20252905 2025-2026-2 《网络攻防实践》第四周作业

20252905 2025-2026-2 《网络攻防实践》第四周作业

---

1.实验要求

1.1主要任务

在网络攻防实验环境中完成TCP/IP协议栈重点协议的攻击实验，包括ARP缓存欺骗攻击、ICMP重定向攻击、SYN Flood攻击、TCP RST攻击、TCP会话劫持攻击。

1.2知识点梳理与总结

攻击类型	原理	影响	防御要点
ARP欺骗	伪造ARP响应，将攻击者MAC与合法IP绑定，篡改目标ARP缓存	中间人窃听/篡改、断网、流量重定向	静态IP-MAC绑定；动态ARP检测（DAI）；ARP监控工具（如ARPWatch）；划分VLAN
ICMP重定向攻击	伪造ICMP重定向报文，诱导主机使用恶意路由	流量劫持、路径篡改、通信中断	主机禁用ICMP重定向（sysctl）；防火墙过滤外部重定向包；关键流量走VPN
SYN Flood	发送大量伪造源IP的SYN包，耗尽服务器半连接队列	拒绝服务（DDoS），合法用户无法连接	启用SYN Cookie；防火墙限速/过滤异常IP；CDN/云防护分流
TCP RST攻击	伪造RST包，序列号落在窗口内，强制中断TCP会话	连接突然中断，破坏SSH、网页、会议等	使用TLS/SSH加密隐藏序列号；IDS检测异常RST；缩小TCP窗口
TCP会话劫持	预测/窃取序列号，伪造数据包插入恶意内容或接管会话	数据篡改、身份冒用、账户接管	强制HTTPS/SSH加密；多因素认证（MFA）；网络流量异常监测

2.实验过程

2.1 配置查看

查看kali网络配置信息

查看kali的IP地址和MAC地址，IPv4地址：192.168.200.3/25，MAC地址：00:0c:29:41:08:9a

查看seed基本配置

查看seedIP地址信息，IPv4地址：192.168.200.4/25，MAC地址：00:0c:29:84:d5:3c

查看Metasploitable_ubuntu基本配置

查看Metasploitable_ubuntu地址信息，IP地址：192.168.200.5，MAC地址：00:0c:29:78:61:07

查看winAttacker基本信息

查看winAttacker地址信息，IP地址：192.168.200.2

汇总以上信息得到

主机	操作系统	接口	IPv4地址	子网掩码	MAC地址
Windows XP	Windows XP	本地连接	192.168.200.2	255.255.255.128	未获取
Kali	Kali Linux	eth0	192.168.200.3	255.255.255.128	00:0c:29:41:08:9a
Seed	Ubuntu/Seed	eth6	192.168.200.4	255.255.255.128	00:0c:29:84:d5:3c
Metasploitable	Ubuntu (Metasploitable)	eth0	192.168.200.5	255.255.255.128	00:0c:29:78:61:07

2.2 ARP欺骗

在SEEDUbuntu中使用指令 ping Metasploitable_ubuntu的IP，得到arp缓存表。

使用arp -a查看arp缓存表，得到

在kali上执行netwox 80 -e MAC(kali) -i IP(Metasploitable_ubuntu)，这里需要安装一下netwox包，可以更换为桥接模式装好再调回攻击模式

在SEEDUbuntu中使用 arp -a 查看ARP映射，发现地址产生变化，ARP欺骗成功

2.3 ICMP重定向攻击

在seedubuntu中输入route -n查看本机网关为192.168.200.1

直接在终端ping 百度,能够正常联通到外网

在kali上执行sudo arpspoof -i eth0 -t 192.168.200.4 192.168.200.1（注意这里需要开启管理员权限），完成arp重定向

2.4 SYN Flood攻击

利用SEEDUbuntu向靶机Metasploitable_ubuntu发起telnet服务访问，用Kali攻击机攻击靶机的telnet服务端口，并用Wireshark查看。
先查看metaUnbuntu的IP地址

在seedUbuntu上telnet MetaUbuntu的IP地址，成功连上MetaUbuntu

在Kali上利用netwox进行SYN Flood攻击

开启wireshark进行检测，发现大量的虚假ip攻击192.168.200.123

2.5 TCP RST攻击

用SEEDUbuntu向靶机Metasploitable_ubuntu发起telnet服务访问，用Kali攻击机对靶机发起TCP RST攻击
先用seedUbuntu向MetaUbuntu发起登录请求，telnet MetaUbuntuIP

在kali上攻击MetaUbuntu，继续用之前的Netwox 76号端口攻击

返回seedUbuntu发现，连接由于kali的侵入导致被强行关闭（这里因为本地缓存的问题，所以需要敲击一下回车才能看到被入侵的事实）

2.6 TCP会话劫持攻击

使用ettercap工具完成TCP会话挟持，在kali命令行输入ettercap -G

初始化配置之后，进入界面，点击界面右上角scan for Hosts，开始检测

在hostlist中分别添加metaUbuntu与SeedUbunut的ip地址作为攻击目标1和2

点击MITM Menu - ARP poisoning，然后点击OK。

用seedUbuntu向Meta发起telnet请求

在kali右上角选择views的Connection，发现seed向Meta发起的telnet请求

点击详情，可以清晰看见其他主机输入的用户名密码，和命令等信息

3.学习中遇到的问题及解决

问题1：这啥问题来着，上次实验做的忘干净了，联不通外网。

解决办法：好像是网络适配器的桥接模式问题，切换一次就回来了

问题2：netwox 86 -f “host IP(SEEDUbuntu)” -g IP(kali) -i 192.168.200.1 这里一直报格式错误

解决办法：换到dsniff也可以，可能是由于netwox出现的版本格式不兼容问题

4.思考与感悟

本次实验聚焦TCP/IP协议栈中五种典型协议攻击的实践与原理分析，包括ARP缓存欺骗、ICMP重定向、SYN Flood、TCP RST及TCP会话劫持。通过动手操作，直观呈现了各攻击的技术细节：ARP欺骗通过伪造MAC地址实现中间人监听；ICMP重定向利用路由信息篡改实现流量劫持；SYN Flood消耗服务器连接资源导致拒绝服务；TCP RST攻击伪造重置包强制中断连接；TCP会话劫持则通过预测序列号或窃取凭证实现非授权访问。实验揭示了协议设计中的“信任缺陷”——过度依赖身份验证而缺乏来源校验、资源分配机制缺乏保护、序列号可预测性等问题，为理解网络安全漏洞根源提供了现实参照。

基于上述协议缺陷，防御思路应聚焦“主动验证、资源隔离、加密传输”三大方向：ARP防御可部署动态ARP检测（DAI）或静态绑定；ICMP攻击需在主机侧禁用非必要重定向功能；SYN Flood需启用SYN Cookie机制并配置流量限速；TCP会话类攻击则依赖传输层加密（如TLS/SSH）与序列号随机化。本次实验验证了“攻防一体”的学习理念——只有深度理解攻击链条，才能构建针对性防护策略。后续可延伸至入侵检测系统（IDS）规则编写、流量异常分析等实战化能力训练，提升应对复杂网络威胁的综合防御水平。