2019-2020-20199135《网络攻防实践》第5周作业
学号 2019-2020-20199135《网络攻防实践》第5周作业
| 问题 | 回答 |
|---|---|
| 作业所属课程 | 网络攻防实践(https://edu.cnblogs.com/campus/besti/19attackdefense) |
| 这个作业的要求在哪里 | https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10553 |
| 我在这个课程的目标是 | 学习第五章TCP/IP网络协议攻击 |
| 这个作业在哪个具体方面帮助我实现目标 | 熟悉linux环境 |
| 作业正文 | 见下文 |
| 参考文献 | 见博客结尾 |
1.实践内容
5.1 TCP/IP网络协议栈攻击概述
5.1.1网络安全属性与攻击模式
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶 意的原因而遭到破坏、更改、泄露,系统连续可靠正常运行,网络服务不被中断。
网络安全属性:机密性、完整性和可用性构成了网络安全的三个基本属性,以及真实性和不时抵赖性两个其他属性。
网络攻击基本模式:包括截获、中断、篡改与伪造。
5.1.2 TCP/IP网络协议栈安全缺陷与攻击技术
TCP/IP网络协议栈在设计时采用了分层模型,分为了网络接口层、互联层、传输层与应用层。
网络接口层:最常用的是以太网协议。检测数据帧时,当检测到的数据帧目标MAC地址不属于自己时,就直接把它忽略,不发往上层协议,但当网络接口处于混杂模式下时,则可以直接嗅探并截获数据包。常用的网络接口层协议还有PPP协议。
互联层:基础协议是互联网协议IPv4,其他还包括ICMP、ARP 、BGP 等动态路由协议。IP协议的首要安全问题是缺乏IP地址的身份认证机制,很容易遭到IP地址欺骗攻击。
传输层:协议主要包括TCP和UDP。TCP建立会话之后的连接过程中,仅仅依靠IP地址、端口和SEQ/ACK号对通信对方进行验证,非常容易遭受伪造和欺骗攻击。
应用层:目前一些流行应用的应用层协议如HTTP、FTP、POP3/SMTP、DNS、SMB等均缺乏安全考虑,并大多采用明文传输,存在被嗅探监听、欺骗与中间人攻击的风险。
5.2网络层协议攻击
5.2.1IP源地址欺骗(IPSpoofing)
指攻击者伪造具冇虚假源地址的IP数据包进行发送, 以达到隐藏发送者身份、假冒其他计算机等目的。
用IP源地址欺骗进行 IP假冒的攻击过程如下:
5.2.2 ARP 欺骗
ARP欺骗是指攻击者在有线以太网或无线网络上发送伪造ARP消息,对特定IP所对应的MAC地址进行假冒欺骗,从而达到恶意目的的攻击技术。
ARP协议用于将网絡主机的IP地址解析成其MAC地址,然后在局域网内通过MAC 地址进行通信。
IP局域网络中的ARP欺骗过程如下:
5.2.3 ICMP路由重定向攻击
ICMP路由重定向攻击(ICMP Redirect Attack)是指攻击者伪装成路由器发送虚假的 ICMP路由路径控制报文,使得受害主机选择攻击者指定的路由路径,从而进行嗅探或假 冒攻击的一种技术。
5.3传输层协议攻击
5.3.1 TCP RST 攻击
5.3.2 TCP会话劫持攻击
• TCP会话劫持攻击原理
TCP会话劫持(TCP Session Hijacking)则是一项更为复杂的TCP协议攻击技术方法, 目标是劫持通信双方已建立的TCP会话连接,假冒其中一方(通常是客户端)的身份, 与另-方进行进一步通信。
5.3.3 TCP SYN Flood拒绝服务攻击
拒绝服务攻击(Denial of Service, DoS)是目前比较有效而又非常难防御的一种网络攻击方式,它的目的就是使服务器不能够为正常访问的用户提供服务。所以,DoS对一 些紧密依靠互联网开展业务的企业和组织带来了致命的威胁。
5.3.4 UDP Flood拒绝服务攻击
通过向目标主机和网络发送大量的UDP数据包,造成目标主机显著的计算负载提升,或者目标网络的网络拥塞,从而使得目标主机和网络陷入不可用的状态,造成拒绝服务攻击。
5.4 TCP/IP M络协议栈攻击防范措施
•监测、预防与安全加固
•网络安全协议
•下一代互联网协议
2.实践过程
在网络攻防实验环境(以SEED_VM作为攻击机,Linux Metaspioitable/Windows Metasploitable作为靶机)中完成TCP/IP协议栈重点协议的攻击实验,具体包括ARP缓存 欺骗攻击、ICMP重定向攻击、SYN Flood攻击、TCP RST攻击及TCP会话劫持攻击(bonus)。
本次实验以SEED_VM作为攻击机,Linux Metaspioitable作为靶机
攻击机SEED的IP为192.168.200.9
主机A Linux Metaspioitable靶机的IP为192.168.200.125
主机B Windows靶机ip地址为192.168.200.124
1 ARP欺骗
arp -a 显示arp高速缓存列表(与本机有过通信的计算机地址会被放在这里,下载访问的时候不用广播查询)
arp -d(清空这个缓存列表,访问时将从新获得)
主机Aping主机B,联通
里面保存了IP地址与对应MAC之间的映射关系,而ARP欺骗就是改变这个表当中的映射关系。
这里选用 netwox进行操作
首先查看一下A的MAC地址ifconfig 为00:0c:29🇩🇪74:6e
要欺骗A,所以在攻击机当中执行以下命令sudo netwox 33 -b (A的mac地址) -g (B的ip地址) -h(A的mac地址) -i(A的ip地址)
命令sudo netwox 33 -b 00:0c:29🇩🇪74:6e -g 192.168.200.124 -h 00:0c:29🇩🇪74:6e -i 192.168.200.124
查看到攻击机地址为00:0c:29:ce:c5:6c
然后arp -a 查看A中arp缓存内容
对比攻击前后两次内容可发现B的MAC地址已改为攻击机的MAC地址,达到欺骗A的目的。
2 ICMP重定向攻击
安装traceroute:sudo apt-get install traceroute
在kali使用命令sudo traceroute baidu.com来尝试路由追踪连接到百度时候的路由表情况,并且打开WireShark监视网络。
由上图可知,路由追踪过程中因为有防火墙屏蔽了ICMP信息,所以没有返回任何结果而是*。
我们可以从WireShark抓到的数据包看到默认网关为00:50:56:fd:50:82
为了让虚拟机认为默认网关已经被修改成了攻击机,需要不断广播ICMP重定向信息。
为了实现这个广播,可以使用netwox命令sudo netwox 86 -d "Eth0" --gw "10.211.55.27" -i "10.211.55.1",这个命令代表广播ICMP重定向信息,把前者
重定向为后者,前者为默认网关,后者为攻击机。
为了让虚拟机#1能够正常转发数据包,需要对攻击机进行如下设置:sudo sysctlnet.ipv4.ip_forward=1
虚拟机kali打开WireShark监视网络,使用traceroute命令访问baidu.com。
观察抓包情况
数据包的默认网关已经被更改,说明攻击成功
3 SYN Flood攻击
使用攻击机seed对主机A进行攻击
攻击机telnet链接靶机的23端口
输入exit回到seed的终端
输入命令netwag ,用netwag进行SYN flood攻击
打开界面搜索SYN
在form设置靶机的IP地址和端口后run
4 TCP RST攻击
A为seed攻击机,B为kali,C为Linux Metaspioitable靶机
利用telnet命令从B建立和C的23端口的连接
在主机A中通过netwox78号工具发起针对B主机的RST攻击 sudo network 78 -i "192.168.200.2"
回到B主机中,发现没有什么变化,但是当回车之后,出现连接已经被其他主机断开,并退回到主机B的账户下
B再次尝试连接已经连接C不上。就算连接上还是会被切断
5 TCP会话劫持攻击
A为kali,B为seed攻击机,C为Linux Metaspioitable靶机
安装hunt sudo apt-get install hunt
主机B telnet到主机C 上
A使用hunt进行攻击
3.学习中遇到的问题及解决
- 问题1:虚拟机 .dll文件丢失
- 问题1解决方案:修复系统
- 问题2:Linux Metaspioitable靶机打开时没有IP地址
- 问题2解决方案:重新手动配置地址
- 问题3:虚拟机连不上网
- 问题3解决方案:一下午没理他后来就莫名其妙的连上了(怕不是一门玄学,气笑了)
4.实践总结
本章介绍了网络层上的IP源地址欺骗、ARP欺骗与ICMP路由重定向攻击,以及传输层的TCP RST攻击、TCP会话劫持、SYN Flood与UDP Flood攻击。应对这些网络协汉攻击威胁,TCP/IP协议也正在进行着完善和改进,应充分釆用最新的安全协议来武装自己的网络,从而降低网络安全风险。
对于环境又有了进一步的熟悉,继续努力。
