的特徵,例如封包大小、協定型別和 IP 位址。

(b) 資料組織模組:此模組負責組織從不同來源提取的資料,並維護這些資料的一致性。封包特徵組織器(Packet Feature Organizer, PFO)維護不同特徵的計數器,並在收到新的封包資訊時更新它們。流量組織器(Flow Traffic Organizer, FTO)則組織從兩個不同來源提取的流量資訊,並維護這些資訊。

(c) 流量統計產生模組:此模組專門用於從封包流量和流量資訊中產生統計資訊。它由封包統計產生器(Packet Statistics Generator, PSG)和流量統計產生器(Flow Statistics Generator, FSG)組成。PSG 維護一個計時器,該計時器在每個指定的時間間隔後觸發。在每次觸發時,它會提取每個計數器的值,並將其插入到記憶體中的表格中,其中每行對應於特定間隔的統計資訊,每列表示不同間隔中相應特徵的值。FSG 遵循類別似的邏輯,從提取的流量資訊中產生流量統計資訊。

(d) 特徵顯示組織模組:這個視覺化支援模組提供了選擇特徵或輸入算術表示式的選項,用於視覺化封包流量(使用 PFS)或流量資訊(使用 FFS)。一旦根據指定的特徵提交請求或提交表示式,顯示單元就會建立一個新執行緒。然後,該執行緒從記憶體中的統計資訊表格中讀取(並在表示式的情況下評估)每個間隔的指定特徵,並在單獨的視窗中繪製圖形。

DDoS 防禦系統

DDoS 攻擊對網路服務的可用性構成了嚴重威脅。為了應對這些威脅,學術界和商業領域都開發了許多防禦系統,用於 DDoS 檢測、預防、容忍和反應。

玄貓觀點:DDoS防禦的未來趨勢

從玄貓的角度來看,未來的DDoS防禦系統將更加依賴於機器學習和人工智慧技術。這些技術可以幫助系統更準確地檢測異常流量模式,並自動調整防禦策略,以應對不斷變化的攻擊。此外,雲端安全服務將在DDoS防禦中扮演更重要的角色,提供可擴充套件的防禦能力,以應對大規模的攻擊。

總體而言,TUMonitor 作為一個流量監控和視覺化工具,為網路管理員提供了寶貴的資訊,幫助他們瞭解網路狀況並及時應對潛在的DDoS攻擊。結合其他防禦系統,可以更有效地保護網路服務的可用性和穩定性。