版权声明:本文为博主原创文章,未经博主允许不得转载! https://blog.csdn.net/qq_36374896/article/details/83316843
0x01 环境
共包含三台主机
一台centos7.3 为attact主机,装有python +Scapy
一台centos7.3,server,装有bind9 ntp memcached,作为DDOS攻击的反射器
一台windwos,作为被攻击方,来分析 攻击数据
一、BIND9的安全配置
1、 限制或禁止域名递归查询
编辑配置文件vi /etc/named.conf
option {}中加入下列限制
recursion no; //禁止递归查询
配置后,重启服务
systemctl restart named
登录attact机器,使用dig查询
dig any baidu.com @x.x.x.x
2、bind服务器限速配置
编辑配置文件
vi /etc/named.conf
在option 下加入
rate-limit {
ipv4-prefix-length 32;
window 10;
responses-per-second 20;
errors-per-second 5;
nxdomains-per-second 5;
slip 2;
};
配置后需重启服务
同学们可以编写shell脚本或python脚本 ,使用dig或scapy快速查询。观察配置效果。shell脚本可以参ssl攻击脚本 ,python脚本可以参照之前send_ntp
二、NTP安全配置
NTP被利用的本质就是monlist功能,直接禁用掉
vi /etc/ntp.conf
disable monlist //关闭monlist功能
restrict 192.168.164.0 mask 255.255.255.0 notrust nomodify notrap noquery //禁止向网段 192.168.164.0/24提供服务
配置后,重启服务,再次验证攻击
三、memcached配置
memcached默认启动UDP端口。在启动memcached时,
不要使用
systemctl start memcached
使用下列命令代替,-U 0 (大写U)表示禁止启动UDP端口
/usr/bin/memcached -u memcached -p 11211 -U 0 -m 64 -c 1024
同时替代方案也有多种
可以使用iptables过滤相应端口
可以使用memcached的认证功能等。