# 20212912 2021-2022-2 《网络攻防实践》第四次(第六周)作业

 

1.实践内容

2.实践过程

2.1 ARP缓存欺骗攻击

2.2 ICMP重定向攻击

2.3 SYN Flood攻击

2.4 TCP RST攻击

2.5 TCP会话劫持攻击

3.学习中遇到的问题及解决

3.1 使用netwox命令时报错

3.2 kalisudo命令不能使用

3.3 Wireshark出现崩溃

4.学习感想和体会

 

 

1.实践内容

在网络攻防实验环境中完成TCP/IP协议栈重点协议的攻击实验,

包括ARP缓存欺骗攻击、ICMP重定向攻击、SYN Flood攻击、TCP RST攻击、TCP会话劫持攻击。

1.ARP缓存欺骗攻击

攻击者在有线以太网或无线网络上发送伪造ARP消息,对特定IP所对应的MAC地址进行假冒欺骗,从而达到恶意目的的攻击技术。

局域网是根据MAC地址进行传输。ARP协议在进行IP地址到MAC地址映射查询时存在安全缺陷,ARP缓存非常容易被注入伪造的IP地址到MAC地址的映射关系,从而进行欺骗。

在交换式网络中可以利用ARP欺骗技术进行局域网中的嗅探,并通过进一步的协议分析窃取敏感信息;可利用ARP欺骗构造中间人攻击,从而实施TCP会话劫持的攻击方法;目前也被恶意代码所普遍使用,被称为ARP病毒,这类恶意代码发作机,然后再实施信息窃取、报文篡改和病毒传播等攻击。

2.ICMP重定向攻击

攻击者伪装成路由器发送虚假的ICMP路由路径控制报文,使得受害主机选择攻击者指定的路由路径,从而进行嗅探或假冒攻击的一种技术。

利用ICMP路由重定向报文来改变主机的路由表,向目标机器发送重定向信息,自己伪装成路由器,使目标机器的数据报发送至攻击机从而加强监听。

3.SYN Flood攻击

DOS是目前比较有效而又非常难于防御的一种网络攻击方式,目的是使服务器不能够为正常访问的用户提供服务。

利用TCP三次握手协议的缺陷,向目标主机发送大量的伪造源地址的SYN连接请求,消耗目标主机的连接队列资源,从而不能够为正常用户提供服务。

4.TCP RST攻击

又称为伪造TCP重置报文攻击,是指一种假冒干扰TCP通信连接的技术方法。

TCP重置报文会直接关闭一个TCP会话连接,恶意攻击者滥用TCP重置报文,对正常的网络通信造成严重的威胁。

5.TCP会话劫持攻击

目标是劫持通信双方已经建立的TCP会话连接,假冒其中一方(通常是客户端)的身份与另一方进行进一步通信。

通常一些网络服务在建立TCP会话之后进行应用层的身份认证,客户端在通过身份验证之后就可以通过TCP会话连接对服务端进行控制或获取资源,期间不需要再次进行身份验证。为攻击者提供了一种绕过应用层身份认证的技术途径。

攻击环境:

机器名称

IP地址

MAC地址

kali

192.168.200.3

00:0C:29:DC:D7:A9

Metasplotable2

192.168.200.2

00:0C:29:FB:EA:02

Windows server

192.168.200.4

00:0C:29:C6:1A:9F

 

 

2.实践过程

2.1 ARP缓存欺骗攻击

用Metasploitable ping windows 192.168.200.4 然后输入arp -a 查看ARP映射

 

在Kali上执行指令netwox 80 -e 00:0c:29:dc:d7:a9 -i 192.168.200.4

第一个为攻击机Kali的MAC地址,第二个为靶机的的IP地址

 

靶机的IP对应mac地址的ARP表被修改成了攻击机的mac地址

 

2.2 ICMP重定向攻击

选择kali作为攻击机Metasplotable2作为靶机

使用route查看网关地址192.168.200.1

 

在Kali主机上执行命令

netwox 86 -f "host 192.168.200.2" -g 192.168.200.3 -i 192.168.200.1

 

观察ping的过程,发现其访问百度的数据包已经被重定向到192.168.200.3

 

2.3 SYN Flood攻击

使用windows向MetaSploitable发起登陆telnet 192.168.200.2,输入用户名密码

发现可以正常登录

 

在Kali上利用netwox的76号工具对靶机的23号端口进行SYN Flood攻击netwox 76 -i 192.168.200.2 -p 23

 

打开Wireshark查看,可以看到攻击机向靶机发送了大量的虚假ip发出的SYN连接请求,

同时使用windows向MetaSploitable再次访问,发现速度明显变慢。

 

2.4 TCP RST攻击

利用Windows server向靶机MetaSploitable发起telnet服务访问,用Kali攻击机对靶机发起TCP RST攻击。

使用Windows server向MetaSploitable发起登陆telnet 192.168.200.2

 

在Kali上利用netwox的78号工具对靶机进行TCP RST攻击netwox 78 -i 192.168.200.2

 

回到刚才的登陆界面,发现连接已经被强制关闭了

 

2.5 TCP会话劫持攻击

kali中打开Ettercap工具 ettercap -G

 

"Hosts"菜单中选择"Scan for hosts"扫描局域网内攻击目标,并随后在菜单"Hosts list"中,选择

Metasplotable2 192.168.200.2 和Windows server 192.168.200.4分别为target1和target2,

 

选择菜单"MITM"中的"ARP poisoning"进行ARP欺骗,并选择"Sniff remote connections"

 

在Windows主机上输入telnet 192.168.200.2与MetaSploitable建立会话。

 

点击view菜单的connection选项观察,可以看到两者之间传递的内容

 

 

3.学习中遇到的问题及解决

3.1 使用netwox命令时报错

需要按y来安装该软件

 

3.2 kali的sudo命令不能使用

修改名字后kali的sudo命令不能使用

需要同时修改hostname和hosts文件

 

3.3 Wireshark出现崩溃

在进行SYN Flood攻击时,攻击机向靶机发送了大量的SYN连接请求,

Wireshark容易出现崩溃现象,netwox 76命令运行时间不宜过久

 

4.学习感想和体会

本次实验我完成了TCP/IP协议栈重点协议的攻击实验,学习了netwox等工具的使用方法,

知道了如何修改Linux的主机名,加深了对TCP/IP重点协议的理解。

 

posted @ 2022-04-05 21:32  Sucarlet  阅读(81)  评论(0编辑  收藏  举报