Kali常见攻击手段_Ddos教程，利用这种方式就可以攻击日本核电站

1.1 DDos攻击

1. 打开命令行下载对应ddos数据包

git clone https://github.com/Andysun06/ddos

1. 进入数据包对应的文件夹区分大小写

cd ddos

1. 执行脚本 本文用于演示的kali是2020年版本用python执行ddos-p2.py输入命令

python ddos-p2.py

然后会出现如下界面

然后输入攻击对象的IP本教程以我的网站为例

再打开一个命令行窗口

ping + 域名

4. 配置参数

• ip: 攻击对象
• Attack Port即攻击端口;一般服务器默认为80更多内容请百度
• Attack Speed即攻击速度数值越大越快最大不能超过1000

1. 发起攻击

按下回车出现如下界面表示攻击成功

1.2 CC攻击

• DDoS攻击的一种类型
• CC (ChallengeCollapsar挑战黑洞)攻击是DDoS攻击的一种类型使用代理服务器向受害服务器发送大量貌似合法的请求

1. 以root身份打开命令行
2. 输入命令

ab -n 参数1 -c 参数2 网站地址

参数一是并发数请求的用户量 参数二是发送总量请求的总次数 &有兴趣的可以在百度上另外学习 参数参数2和网站地址由自己设置这里以 10001000http://bjvcrrn.nat.ipyingshe.com/bbs/ 为例 出现如下界面表示攻击成功

DDos与CC攻击区别 1CC攻击流量不大真实IP 通常是应用层攻击攻击对象是网页涉及的协议主要是HTTP，HTTPS消耗的是服务器的CPU资源通过请求大量调用CPU的资源例如查询数据库DDOS攻击流量很大伪造IP通常是网络层和传输层;攻击对象是IP涉及协议主要是IP

1.3 ARP欺骗

首先ARP欺骗需要用到dsniff数据包;arpspoof 是 dsniff 的一个附属工具所以我们需要安装的是 dsni安装命令如下

1. 安装dsniff

apt-get install dsniff -y

1. 确定网卡名称和地址

ifconfig

3. 嗅探ip设备

嗅探你所在WLAN下所有设备的IP地址命令如下

fping -g 本机IP地址/24

例如我的IP是192.168.145.98&命令就是fping -g 192.168.145.98/24

我的另一台设备就出现在了这里192.168.145.26&是一台PCcentos 4. 发起攻击

发起攻击之前先查看我192.168.145.26 08;目标主机09;的网速

结果基本耗时在50ms左右

输入命令发起攻击

arpspoof -i 你的网卡名称 -t 攻击目标的IP地址 攻击目标的网关地址

网卡名称的查看上文已经提过我以我的网卡为例名称是eth0攻击目标就是我的另一台PCIP是192.168.145.26

因为我用的是虚拟机并且我PC的网关配置的是192.168.145.2因此我攻击命令 如下08;一般来说网关配置为xxx.xxx.xxx.1,也就是ip最后一位改为109

arpspoof -i eth0 -t 192.168.145.26 192.168.145.2

按下回车发起攻击出现如下页面表示攻击成功

1. 查看效果 现在我的另一台PC基本上无法上网了这就说明我们的ARP欺骗成功了。

如果你想停止攻击就按下Ctrl+Z攻击就停止了。

2 社会工程学攻击08;setoolkit

2.1 搭建钓鱼网站

钓鱼网站是黑客常用的用于盗取目标用户名与账号的方式 今天主要介绍setoolkit来制作钓鱼网站

setoolkit是kali下的社会工程学工具集。

①进入setoolkit

命令行输入

setoolkit

②选择社会工程学攻击 - 网络攻击 - 钓鱼网站

社会工程学攻击 快速追踪测试 第三方模块 升级软件 升级配置 帮助123456

• 在上图中我们选择社会工程学攻击进入到下图页面

鱼叉式网络攻击 网页攻击 传染媒介式 建立payload和listener 邮件群发攻击 Arduino基础攻击 无线接入点攻击 二维码攻击 Powershell攻击 第三反方模块12345678910

• 上图中输入2选择社会工程学中的网络攻击进入到下图页面

Java applet攻击 Metasploit浏览器攻击 钓鱼网站攻击 标签钓鱼攻击 网站jacking攻击 多种网站攻击 全屏幕攻击1234567

• 上图中选择3进入钓鱼网站攻击进入下图页面

网站模板 站点克隆 用自己的网站123

如果选择网站模板的话会有几个默认的登陆界面的模板

如果想克隆指定的页面的话就选择2站点克隆当然这个功能虽然强大;但是有的网站是无法克隆的如果无法克隆就选择自己制作一样的网站去钓鱼。这里我详细讲一下站点克隆的方法。

登录页面模板

• 输入2选择google登录模板

• kali监听效果

③站点克隆

选择完2之后;需要我们输入一些信息

• 上图中选择2选择网站克隆进入如下页面

这个是我们克隆完之后的网站返回的ip地址一般就写虚拟机的IP地址

这个是我们克隆完之后的网站返回的ip地址一般就写虚拟机的IP地址

然后我们需要填写想要克隆的网站的url

回车之后;显示如下信息就代表克隆完成

④kali获取用户名、密码

我们将账号和密码都设为admin点击登陆发现有跳转到了真正的页面;也不会返回账号信息错误的界面同时kali也将我们输入的信息截获了 并在终端显示

⑤结合内网穿透实现公网可访问

本次使用DVWA的登录页面试验 内网穿透工具选择花生壳

• 到官网上下载花生壳并安装 花生壳官网 该服务需要花费6元 内网主机ip填写kali的ip即可

• 配置映射
• 新增映射

• 使用https映射认证

所以这里就只需要我们将kali的IP以及端口(80)填入即可映射到外网

但是前面也说过http协议是收费的6块但是能用很久个人觉得倒是不贵。

好那现在就让我们去到最后一步用Custom Import和花生壳去 钓 鱼

⑥公网钓鱼

注意：本文仅供学习之用严禁做违法之事

资料 一、DVWA& 链接https://pan.baidu.com/s/1ketwjg_wm5DSvCFNb20K2A 提取码sljb

1. 将dvwa文件拖至/root目录下如果拖拽有问题上文有请自行查阅

1. 开启setoolkit

①. 打开终端输入setoolkit ②. 选择1社会工程学攻击 ③. 选择2，网站攻击 ④，选择3，钓鱼网站 ⑤，选择3，用户导入【默认，回车即可】 ⑥，选择导入的路径【/root/dvwa】 ⑦，选择2，导入整个文件夹 ⑧，配置内网穿透 ⑨，通过域名访问，查看kali监听结果

选择3用户导入之后会出现如下页面如果是默认;直接回车即可 如果默认就直接回车。如果选择域名就需要将域名解析到该主机， 我们默认直接回车

下面我们选择导入整个文件夹

3. 配置内网穿透服务

4. 测试结果

输入网址访问https://****.****.fun/

⑦克隆网站命令全过程

如果想要实现公网钓鱼参照⑥即可

1. setoolkit 2. 输入1 3. 输入2 4. 输入3 5. 输入2 6. 输入kali虚拟机ip或自己搭建的kali的i09; 7. 输入克隆的网站地址 8. 通过kali的ip访问克隆网站地址

• 原网站

• 克隆网站