BM00014——|bookmarks|基于HydraDDOS模拟黑客暴力破解linux用户名和密码/设置防御规则|

一、Hydra软件概念剖析

Hydra是著名黑客组织thc的一款开源的暴力密码破解工具，可以在线破解多种密码。 Hydra中文翻译为：九头蛇，它是一款爆破神器。可以对多种服务的账号和密码进行爆破，包括Web登录、数据库、SSH、FTP等服务。

Hydra支持Linux、Windows、Mac平台安装和部署，部署方法和步骤也非常简单，其中Kali Linux中自带Hydra。Hydra官 网：http://www.thc.org/thc-hydra

可支持AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET,HTTP-FORM-POST,HTTP-GET,HTTP-HEAD,HTTP-PROXY,HTTPS-FORM-GET,HTTPS-FORM-POST,HTTPS-GET,HTTPS-HEAD, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL , NCP, NNTP, Oracle Listener , Oracle SID, Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, SAP/R3, SIP, SMB, SMTP, SMTP Enum, SNMP, SOCKS5, SSH (v1 and v2), Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC and XMPP等类型密码。

二、黑客攻击Linux服务器&漏洞修复实战

1、在企业生产环境中，黑客攻击Linux服务器（业务系统、门户网站、数据等）常见的攻击手段，攻击方式有哪些呢/p>

• SQL注入攻击
• CC网页攻击
• SYN Flood攻击
• 勒索病毒攻击
• 上传木马文件
• DDOS攻击
• 暴力破解攻击

2、模拟Hydra暴力破解Linux服务器

• 设置防御规则抵挡黑客攻击&反攻击实战；

• 学习Linux技术，后期从事Linux运维方面的工作，作为运维人员最主要的工作职责之一：保障企业服务器、门户网站、业务系统、数据库等高效的、稳定的、安全的运行，一旦被黑客攻击，能够第一时间去解决漏洞&补丁修复等。

• 暴力破解攻击是黑客人员最常使用的攻击方式之一，暴力破解的实施门槛、难度很低，其攻击效果非常明显，一旦服务器被黑客暴力破解，直接导致服务器的用户名和密码被泄露。

• 暴力破解攻击原理：黑客使用暴力破解工具（Hydra）攻击Linux服务器，批量的、并发的读取用户名字典、密码字典文件，企图以字典中的用户名和密码远程SSH登录到目标服务器，扫描、试探出远程Linux服务器正确的用户名和密码。

• Hydra是一款开源的、免费的暴力破解工具，是由THC世界著名的黑客组织对外开源的，Hydra主要是用于破解Linux服务器、门户网站、数据库、文件服务器等的用户名和密码。

三、Hydra部署安装操作：

1、基于CentOS7.x Linux操作系统，从0开始构建一套Hydra软件平台，主要是基于MAKE源码编译方式，部署的步骤和方法如下：

2、基于Hydra工具暴力破解远程Linux服务器：192.168.1.58，通过用户名和密码字典破解Linux服务器正确的用户名和密码，获取其超级特权权限，操作的指令如下：

攻击端IP：192.168.1.60
目标端IP：192.168.1.61

四、设置防御规则抵挡黑客攻击&反攻击实战

1、黑客使用Hydra暴力破解Linux服务器，Linux服务器会做什么反应和操作呢inux服务器会做如下操作：

• Linux会打开安全日志文件；
• 通过安全日志文件记录黑客的IP地址；
• 记录黑客攻击时使用的用户名，不会记录密码；
• 记录黑客攻击的时间节点，攻击的状态成功or失败。

2、作为运维人员来讲，一旦Linux服务器遭受黑客暴力破解，根据服务器的操作、记录做出相应的策略和方法，具体能做哪些操作呢/p>

• 找出Linux安全日志文件名称和位置；
• 查找、过滤出黑客的IP地址
• 统计、分析哪些黑客攻击次数最高，将其加入到Linux黑名单
• 对linux服务器进行漏洞修复和弥补，
• 对黑客的IP实施反攻击。

2.1、查找Linux服务器安全日志文件的位置

2.2、查找，过滤出黑客的IP地址：

关键词：filed password；authentication failure关键词；可能是黑客的ip地址；表示远程ssh远程登录失败

2.3、如何将黑客IP访问次数排前20名的IP打印出来：

2.4、将黑客的IP地址打印出来并加入到黑名单

查看加入到黑名单的列表的IP地址：

一、DDOS攻击概念&黑客攻击

1、DDOS是分布式拒绝服务攻击，是黑客人员最常使用的攻击方式之一；
DDOS攻击的原理：是模拟数以万计的计算机（客户端），向目标服务器发起请求（HTTP，TCP，ICMP，ARP），企图耗尽目标服务器的资源，目标服务器资源耗尽从而拒绝提供任何服务。

2、DDOS SYN Flood攻击，也被称为洪水攻击，基于TCP协议去实现；

• SYN Flood攻击原理：黑客人员模拟数以万计的计算机（客户端），批量的，并发的向目标服务器发起SYN新建请求+Seq序列号x，突然假死宕机，目标服务器收到之后会进行响应的处理，服务端也会向客户端发起SYN请求+Seq序列号Y+ACK确认号（x+1）。
• 因为客户端突然假死和宕机，客户端是无法向服务端进行第三次握手的确认，所以服务端会一直处于等待状态，等客户端的确认，服务端为了维持数以万计的半连接请求而耗尽资源（CPU，MEM，DISK，NET），拒绝提供任何服务，连正常的用户请求也无法处理了。

3、DDOS攻击实战：
新版本的Hping既Hping3可使用Tcl语言编写脚本，实施了一个引擎，可用于对TCP/IP数据包进行基于字符串，人可读的描述，那样编程人员就能编写与很短的时间内对TCP/IP数据包执行底层处理和分析有的脚本，以通过Hping3来实施分部署服务攻击（DDOS）。使用Hping3从源头IP发起DOS攻击，这意味着：

• 你是用Hping3执行拒绝服务攻击（即DOS）
• 你隐藏你的a$$(我是指你的源头IP地址）。
• 你的目标及其看到的随机随机性源头IP地址中的源头，而不是IP地址（IP伪装）
• 你的目标及其会在5分钟里面不堪重负，停止响应。

二、hping3程序make编译部署，yum部署；
1、yum部署Hping3软件库：

2、源码部署Hping3软件库：

3、Hping发起DDOS攻击，如何抓包分析并设置防御规则：

三、模拟DDOS去攻击目标服务器：

1、模拟用户正常访问一个网站抓取包分析三次握手，四次挥手的状态：

2、模拟黑客攻击一个网站抓取包分析三次握手，四次挥手的状态：

问题一：

文章知识点与官方知识档案匹配，可进一步学习相关知识CS入门技能树来源：yanqi_vip