yusuf-husayn/dos-ddos-lab

GitHub: yusuf-husayn/dos-ddos-lab

一个基于 Kali Linux 与 Metasploitable2 构建的实操 DoS/DDoS 攻击与防御实验室,涵盖多种洪水攻击模拟及 Wireshark 深度流量分析。

Stars: 1 | Forks: 0

# DoS 与 DDoS 攻击基础 — Kali Linux 与 Metasploitable 实验室 流量分析 • Wireshark • hping3 • Bash 与 Python 自动化 • TCP/IP ![GitHub](https://img.shields.io/badge/GitHub-Portfolio-black?logo=github) ![Platform](https://img.shields.io/badge/Platform-Linux-blue) ![Wireshark](https://img.shields.io/badge/Wireshark-Traffic%20Analysis-blue) ![hping3](https://img.shields.io/badge/hping3-Traffic%20Generation-orange) ![License](https://img.shields.io/badge/License-MIT-green) ![VMware](https://img.shields.io/badge/VMware-Lab-blue?logo=vmware) ![Python](https://img.shields.io/badge/Python-3-blue?logo=python) ![Status](https://img.shields.io/badge/Status-Completed-brightgreen) ## 信息 | 字段 | 值 | | ---------- | -------------------------------------------------------------- | | 主题 | 拒绝服务 (DoS) 与 分布式拒绝服务 (DDoS) | | 平台 | 个人实验室/RootX | | 难度 | 中级到高级 | | 作者 | Yusuf Muhammad Husayn Ramadan | | 日期 | 2026年7月2日 | ## 目标 以完整的技术细节记录一个完全使用 Kali Linux 和 Metasploitable2 构建的实操 DoS/DDoS 实验室:包含 ICMP、SYN、HTTP、TCP 和 Ping-of-Death 洪水攻击的工作流,每种攻击在本地模拟的多源("DDoS")变体,针对每个阶段的完整 Wireshark 流量分析,以及适用的防御措施。 ## 仓库结构 ``` dos-ddos-lab/ ├── README.md ├── LICENSE ├── .gitignore ├── images/ └── scripts/ ├── bash/ └── python/ ``` ## 目录 1. 前置条件 2. 介绍 3. 实验环境 4. 网络拓扑 5. 实验工作流 6. 使用的工具与脚本 7. 攻击类型 - ICMP 洪水 - SYN 洪水 - HTTP 洪水 - TCP 洪水 - Ping of Death 8. 模拟 DDoS 阶段 9. 流量分析 (Wireshark) 10. 缓解技术 11. 攻击总结 12. 经验教训 13. 未来改进 14. 展示的技能 15. 截图索引 16. 数据包捕获索引 17. 实验室局限性 18. 结论 19. 参考文献 ## 1. 前置条件 - VMware Workstation / VirtualBox - Kali Linux (攻击者) - Metasploitable2 (受害者) - Wireshark - hping3 - tmux - Python 3 - Bash ## 2. 介绍 拒绝服务 攻击旨在通过耗尽 CPU、内存或网络带宽等资源,使合法用户无法访问目标服务或基础设施。与数据泄露不同,其目的是破坏,而不是窃取。 DoS 攻击源于单台机器,使用单一 NIC、处理器和内存池。分布式拒绝服务 攻击利用多个源同时针对单一受害者进行扩大规模,这既增加了流量大小,也增加了缓解的难度。在本实验室中,DDoS 阶段是通过从一个攻击者主机(经由 `tmux` 会话运行)进行并发多进程洪水攻击来近似实现的,以观察其影响和流量特征与单流 DoS 之间的差异。

Lab Topology

图 00. 整体实验室拓扑,显示了 Kali Linux 攻击者、Metasploitable2 目标,以及在隔离的虚拟网络中的 Wireshark 流量捕获。

## 3. 实验环境 **攻击机** - Kali Linux - hping3、tmux、Python 3、自定义 Bash 脚本 **受害机** - Metasploitable2 - Apache2(在测试期间手动启动/停止以比较服务状态) **数据包分析器** - Wireshark,在 Kali 主机上运行,用于捕获实验室接口上的流量 **网络** VMware Workstation 虚拟网络。 攻击者:NAT 适配器 目标:Host-Only 适配器 每次实验前都已验证了连通性。 ### 寻址 Kali Linux 攻击机虚拟机配置了 NAT 网络适配器,用于互联网访问和包管理。Metasploitable2 目标虚拟机连接到隔离的 Host-Only 网络,用于攻击演示。 |设备|IP 地址| |---|---| |Kali Linux (攻击者)|192.168.12.128 (NAT)| |Metasploitable2 (受害者)|192.168.1.25 (Host-Only)| 每次实验前,都使用 ICMP echo 请求和应用层服务检查验证了攻击者与目标虚拟机之间的连通性。 ### 网络说明 该实验室是在 VMware 内部使用隔离的虚拟网络进行的。攻击者和目标虚拟机被配置为通过虚拟网络进行通信,同时与外部系统保持隔离。 ## 4. 网络拓扑 ``` graph TD A[Kali Linux - Attacker VM
192.168.12.128] -->|ICMP / TCP / HTTP| B[Metasploitable2 - Apache2 Target
192.168.1.25] A -->|Local Capture| C[Wireshark - Same Host as Attacker] ``` Wireshark 直接在 Kali 攻击主机上本地运行,而不是在单独的捕获虚拟机上运行,捕获实验室接口上的出站攻击流量和入站回复。 ## 5. 实验工作流 ``` graph LR A[Verify Connectivity - ip a / ping] --> B[Start Target Service - Apache2] B --> C[Capture Baseline Traffic] C --> D[Run Single-Source DoS per Attack Type] D --> E[Run Simulated Multi-Source DDoS per Attack Type] E --> F[Capture & Save pcapng per Stage] F --> G[Analyze in Wireshark] G --> H[Compare Against Baseline] H --> I[Review Mitigation Options] ``` **基准捕获**是在生成任何攻击流量之前获取的 (`01-baseline.pcapng`),因此随后的每一次捕获都可以与正常流量模式进行比较,而不是孤立地分析。

Baseline Traffic Capture

图 01. 在任何攻击活动之前捕获的基准网络流量,提供了用于比较的参考。

目标端验证是通过在 Metasploitable2 上启动和停止 Apache2(`sudo /etc/init.d/apache2 start` / `stop`)并在每次与 HTTP 相关的测试前后使用 `netstat -antp | grep 80` 检查监听状态来执行的,以独立于攻击流量本身确认服务状态。 ## 6. 使用的工具与脚本 ### Kali Linux 用于所有流量生成和捕获的基础攻击者平台。 ### hping3 用于手工制作并发送洪水般的 ICMP、SYN 和超大 ICMP (Ping of Death) 数据包。 ### Wireshark 用于每个阶段的实时捕获和攻击后分析,按协议进行过滤。 ### tmux 用于在不同的窗格/会话中并发运行多个洪水进程,模拟来自单一主机的分布式攻击量。在进入下一种攻击类型之前,会话会被彻底拆除(`tmux kill-session` / `tmux kill-server`)。 ### 自定义脚本(`scripts/bash` 和 `scripts/python`) |脚本|目的| |---|---| |`00-icmp-ddos-script.sh`|通过 tmux 启动多个并发的 ICMP 洪水进程,以模拟分布式 ICMP 洪水量| |`01-syn-ddos-script.sh`|通过 tmux 启动多个并发的 SYN 洪水进程,以模拟分布式 SYN 洪水量| |`02-http-ddos-script.sh`|通过 tmux 启动多个并发的 HTTP 洪水进程,以模拟分布式 HTTP 洪水量| |`03-pod-ddos-script.sh`|通过 tmux 启动多个并发的超大 ICMP (Ping of Death 样式) 进程| |`04-tcp-ddos-script.sh`|通过 tmux 启动多个并发的 TCP 洪水进程| |`00-tcp-data-flood.py`|基于 Python 的 TCP payload 洪水生成器| |`01-botnet.py`|协调多个本地洪水进程的 Python 脚本,用于模拟针对单一目标的分布式源模式| |`02-http-ddos.py`|HTTP DDoS 脚本使用的、基于 Python 的 HTTP 请求生成器| ## 7. 攻击类型 ### DoS 与 DDoS 对比(在本实验室中测试) |指标|DoS 阶段|模拟 DDoS 阶段| |---|---|---| |源数量|单一 hping3/脚本进程|通过 tmux 在同一主机上运行多个并发进程| |检测复杂度|可见度高,容易追溯至单一数据流|流量更大,需要关联的连接数/秒更多| |流量大小|受限于单一进程/接口|按并发进程数成倍增加| |现实世界对等物|单一攻击者|近似于分布式的流量,但并非分布式源 IP| ### ICMP 洪水 **概述** 向目标发送大量 ICMP Echo Request 数据包。目标尝试处理并回复每一个数据包,从而消耗带宽和网络协议栈的 CPU 周期。 **攻击工作流** ``` sequenceDiagram participant A as Kali (Attacker) participant V as Metasploitable2 (Victim) A->>V: ICMP Echo Request (flood) V-->>A: ICMP Echo Reply Note over V: Bandwidth and CPU load increase with flood rate ``` **影响** 受害者网络协议栈上的带宽使用和处理负载增加,在 IO Graph 中表现为攻击窗口期间的流量激增。 **Wireshark 分析**

ICMP 洪水 DoS

图 02. Wireshark 中捕获的单一源 ICMP 洪水,显示了连续不断的 ICMP Echo Request 数据包流。

ICMP DDoS Script Execution

图 03. 使用多个并发 tmux 会话执行 ICMP 洪水模拟脚本。

ICMP Flood Simulated DDoS

图 04. 模拟的多进程 ICMP 洪水产生了比单一源攻击高得多的数据包速率。

**主要发现** ICMP 洪水是最容易检测和过滤的攻击类型,因为合法的 ICMP 流量通常非常低;DDoS 阶段的不同主要在于数据包速率,而不在于特征签名。 ### SYN 洪水 **概述** 利用 TCP 三次握手。攻击者发送大量 SYN 数据包,且从不发送最后的 ACK 完成握手,使连接保持半开状态,直到受害者的连接队列被耗尽。 **攻击工作流** ``` sequenceDiagram participant C as Legitimate Client participant S as Server participant A as Attacker (Kali) C->>S: SYN S-->>C: SYN-ACK C->>S: ACK Note over C,S: Connection established A->>S: SYN (repeated, flood) S-->>A: SYN-ACK (allocates memory) Note over S: No ACK received — connection stays half-open ``` **影响** 耗尽服务器的连接队列,可能阻止或减慢新的合法连接。 **Wireshark 分析**

SYN 洪水 DoS

图 05. 单一源 SYN 洪水,显示了重复的 SYN 数据包,且未完成 TCP 三次握手。

SYN DDoS Script Execution

图 06. 跨多个并发进程执行 SYN 洪水模拟脚本。

SYN Flood Simulated DDoS

图 07. 模拟的 SYN 洪水,展示了半开 TCP 连接数量的增加。

**主要发现** SYN 洪水可以通过过滤捕获中的 SYN/ACK 不对称性以及攻击窗口期间半开连接数量的增加来识别。 ### HTTP 洪水 **概述** 针对运行在 Metasploitable2 上的 Apache2 服务,使用结构合法的 HTTP 请求攻击应用层(第 7 层)。在网络层,这些请求与合法流量无法区分,因为其目的是耗尽应用端资源,而不是原始带宽。 **攻击工作流** 向目标的 Web 服务发送重复的 HTTP GET 请求。在 DDoS 阶段,基于 Python 的生成器(`02-http-ddos.py`)会在多个进程中并发发起请求。 **影响** 应用级资源压力(Apache 工作进程、连接处理),而不是纯粹的带宽耗尽。在测试前、测试中和测试后,均独立使用 `netstat -antp | grep 80` 验证了服务状态。 **Wireshark 分析**

HTTP 洪水 DoS

图 08. 单一源 HTTP 洪水,显示了发送到目标 Web 服务器的高速率 HTTP GET 请求。

HTTP Request Headers

图 09. 在应用层洪水攻击分析期间捕获的 HTTP 请求标头。

HTTP DDoS Script Execution

图 10. 启动多个并发请求生成器的 HTTP 洪水自动化脚本。

HTTP Flood Simulated DDoS

图 11. 模拟的 HTTP 洪水对 Apache2 服务产生了大幅提升的请求速率。

**主要发现** 仅在网络层,第 7 层洪水是最难与真实用户区分的攻击类型;在本实验室中,请求速率异常和连接并发性是最明显的信号,而不是数据包级别的结构。 ### TCP 洪水 **概述** 一种使用精心制作的 payload 数据(`00-tcp-data-flood.py`)的通用 TCP 层洪水攻击,它通过建立并保持带有数据 payload 的连接,使目标的连接能力饱和,超越了简单的 SYN 洪水。 **攻击工作流** 攻击者向目标打开 TCP 连接,并发送洪水般速率的 payload 数据,从而消耗受害者的连接槽位和处理时间。 **影响** 对受害者造成带宽和连接表的双重压力,生成成本高于纯 SYN 洪水,但受害者第一眼更难将其与合法数据传输区分开来。 **Wireshark 分析**

TCP 洪水 DoS

图 12. 单一源 TCP 洪水向目标传输连续的 payload 数据。

TCP DDoS Script Execution

图 13. 跨多个并发进程执行 TCP 洪水模拟脚本。

TCP Flood Simulated DDoS

图 14. 模拟的 TCP 洪水,展示了增加的连接量和 payload 吞吐量。

**主要发现** 包含 payload 数据的 TCP 洪水生成时所消耗的资源更多,但其产生的流量比仅有 SYN 的洪水看起来更接近合法数据传输,这使得仅从数据包标头对其进行分类排查稍微困难一些。 ### Ping of Death **概述** 从历史上看,超大或格式错误的碎片 ICMP 数据包可能会在重组期间导致缓冲区溢出,从而使旧系统崩溃。本实验室重现了经典的超大 ICMP 数据包模式(`hping3 -1 -c 10 -d 65495 -w 65495`),针对 Metasploitable2 目标,以观察现代 Linux 网络协议栈如何处理它。 **攻击工作流** 将达到或接近最大 IP 数据包大小的超大 ICMP Echo Request 数据包发送到目标进行重组。 **影响** Metasploitable2 接受了超大的 ICMP 流量而没有崩溃。数据包捕获显示,格式错误的分片被网络协议栈丢弃,证明了对历史 Ping of Death 攻击的抵御能力。 **Wireshark 分析**

Ping of Death DoS

图 15. Ping of Death 演示期间生成的超大 ICMP 数据包。

Ping of Death DDoS Script Execution

图 16. 使用多个并发进程执行 Ping of Death 模拟脚本。

Ping of Death Simulated DDoS

图 17. Wireshark 中捕获的模拟多进程 Ping of Death 流量。

**主要发现** 针对完全打补丁的现代内核,这种攻击主要是一个历史性的案例研究,但对于像 Metasploitable2 这样较旧或存在特定漏洞的目标仍然是一个有用的测试,该系统为了训练目的被故意保留未打补丁的状态。 ## 观察到 Metasploitable2 由于现代内核处理机制丢弃了格式错误的分片,确认其对旧版 PoD 攻击具有抵抗力。 ## 8. 模拟 DDoS 阶段 上述每种攻击类型都使用相应的 `*-ddos-script.sh` 重新运行,该脚本会打开多个 `tmux` 窗格,并针对同一目标同时从每个窗格启动一个洪水进程。这虽然源于单一源 IP,但近似于分布式攻击的流量 _规模_ —— 这与真正的多主机 DDoS 有着明显的区别,值得在毕业项目答辩时明确指出。 在进入下一种攻击类型之前,每个 DDoS 阶段脚本都会在捕获后使用 `tmux kill-session -t ddos_simulation`(如果使用了多个会话,则使用 `tmux kill-server`)干净地终止,以避免各个阶段之间的捕获发生交叉污染。

Simulated DDoS Service Timeout

图 18. 在模拟 DDoS 阶段并行执行的多个并发 hping3 进程。Apache Web 服务变得暂时不可用,导致浏览器连接超时,而目标操作系统仍保持正常运行。

Service Unavailable During Simulated DDoS

图 19. 在模拟 DDoS 阶段,目标变得暂时不可达。ICMP echo 请求导致了 100% 的丢包,同时 Apache Web 服务返回了“无法连接”错误,证明了在没有使目标操作系统崩溃的情况下成功实现了服务中断。

## 9. 流量分析 (Wireshark) ### 使用的过滤器 |目的|过滤器| |---|---| |ICMP|`ip.addr == 192.168.1.25 && icmp`| |SYN|`ip.addr == 192.168.1.25 && tcp.flags.syn == 1 && tcp.flags.ack == 0`| |HTTP|`ip.addr == 192.168.1.25 && http`| |攻击后端口状态|`ip.dst == 192.168.1.25 && tcp.dstport == 80`| |TCP 重传|`tcp.analysis.retransmission`| |会话|Statistics > Conversations| ### 使用的统计视图 - 会话 - 端点 - IO Graph - 协议层次结构 ### 数据包捕获 每个阶段都保存到了专用的 `.pcapng` 文件中,以便可以独立重新分析流量: ``` Packet capture files 00-baseline.pcapng 01-icmp-dos.pcapng 02-syn-dos.pcapng 03-http-dos.pcapng ••• 10-tcp-ddos.pcapng ``` ## 10. 缓解技术 ### 服务级防御 (Apache2 / Metasploitable 风格的目标) - **mod_evasive / mod_security:** 在应用层检测并限制滥用请求模式的 Apache 模块。 - **连接/keep-alive 调优:** 降低 `Timeout` 和 `MaxKeepAliveRequests` 可减少单一洪水连接占据工作槽位的时间。 - **fail2ban:** 自动封禁产生异常连接或错误速率的源 IP。 ### 边缘防御 - **防火墙与 IPS:** 在边界丢弃未经请求的 ICMP 洪水和过多的半开连接等大体量模式。 - **速率限制:** 在时间窗口内限制每个源 IP 的请求数(例如通过 `iptables` `hashlimit` 或反向代理)。 - **SYN cookies:** 内核级缓解措施(`net.ipv4.tcp_syncookies`),避免在握手完成前为半开连接分配内存。 ### 基于云的清洗 对于面向互联网的生产服务,通过云端防御网络路由流量可以在恶意数据包到达源站服务器之前将其过滤: - Cloudflare - AWS Shield - Azure DDoS Protection ## 11. 攻击总结 |攻击|层级|目标|效果| |---|---|---|---| |ICMP 洪水|L3|网络|带宽/CPU 耗尽| |SYN 洪水|L4|TCP 协议栈|半开连接耗尽| |HTTP 洪水|L7|Apache2|应用资源耗尽| |TCP 洪水|L4|TCP 协议栈|连接 + 带宽耗尽| |Ping of Death|L3|网络协议栈|旧版缓冲区溢出(现代内核已缓解)| ## 12. 经验教训 - 如果没有 SYN-cookie 样式的保护,TCP 握手本质上容易受到资源耗尽的影响。 - ICMP 和 SYN 洪水很容易通过简单的过滤器在数据包捕获中识别出来;而 HTTP 洪水则不然。 - 即使没有真正的源分布,从单个主机模拟的多进程洪水攻击也能显著增加流量大小和影响。 - `tmux` 是一种在受控测试期间编排并干净拆除多个并发攻击进程的有效方法。 - 将捕获结果与真正的基准进行比较,使得随后的每一个异常都能被更自信地识别出来。 ## 13. 未来改进 - 使用真正独立的攻击虚拟机/主机而不是单主机模拟来重放 DDoS 阶段,以便将流量特征与分布式源 IP 进行比较。 - 在 Metasploitable2 前端部署 `mod_evasive` 或 WAF,并重新运行 HTTP 洪水,以定量测量缓解效果。 - 使用 Zeek 分析相同的捕获,并与手动 Wireshark 过滤的检测效果进行比较。 - 针对保存的 `.pcapng` 文件评估 Suricata/Snort 特征签名。 - 添加在每个攻击阶段捕获的响应时间/延迟测量(例如 `curl -w`)作为定量的影响指标。 - 在每个攻击阶段期间从攻击者和受害者主机收集 CPU、内存和网络利用率指标,以定量评估资源耗尽和服务影响。 ## 14. 展示的技能 - 网络流量分析 - Wireshark 数据包检查与过滤 - TCP/IP 协议分析 - HTTP 分析 - Linux 系统与服务管理 (Apache2、netstat) - Bash 脚本编写与进程编排 - 用于流量生成的 Python 脚本编写 - 漏洞服务实验室搭建 (Metasploitable2) - 防御性安全与缓解规划 ## 15. 截图索引 |#|文件|描述| |---|---|---| |00|`00-topology.png`|实验室拓扑| |01|`01-baseline.png`|基准流量捕获| |02|`02-icmp-dos.png`|ICMP 洪水 — 单一源| |03|`03-icmp-ddos-script.png`|ICMP DDoS 脚本执行| |04|`04-icmp-ddos.png`|ICMP 洪水 — 模拟多源| |05|`05-syn-dos.png`|SYN 洪水 — 单一源| |06|`06-syn-ddos-script.png`|SYN DDoS 脚本执行| |07|`07-syn-ddos.png`|SYN 洪水 — 模拟多源| |08|`08-http-dos.png`|HTTP 洪水 — 单一源| |09|`09-http-headers.png`|捕获的 HTTP 标头| |10|`10-http-ddos-script.png`|HTTP DDoS 脚本执行| |11|`11-http-ddos.png`|HTTP 洪水 — 模拟多源| |12|`12-tcp-dos.png`|TCP 洪水 — 单一源| |13|`13-tcp-ddos-script.png`|TCP DDoS 脚本执行| |14|`14-tcp-ddos.png`|TCP 洪水 — 模拟多源| |15|`15-pod-dos.png`|Ping of Death — 单一源| |16|`16-pod-ddos-script.png`|Ping of Death DDoS 脚本执行| |17|`17-pod-ddos.png`|Ping of Death — 模拟多源| |18|`18-simulated-ddos-service-timeout.png`| 模拟 DDoS — 并发攻击期间的浏览器超时| |19|`19-ddos-service-unavailable.png`|模拟 DDoS – 100% 丢包和服务不可用| ## 16. 数据包捕获索引 **下载完整的 PCAP 集合:** [Google Drive – 完整的 PCAP 集合](https://drive.google.com/drive/folders/1-iTdr49YMJAuqd9PS4xHblitj7w09v_2?usp=sharing) |文件|阶段| |---|---| |`00-baseline.pcapng`|攻击前基准流量| |`01-icmp-dos.pcapng`|ICMP 洪水 — 单一源| |`02-syn-dos.pcapng`|SYN 洪水 — 单一源| |`03-http-dos.pcapng`|HTTP 洪水 — 单一源| |`04-pod-dos.pcapng`|Ping of Death — 单一源| |`05-icmp-ddos.pcapng`|ICMP 洪水 — 模拟多源| |`06-syn-ddos.pcapng`|SYN 洪水 — 模拟多源| |`07-http-ddos.pcapng`|HTTP 洪水 — 模拟多源| |`08-pod-ddos.pcapng`|Ping of Death — 模拟多源| |`09-tcp-dos.pcapng`|TCP 洪水 — 单一源| |`10-tcp-ddos.pcapng`|TCP 洪水 — 模拟多源| ## 17. 实验室局限性 本实验室在隔离的 VMware 环境内模拟了 DoS 和 DDoS 行为。 攻击是从单个 Kali Linux 主机使用多个并发进程生成的,而不是地理分布的僵尸网络。 正如预期的那样,实验展示了服务降级和暂时性的应用层不可用,而不是操作系统的彻底崩溃。 这种行为准确地反映了在受控教育环境中进行 DoS/DDoS 测试的目标,其主要目的是耗尽应用和网络资源,而不是永久禁用目标操作系统。 实验室的目的是分析攻击行为、流量特征和防御技术,而不是重现互联网规模的 DDoS 攻击。 ## 18. 结论 本项目仅使用 Kali Linux 和 Metasploitable2 构建了一个完整、独立的 DoS/DDoS 实验室,涵盖了五种不同的攻击原语 —— ICMP洪水、SYN 洪水、HTTP 洪水、TCP 洪水和 Ping of Death —— 每一种都首先作为单一源 DoS 进行测试,然后通过 `tmux` 作为本地模拟的多进程 DDoS 进行测试。每个阶段都在 Wireshark 中独立捕获,并与干净的基准进行比较,从而能够清晰地识别第 3、4 和 7 层上每种攻击的流量签名。组合攻击阶段展示了对服务可用性的累积影响。项目以具体、诚实的局限性结尾 —— DDoS 阶段模拟的是流量规模,而不是真正的源分布 —— 并列出了一系列实际的后续步骤(多主机测试、WAF 部署、IDS 特征评估)以进一步扩展工作。 ## 交互式笔记 本项目的交互式版本(包括详细的学习笔记、解释和补充材料)可在 Notion 上获取。 🔗 [查看 Notion 文档](https://stellar-triangle-829.notion.site/DoS-DDoS-Attack-Fundamentals-Project-3914bb03d98b80fa824aecc78af4e580?source=copy_link) ## 19. 参考文献 - [OWASP 测试指南 — 拒绝服务测试方法](https://owasp.org/www-community/attacks/Denial_of_Service) - [CISA 与 MS-ISAC 联合指南 — 理解和应对 DDoS 攻击](https://www.cisa.gov/resources-tools/resources/understanding-and-responding-distributed-denial-service-attacks) - [Cloudflare 学习中心 — 第 7 层与第 4 层防御对比](https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/) - [Imperva 分布式拒绝服务](https://www.imperva.com/learn/ddos/denial-of-service/) - [Wireshark 文档](https://www.wireshark.org/docs/) - [Metasploitable2 文档](https://docs.rapid7.com/metasploit/metasploitable-2-exploitability-guide/) - [hping3 手册 (`man hping3`)](https://linux.die.net/man/8/hping3) ### 其他学习资源 - [如何使用 Kali Linux 执行 DDoS 攻击 | 教育教程](https://youtu.be/mGAd_bOri18?si=hn5R2VOMuFT4JIt8) - [DDoS 攻击详解 | 如何执行 DoS 攻击 | 道德黑客与渗透测试](https://youtu.be/04M8X-im3ac?si=e8yiqXIU-xPyy2nE) - [如何在新的 VMware Workstation 上安装 Metasploitable](https://youtu.be/OO7BPfi3DbU?si=OQJc4CRLsBHsmi2X) - [我在暗网上买了一次 DDoS 攻击(请勿模仿)](https://youtu.be/eZYtnzODpW4?si=GXrN3MXsielkWkGg) **如果您觉得这个项目有用,请考虑给该仓库点个 Star。**
标签:Bash, Python, Wireshark, 句柄查看, 应用安全, 拒绝服务攻击, 无后门, 网络安全, 配置错误, 隐私保护