20252906 2025-2026-2 《网络攻防实践》第4周作业

实验内容：TCP/IP 协议栈常见攻击实验
在网络攻防实验环境中，完成针对 TCP/IP 协议栈重点协议的攻击实验，包括：

• ARP 缓存欺骗攻击

• ICMP 重定向攻击

• SYN Flood 攻击

• TCP RST 攻击

• TCP 会话劫持攻击

1.1 ARP 缓存欺骗攻击
原理
ARP（Address Resolution Protocol）用于将 IP 地址解析为同一局域网中对应主机的 MAC 地址。
攻击者在局域网内伪造 ARP 响应包，声称“网关 / 某台主机的 MAC 地址是我”，从而污染目标主机的 ARP 缓存。

攻击效果
被欺骗主机会将本应发往网关或目标主机的数据包发送给攻击者。

攻击者可实现：

中间人攻击（转发、嗅探、篡改）
断网攻击（ARP 拒绝服务）
窃取明文密码、会话信息

特点
是局域网最基础、最常见的中间人攻击方式。
对静态 ARP 配置无效，但多数网络环境默认动态 ARP。

1.2 ICMP 重定向攻击
原理
ICMP 重定向报文是路由器通知主机“存在更优路由路径”的合法机制。
攻击者伪造 ICMP 重定向包，告诉目标主机：“去往某网段 / 外网，应经过我（攻击者）”。

攻击效果
强制目标主机修改路由表，将流量引向攻击者。

实现中间人嗅探、流量劫持。

特点
攻击者不一定要和被攻击主机在同一广播域（视操作系统是否信任外部 ICMP 重定向）。
现代操作系统（如 Windows、Linux 新版）默认限制或忽略 ICMP 重定向，攻击效果受限。

1.3 SYN Flood 攻击
原理
TCP 正常建立连接需要三次握手：

• 客户端 → 服务器：SYN

• 服务器 → 客户端：SYN+ACK

• 客户端 → 服务器：ACK

攻击者大量发送伪造源 IP 的 SYN 包，但从不回复服务器的 SYN+ACK。

攻击效果
服务器为每个半开连接分配资源（如连接表、内存）。

资源耗尽后，无法接受正常用户的连接请求。

典型拒绝服务（DoS）攻击。

特点
不需要建立完整连接。

单个攻击机即可产生较大破坏力。

可结合 IP 欺骗隐藏攻击源。

1.4 TCP RST 攻击
原理
TCP 头部中的 RST 标志位用于强制终止连接。
攻击者嗅探目标 TCP 会话的序列号后，伪造带有 RST 标志的数据包发送给通信一方或双方。

攻击效果
目标主机收到 RST 后立即关闭 TCP 连接。

可瞬间断开：
SSH、Telnet
HTTP 长连接
网络游戏、即时通信等

特点
不窃取数据，只破坏连接。
实现难度较低，是会话打断型攻击。
需要知道当前连接的序列号（可嗅探或猜测）。

1.5 TCP 会话劫持攻击
原理
攻击者需要：

通过 ARP 欺骗等方式监听目标 TCP 会话。

捕获或推测正确的 TCP 序列号（Sequence Number）。

伪造客户端或服务器的数据包，插入恶意指令或数据。

攻击效果
无需密码，直接接管已登录的 TCP 会话。

典型场景：

Telnet 会话中执行系统命令
HTTP 会话中注入恶意请求或窃取 Cookie
可执行命令、篡改数据、提升权限。

特点
危害极大，属于权限接管型攻击。
实现难度高于 RST 攻击，需要处理序列号和窗口大小。
对明文传输协议（如 Telnet、HTTP、FTP）尤其有效。
2.实验过程
2.1 ARP缓存欺骗攻击
首先启动Kali、SEED、Metasploitable和Win2K四台虚拟机，查看它们各自的IP地址以及MAC地址，Kali虚拟机的IP地址以及MAC地址





Metasploitable可以ping通Win2K

并且在Metasploitable中输入arp -n指令查看arp表，可以看到存有Win2k的arp缓存信息

在SEED主机上执行以下命令，利用Netwox工具构造并发送一个ICMP重定向报文：sudo netwox 80 -e 00:0C:29:BF:8C:D9 -i 192.168.200.131。其中，参数-e用于指定要伪造的网关MAC地址，此处填入SEED主机自身的MAC地址00:0C:29:BF:8C:D9，目的是让目标主机（Win2K）误以为SEED就是网关；参数-i用于指定ICMP重定向报文的目标IP地址，即被攻击的主机Win2K的IP地址192.168.200.131。通过该命令，SEED会伪装成网关向Win2K发送重定向指令，从而尝试劫持其网络流量。

再次回到Metasploitable中输入arp -n指令，发现原有的MAC地址已经被替换成要伪造的SEED的MAC地址

打开Win2K，发现了报错，说明攻击成功

2.2 ICMP重定向攻击
在SEED中输入route -n查看网关为：192.168.200.1

输入ping baidu.com

在Kali中输入以下指令：

netwox 86 -f "host 192.168.200.4" -g 192.168.200.5![ScreenShot_2026-04-13_145944_040](https://img2024.cnblogs.com/blog/3777960/202604/3777960-20260413230633563-49231632.png)
 -i 192.168.200.1

其中：

• 192.168.200.4 是 SEED的IP地址

• 192.168.200.2 是 Kali的IP地址

• 192.168.200.1 是 SEED的网关
  （第一次报错了qwq）
  
  

再次回到SEED中，输入ping baidu.com，可以发现下一跳的IP地址被重定向到了Kali的IP地址

在Kali上打开Wireshark，可以抓到重定向的ICMP数据包

2.3 SYN Flood攻击
打开SEED虚拟机，输入指令luit -encoding gbk telnet bbs.mysmth.net访问清华bbs服务器

在Kali中输入指令：

netwox 76 -i 192.168.200.4 -p 23

其中：

• 192.168.200.4 是 目标主机（SEED）的IP地址

• 23 是 目标端口（Telnet协议默认端口）
  
  打开Wireshark，可以看到有大量SYN标志的TCP数据包，说明SYN Flood攻击成功
  
  回到SEED中发现连接已经断开
  2.4 TCP RST攻击
  同2.3，在SEED中访问清华bbs服务器
  
  在Kali中输入指令：

netwox 78 -i 192.168.200.4

其中：

• 192.168.200.4 是 目标主机（SEED）的IP地址
  
  回到SEED中发现连接已经断开
  
  打开Wireshark，可以看到有大量RST标志的TCP数据包，说明TCP RST攻击成功
  2.5 TCP会话劫持攻击
  在Kali中搜索Ettercap并打开
  
  点击右上角的勾
  
  然后点击详情，选择Hosts
  
  选择Hosts list,可以查看扫描到的主机
  
  将192.168.200.4设置为Target1，将192.168.200.120设置为Target 2
  
  打开MITM，选择ARP poisoning,点击OK启动
  
  点击详情，选择View
  
  选择Connections
  
  回到SEED，输入账号密码登录清华bbs服务器双击记录,可以看到账号密码已被泄露，说明TCP会话劫持攻击成功
  

3.学习中遇到的问题及解决
我在做实验的时候按照前面同学的步骤但是发现，主机能够接受 ICMP Redirect，因此在执行 netwox 86 后会将 Kali 作为新的下一跳；最初由于 Kali 未开启 IP 转发，导致数据包到达 Kali 后无法继续转发，从而出现断网。后续通过在 Kali 上开启 net.ipv4.ip_forward=1 解决了转发问题；为避免 Kali 再次向 SEED 发送重定向，还需关闭 send_redirects。

4、学习感悟与思考
通过本次实验，我系统实践了ARP欺骗、ICMP重定向、SYN Flood、TCP RST及会话劫持这五种典型的协议层攻击。这不仅将抽象的TCP/IP协议理论落地为可操作的攻击手法，更让我深刻认识到：网络协议在设计之初并未充分考虑安全因素，所谓的“默认可信”实则暗藏风险。本次实验极大加深了我对网络攻防底层机制与协议脆弱性的理解，也强化了“攻防一体”的防护思维。当然，这次实验只是我学习网络攻防的一个起点。后续我将在此基础上，逐步拓展至Web安全、内网渗透等领域，持续提升实战能力，并将所学应用于合法的网络安全防护实践。