Ćwiczenie 03a.4 Testy penetracyjne - ataki DoS
Celem ćwiczenia jest zapoznanie studentów z przebiegiem i skutkami wybranych ataków Dos. Zasadnicza część
ćwiczenia realizowana będzie w zespołach dwuosobowych. Komputer jednego studenta będzie pełnił rolę atakowanego a
komputer drugiego, rolę atakującego. Nie oznacza to, że zadania są podzielone pomiędzy dwie osoby. Wszystkie zadania
powinny być wykonywane przy udziale obu ćwiczących. Na komputerze atakującym będą uruchamiane programy realizujące
określone ataki typu DoS. Na komputerze atakowanym należy uruchomić program monitorowania wydajności Wydajność
( Performance) z grupy narzędzi administracyjnych. W panelu szczegółów okna tego programu, na bieżąco powinien być
prezentowany stan liczników:
Obiekt: Procesor ( Processor);
Licznik: Czas procesora [%] (%Processor Time)
Obiekt: Interfejs sieciowy ( Network Interface);
Licznik: Całkowita liczba bajtów/s ( Bytes Total/sec)
Wykresy powinny być skalowane w sposób umożliwiający oglądanie szczegółów ich przebiegu. Program powinien
być aktywny przez cały czas ćwiczenia. Wykorzystywany będzie również snifer pozwalający na obserwację ruchu sieciowego
generowanego przez używane exploity.
Badanie każdego ataku realizowane jest w dwóch fazach. W fazie pierwszej (pseudoataku) uruchamiany jest snifer a
eksploit służy do wysłania niewielkiej ilości pakietów. Celem tej fazy jest obserwacja charakterystyki ruchu sieciowego.
W ramach przygotowania do ćwiczenia należy zapoznać się z udostępnionymi materiałami wykładowymi oraz literaturą
zaleconą przez wykładowcę przedmiotu . Dodatkowo należy zapoznać się z obsługą wszystkich programów, które
wykorzystywane będą w trakcie realizacji ćwiczenia (zwłaszcza skalowanie wykresów w programie Wydajność
( Performance).
W czasie realizacji ćwiczenia należy opracowywać sprawozdanie według załączonego wzoru, zawierające obrazy
odpowiednich okien, oraz wnioski i komentarze dotyczące realizowanych zadań.
Zadanie 1 Atak Syn Flood
1. Na komputerze atakowanym uruchomić sniffer, w trybie analizy na bieżąco. Wyłączyć kolorowanie
pakietów. Pożądane jest włączenie filtra, który ograniczy ilość zbieranych pakietów ( Capture Filter).
Filtr powinien zapewnić ograniczenie pozyskiwania pakietów jedynie do tych, które są kierowane na
wybrany port komputera atakowanego lub pochodzą z tego portu komputera atakowanego. Jeżeli
atakowany będzie port 445 na komputerze 192.168.214.18 to filtr powinien mieć postać: host
192.168.214.18 and port 445
Z komputera atakującego przeprowadzić pseudoatak przy pomocy programu SYNFlood,
uruchamianego z konsoli tekstowej. Pseudoatak przeprowadzić poprzez wysłanie 30 pakietów na
jeden dowolnie wybrany, otwarty port komputera atakowanego. Po zakończeniu takiego
pseudoataku zakończyć zbieranie pakietów przez snifer.
W sprawozdaniu zamieścić charakterystyczne dla przeprowadzonego ataku obrazy okien
snifera uzyskanych po stronie atakowanego (pakiety wymieniane pomiędzy komputerami w czasie
ataku). Zaznaczyć na tych obrazach elementy istotne dla zrozumienia charakterystyki
przeprowadzonego ataku. Skomentować wyniki.
Opracował: Zbigniew SUSKI
2. Z komputera atakującego przeprowadzić atak przy pomocy programu SYNFlood. Atak
przeprowadzić na jeden dowolnie wybrany, otwarty port komputera atakowanego (bez ograniczania
liczby pakietów i bez ich opóźniania). Zapamiętać obraz okna programu Wydajność
( Performance) uzyskany po stronie atakowanego. Po 20 sekundach wzmocnić atak wprowadzając
dodatkowego atakującego (z dodatkowego komputera). Również zapamiętać obraz okna programu
Wydajność ( Performance) uzyskany po stronie atakowanego. Po kolejnych 20 sekundach
wzmocnić atak wprowadzając trzeciego atakującego. Zapamiętać obraz okna programu
Wydajność ( Performance) uzyskany po stronie atakowanego. Po kolejnych 20 sekundach przerwać
atak. W czasie realizacji zadań wymienionych w tym punkcie nie należy uruchamiać snifera.
W sprawozdaniu zamieścić charakterystyczne dla przeprowadzonego ataku obrazy okien
programu Wydajność ( Performance) uzyskane po stronie atakowanego. Zaznaczyć na tych
obrazach
elementy
istotne
dla
zrozumienia
charakterystyki
przeprowadzonego
ataku.
Skomentować
wyniki.
W
sprawozdaniu
należy
zamieścić
również
charakterystykę
przeprowadzonego ataku odwołując się w niej do zamieszczonych w sprawozdaniu okien
uzyskanych podczas realizacji punktów 1 i 2. jako ilustracji. Przedstawić wnioski z przedstawionych
obserwacji.
Zadanie 2 Atak UDP Flood
1. Na komputerze atakowanym uruchomić sniffer, w trybie analizy na bieżąco. Pożądane jest
włączenie filtra , który ograniczy ilość zbieranych pakietów.
Z komputera atakującego przeprowadzić pseudoatak przy pomocy programu UDPFlood,
uruchamianego z konsoli tekstowej. Pseudoatak przeprowadzić na jeden dowolnie wybrany
zamknięty port UDP komputera atakowanego. Pseudoatak ograniczyć do wysłania 30 pakietów. Po
zakończeniu takiego pseudoataku zakończyć zbieranie pakietów przez snifer.
W sprawozdaniu zamieścić charakterystyczne dla przeprowadzonego ataku obrazy okien
snifera uzyskanych po stronie atakowanego. Zaznaczyć na tych obrazach elementy istotne dla
zrozumienia charakterystyki przeprowadzonego ataku. Skomentować wyniki.
2. Z komputera atakującego przeprowadzić atak przy pomocy programu UDPFlood. Atak
przeprowadzić na jeden dowolnie wybrany, zamknięty port UDP komputera atakowanego (bez
ograniczania liczby pakietów i bez ich opóźniania). Zapamiętać obraz okna programu Wydajność
( Performance) uzyskany po stronie atakowanego. Po 20 sekundach wzmocnić atak wprowadzając
dodatkowego atakującego (z dodatkowego komputera). Również zapamiętać obraz okna programu
Wydajność ( Performance) uzyskany po stronie atakowanego. Po kolejnych 20 sekundach
wzmocnić atak wprowadzając trzeciego atakującego. Zapamiętać obraz okna programu
Wydajność ( Performance) uzyskany po stronie atakowanego. Po kolejnych 20 sekundach przerwać
atak. W czasie realizacji zadań wymienionych w tym punkcie nie należy uruchamiać snifera.
W sprawozdaniu zamieścić charakterystyczne dla przeprowadzonego ataku obrazy okien
programu Wydajność ( Performance) uzyskane po stronie atakowanego. Zaznaczyć na tych
obrazach
elementy
istotne
dla
zrozumienia
charakterystyki
przeprowadzonego
ataku.
Opracował: Zbigniew SUSKI
Skomentować
wyniki.
W
sprawozdaniu
należy
zamieścić
również
charakterystykę
przeprowadzonego ataku odwołując się w niej do zamieszczonych w sprawozdaniu okien
uzyskanych podczas realizacji punktów 1 i 2. jako ilustracji. Przedstawić wnioski z przedstawionych
obserwacji.
Zadanie 3 Badanie obciążalności zasobów
Przeprowadzić badanie przy pomocy programu Assault dla kilku znacząco różnych natężeń
wysyłanych pakietów (parametr PPS) i tej samej wielkości pakietu ICMP (1kB). Określić
doświadczalnie poziom natężenia wysyłanych pakietów, przy którym daje się zauważyć istotne
zwiększenie zużycia zasobów systemu atakowanego. Dokonać również doświadczalnego
określenia granicznego poziomu natężenia wysyłanych pakietów po przekroczeniu, którego nie
obserwuje się już dalszego wzrostu obciążenia zasobów systemu atakowanego. Wyjaśnić to
zjawisko.
W sprawozdaniu należy zamieścić obraz okna programu Wydajność ( Performance) uzyskane po
stronie atakowanego w sześciu istotnych, rozróżnialnych przypadkach. Przedstawić wnioski z
przedstawionych obserwacji.
Opracował: Zbigniew SUSKI