多线程SYN攻击工具0.2版,加了MAC伪装

skylove

原帖由 platinum 于 2007-1-29 13:19 发表于 30楼  

既然 IP 固定了，怎么叫“对方的防御武器，有时候就是更顺手的攻击渠道”啊？
对方如果有防御武器，过滤这种固定源 IP 的包再简单不过了

对啊，就是让对方的防御武器，阻止掉对方机器自己的网关机啊。。。

platinum

原帖由 skylove 于 2007-1-29 18:31 发表于 31楼  


对啊，就是让对方的防御武器，阻止掉对方机器自己的网关机啊。。。

这可能要看怎么杀的了吧？
是禁止 IP 还是禁止 IP + port？不得而知了……

ssffzz1

方法不错,如果指定源IP后从网络内部发起攻击,内部机器的防火墙如何过滤掉网关IP.攻击的端口是随机的.

colddawn

原帖由 skylove 于 2007-1-29 12:33 发表于 29楼  
来个恶意建议：加个选项，把源syn发起地址ip伪装成对方机器的网关ip地址。。。

对方的防御武器，有时候就是更顺手的攻击渠道。。。

这是个超级无用的建议，你想想看你平常使用的机器收到的包源IP地址是网关IP吗？

skylove

原帖由 colddawn 于 2007-1-30 09:18 发表于 34楼  


这是个超级无用的建议，你想想看你平常使用的机器收到的包源IP地址是网关IP吗？

当然不是啊。。。所以自然是可以在机器上设置阻止来源地址为网关ip的包访问该机啊。。。只是一阻止的话，起码其他用户想traceroute到该主机就没办法了哟   ，而且可以利用的并非只有第一个网关而已，我们数据到对方机器，中间历经的每个路由器都可以伪造成攻击源ip。 以上的做法虽然对真实的攻击效果并无影响，但对后面的问题排查绝对会造成一定程度的拖延。

真正的杀着是想要让用户在告之isp的时候，给isp帮助用户调试的时候制造一点点小麻烦（因为从isp/用户的角度来看待，攻击方的某些ip显示的是上一个/上上一个/上上上一个路由器地址！？）~~~如果攻击的源地址恰好设置为某几段零星地址+ 某个中间路由器乃至网关地址，会让用户产生动摇相信确实有可能是某某中间路由设备被人所操控来对自己攻击的。这样就会导致用户在愤怒之余容易在投诉过程中与isp发生争执或冲突，进而影响isp人员处理该事的效率和协助态度啊~~~而isp的态度越消极，对攻击方反动之后的持续攻击就越有利。攻击的背后，最大程度能被利用的攻击对象是人，在特殊情形下的“不信任感”和“责任推卸感”可是很好被利用的哟

所以，既然伪造任何源ip，对攻击方的实施成本都是基本等效的，那么不妨在第一次实施攻击的时候，将源地址设置为对方网关ip，第二次的时候设置为中间路由段的ip，第三次的时候再真正实施攻击（每次时间间隔上半日左右）。。。实施效果会更好一些

colddawn

发现你的逻辑越来越混乱了

原帖由 skylove 于 2007-1-30 10:16 发表于 35楼  


当然不是啊。。。所以自然是可以在机器上设置阻止来源地址为网关ip的包访问该机啊。。。

这样不就可以封住所有synflood包了么，攻击不就失效了么

只是一阻止的话，起码其他用户想traceroute到该主机就没办法了哟   ，而且可以利用的并非只有第一个网关而已，我们数据到对方机器，中间历经的每个路由器都可以伪造成攻击源ip。 以上的做法虽然对真实的攻击效果并无影响，但对后面的问题排查绝对会造成一定程度的拖延。

再复杂能有随机伪装源IP复杂？哪怕你伪装了20个途径路由，因为这些路由器绝对不会访问我服务器的服务的，因此我只需封掉这20个路由的IP即可解决你的synflood。

真正的杀着是想要让用户在告之isp的时候，给isp帮助用户调试的时候制造一点点小麻烦（因为从isp/用户的角度来看待，攻击方的某些ip显示的是上一个/上上一个/上上上一个路由器地址！？）~~~如果攻击的源地址恰好设置为某几段零星地址+ 某个中间路由器乃至网关地址，会让用户产生动摇相信确实有可能是某某中间路由设备被人所操控来对自己攻击的。这样就会导致用户在愤怒之余容易在投诉过程中与isp发生争执或冲突，进而影响isp人员处理该事的效率和协助态度啊~~~而isp的态度越消极，对攻击方反动之后的持续攻击就越有利。攻击的背后，最大程度能被利用的攻击对象是人，在特殊情形下的“不信任感”和“责任推卸感”可是很好被利用的哟  

99%的路由器即使被控制，也决不会发出synflood的，会发synflood的一般都是肉鸡，因此ISP立刻就可以判断是否自己的路由器被控制，而且ISP可以通过链路流量跟踪到源链路端口，更容易看清流量是来自网内还是出口。这么明了的事情还容易扯皮？

所以，既然伪造任何源ip，对攻击方的实施成本都是基本等效的，那么不妨在第一次实施攻击的时候，将源地址设置为对方网关ip，第二次的时候设置为中间路由段的ip，第三次的时候再真正实施攻击（每次时间间隔上半日左右）。。。实施效果会更好一些   

既然已经全随机那为什么还要“再”伪装网关？说的粗俗一些，这不是脱裤子放屁么，sorry，应该是穿2条裤子上班更恰当。

[ 本帖最后由 colddawn 于 2007-1-30 13:13 编辑 ]

broceliu

broceliu

  用过了  是整人的工具    说什么dst cache overflow  好象是        可是目标主机死机   够狠   键盘都没法用

broceliu

想看下源代码  LZ 分享下

aaronyou

期待 继续，关注。标记一下