20251905 2025-2026-2 《网络攻防实践》实验四

20251905 2025-2026-2 《网络攻防实践》实验四

1 实验内容

1.1 知识点梳理

**ARP缓存欺骗攻击 **ARP协议在设计时缺乏身份认证机制。攻击者通过向目标主机发送伪造的ARP响应包,将其IP地址与攻击者控制的MAC地址进行绑定。这会导致目标主机在更新本地ARP缓存表后,将本应发往真实网关或目标的数据包错误地发送给攻击者,从而实现流量的拦截与监听。

**ICMP重定向攻击 ** 路由器通常使用ICMP重定向报文通知主机存在更优的路由路径。攻击者可以伪造源IP为当前网关的ICMP重定向报文发送给目标靶机,篡改靶机的本地路由表。这使得靶机后续发送的数据包被重定向至攻击者指定的IP地址,从而达成中间人攻击或阻断通信的目的。

SYN Flood攻击 一种典型的拒绝服务(DoS)攻击,利用了TCP协议的三次握手机制。攻击者向目标服务器的开放端口发送大量伪造源IP的TCP SYN请求。服务器接收后会分配资源并返回SYN-ACK包,但由于源IP是伪造的,服务器无法收到最终的ACK确认包。这会导致服务器维持大量半连接状态,最终耗尽系统资源,无法响应正常的网络服务请求。

TCP RST攻击 TCP连接的任意一方可以通过发送带有RST(Reset)标志位的数据包来强制异常终止连接。攻击者通过嗅探目标主机的网络流量,获取当前TCP连接的源IP、目的IP、端口号以及序列号,随后伪造符合上述参数的RST数据包发送给通信一方,迫使该TCP连接非正常中断。

TCP会话劫持攻击 攻击者在通信双方建立TCP连接后,通过ARP欺骗等方式介入通信链路,成为“中间人”。在获取了准确的序列号和确认号后,攻击者可以向通信一方发送数据包,由于参数合法,接收方会认为这是来自合法通信对端的数据,从而使攻击者能够窃取或篡改传输的数据。

Netwox Netwox是一款强大的网络工具集,包含了大量用于网络测试和构造数据包的底层工具。在本次实验中,分别使用了编号为80的工具进行ARP欺骗、编号为86的工具进行ICMP重定向、编号为76的工具执行SYN Flood攻击,以及编号为78的工具触发TCP RST攻击。

Ettercap Ettercap是一款专门用于中间人攻击的综合套件。它支持对网络接口的混杂模式监听,能够执行主机发现、ARP欺骗,并在劫持流量后对多种协议进行分析与内容截获。本次实验中主要使用其图形化界面完成目标选择和双向ARP欺骗,以实现TCP会话的嗅探。

2.实验过程

首先查看本次实验所使用的三台设备的ip与mac地址

名称 ip MAC
kali 202.51.90.66 00:0c:29:4c:84:b7
metaspolit_ubuntu 202.51.90.123 00:0c:29:30:da:9c
windows2000 202.51.90.121 00:0c:29:7b:51:cc

image-20260413081501245

image-20260413081537550

image-20260413082104251

ARP缓存欺骗攻击

首先查看metaspolit_ubuntu的arp缓存表arp -a,可以发现与实际环境能够对应。

image-20260413082000127

在kali中运行命令:sudo netwox 80 -i 202.51.90.121 -e 00:0c:29:4c:84:b7

意为将-i指定的ip地址映射到-e指定的mac地址上。原理为发送对应的虚假arp响应包。

image-20260413082743465

此时再次查看arp缓存表,发现映射关系已经被污染了。发送给121的包会因为arp的错误配置发送给66.

image-20260413093556004

ICMP重定向攻击

首先查看metaspolit_ubuntu的路由表route -n,如果目的ip在局域网内则直接发送,否则将发送给网关

image-20260413082939590

随后使用netwox进行ICMP重定向攻击netwox 86 -f "202.51.90.123" -g 202.51.90.66 -i 202.51.90.1

kali将伪造来自网关的ICMP重定向包,将靶机202.51.90.123本地路由重定向到202.51.90.66

image-20260413083117759

靶机ping8.8.8.8,在kali中抓包。如果没有进行重定向,kali理应抓不到这个包。

image-20260413084350635

由于进行了重定向攻击,捕获到了ping包和重定向包。

image-20260413084338753

SYN Flood攻击

nmap -sV 202.51.90.123扫一下靶机的端口。

image-20260413084650022

80端口开放,意味着http服务启用。

在windows2k上访问以下,可以正常运行。

image-20260413084928324

kali上运行netwox 76 -i 202.51.90.123 -p 80对靶机的目标端口进行SYN Flood攻击

image-20260413085034798

wireshark可以发现随机了好多ip对靶机进行TCP握手请求

image-20260413085105687

遭受攻击后,重新访问目标靶机,似乎不work了。

image-20260413085428007

TCP RST攻击

kali本地telnet 202.51.90.123,可以正常链接

image-20260413091040863

另开一个终端运行netwox 78 -i 202.51.90.123,进行TCP RST攻击

image-20260413091059031

发现链接异常终止。

image-20260413091108684

抓包发现发送了TCP RST包重置连接。

image-20260413091156660

TCP会话劫持攻击

理论上而言,TCP会话劫持攻击可以使用两个arp欺骗来完成,但是,既然有工具,为什么不用呢

kali搜索并打开ettercap工具

image-20260413091727635

点击对号来启动该工具

image-20260413091847861

启动后点击三个点->hosts->scan for hosts进行主机发现

image-20260413091927594

image-20260413091950149

扫描完成后点击hosts list来查看有哪些活跃的主机。可以看到两个靶机都在上面。

image-20260413092026995

右键两个靶机,分别设置为target1和target2a

image-20260413092057722

在小地球图标中,对双方进行arp欺骗

image-20260413092117891

查看攻击成果:view->connections

image-20260413092152221

image-20260413092212109

可以看到我们在kali中能看到双方的通信。

win2k靶机上尝试telnet 202.51.90.123

image-20260413092413046

可以看到攻击机能截取到传输的内容。根据上次实验的结论(telnet明文传输用户名与口令),后续如果有登录操作,攻击机也能截取到。

image-20260413092319982

3.遇到的问题和解决方法

进行TCP RST实验时,发现在win2k上发起telnet,kali运行netwox78不能中断连接。

查阅网上资料发现,网上有一篇博客指出:netwox 78只能中断本地连接,不能进行旁路攻击,因此无法中断win2k上的telnet

于是在kali上进行telnet,成功中断telnet连接。

4.实验感悟

以下是为您完善的实验报告中“知识点梳理”和“实验感悟”部分。内容已按照您的要求采用平实、严谨的技术语言编写。

1.1 知识点梳理

本次实验主要涉及局域网内的几种典型网络攻击方法,以及相关网络安全工具的使用。

1. 攻击方法原理

  • ARP缓存欺骗攻击 (ARP Spoofing) ARP协议在设计时缺乏身份认证机制。攻击者通过向目标主机发送伪造的ARP响应包,将其IP地址与攻击者控制的MAC地址进行绑定。这会导致目标主机在更新本地ARP缓存表后,将本应发往真实网关或目标的数据包错误地发送给攻击者,从而实现流量的拦截与监听。* ICMP重定向攻击 (ICMP Redirect) 路由器通常使用ICMP重定向报文通知主机存在更优的路由路径。攻击者可以伪造源IP为当前网关的ICMP重定向报文发送给目标靶机,篡改靶机的本地路由表。这使得靶机后续发送的数据包被重定向至攻击者指定的IP地址,从而达成中间人攻击或阻断通信的目的。* SYN Flood攻击 这是一种典型的拒绝服务(DoS)攻击,利用了TCP协议的三次握手机制。攻击者向目标服务器的开放端口发送大量伪造源IP的TCP SYN请求。服务器接收后会分配资源并返回SYN-ACK包,但由于源IP是伪造的,服务器无法收到最终的ACK确认包。这会导致服务器维持大量半连接状态,最终耗尽系统资源,无法响应正常的网络服务请求。* TCP RST攻击 TCP连接的任意一方可以通过发送带有RST(Reset)标志位的数据包来强制异常终止连接。攻击者通过嗅探目标主机的网络流量,获取当前TCP连接的源IP、目的IP、端口号以及序列号,随后伪造符合上述参数的RST数据包发送给通信一方,迫使该TCP连接非正常中断。* TCP会话劫持攻击 (TCP Session Hijacking) 攻击者在通信双方建立TCP连接后,通过ARP欺骗等方式介入通信链路,成为“中间人”。在获取了准确的序列号和确认号后,攻击者可以向通信一方发送数据包,由于参数合法,接收方会认为这是来自合法通信对端的数据,从而使攻击者能够窃取或篡改传输的数据。 2. 实验工具介绍
  • Netwox Netwox是一款强大的网络工具集,包含了大量用于网络测试和构造数据包的底层工具。在本次实验中,分别使用了编号为80的工具进行ARP欺骗、编号为86的工具进行ICMP重定向、编号为76的工具执行SYN Flood攻击,以及编号为78的工具触发TCP RST攻击。
  • Ettercap Ettercap是一款专门用于中间人攻击的综合套件。它支持对网络接口的混杂模式监听,能够执行主机发现、ARP欺骗,并在劫持流量后对多种协议进行分析与内容截获。本次实验中主要使用其图形化界面完成目标选择和双向ARP欺骗,以实现TCP会话的嗅探。

4. 实验感悟

通过本次实验,实际验证了TCP/IP协议栈在设计初期的安全缺陷。ARP与ICMP作为底层协议,在交互过程中缺乏数据来源的真实性校验,导致其极易受到欺骗与重定向攻击,这是局域网内发生中间人攻击的原因。同时,实验中的SYN Flood和TCP RST攻击表明,TCP协议的状态机管理机制能够被外部恶意流量利用,进而对网络可用性造成破坏。

在会话劫持环节,实验直观地展示了无加密应用层协议的安全风险。在遭受ARP欺骗使得流量被截获后,Telnet等明文传输协议会直接暴露用户的登录凭证与操作指令。此外,在进行TCP RST攻击的排错过程中,发现特定的攻击工具(如netwox 78)在不同网络拓扑下存在适用性限制,这要求在执行网络安全测试时需结合具体的网络环境选择合理的测试路径。

整体而言,实验证明了在网络架构中部署静态ARP、开启防IP欺骗策略,以及在应用层强制采用SSH、HTTPS等加密协议的必要性。

posted @ 2026-04-13 10:33  安和_零樂  阅读(12)  评论(0)    收藏  举报