DoS - Øvelse

# Indledning Denne øvelser har det overordnede mål at fordybe dig i anvendelsen af grundlæggende værktøjer til udførelse og detektion af et DoS-angreb. Det er vigtigt at få indsigt i hvordan disse angreb kan foretages dette for bedre at kunne forsvare vores systemer mod potentielle trusler. Er du klar til at tage udfordringen op? Kør disse øvelser lokalt på din maskine (mellem virtuelle maskiner eller en virtuel maskine og værts-pc'en). Alternativt kan du køre dem mod en klassekammerats computer med en direkte netværksforbindelse. Kør ikke øvelserne over Wi-Fi, og især ikke mod en ekstern målcomputer. Du vil bruge `hping3` på Kali til at udføre DoS-angrebet. På den berørte maskine (Target) skal du have tcpdump, Wireshark og Task Manager eller tilsvarende. ## Udfør SYN-flod Target PC - Start Wireshark og indstil den til at overvåge den interface, pakkerne vil komme ind på. Du vil bruge dette til at analysere trafikken. - Start tcpdump (eller tshark) og optag angrebet i en fil. - På Kali PC - Brug `man hping3` for at se på de forskellige muligheder for hping3. Hvad gør følgende parametre? --flood (hvad sker der, hvis du undlader dette?) -p -S -s Udfør angrebet ved at bruge IP-adressen på målmaskinen <192.168.1.2>: ```bash hping3 --flood -p 80 -S 192.168.1.2 ``` På Target PC - Tjek Task Manager, hvad er CPU-brugen? - Hvad sker der i Wireshark?" På Kali PC - Brug ctrl-c for at annullere angrebet. - Hvor mange pakker blev sendt? - Modtog du nogen svar? På target PC - Stop tcpdump. - Hvor stor er den gemte fil? - I Wireshark skal du bruge statistik til at se på egenskaberne af sporet. - Hvad er tidsintervallet for optagelsen? - Hvad er gennemsnittet af pakker pr. sekund? - Gennemsnitlige bytes pr. sekund?" ## UDP- og ICMP-flod Gentag eksperimentet ved at udføre en UDP-flod og en ICMP-flod. ## Spørgsmål Overvej, hvordan du eventuelt kan opdage eller skelne disse angreb i dine systemer. Hvad er forskellen på: (Netværksindikatorer) - Trafikmønstre? - Indholdet af data (payloads)? - IP- eller portinformation? (Værtindikatorer) - Forbindelser - CPU-brug - Båndbredde Hvilke andre tegn kan hjælpe med at opdage angrebet? Kan nogen af disse angreb bruges som reflekterede angreb? Hvordan? ## Play time Undersøg mulighederne i hping3. Prøv nogle parametre som at ændre angrebsporten, spoofed IP adressen osv. Hvordan ændrer det indikatorerne ovenfor?