实践四 TCP/IP网络协议攻击
20212806 2021-2022-2 《网络攻防实践》实践四报告
1.实践内容
1.1概述
TCP/IP协议创建时,认定使用环境中的用户都是可信任的,并没有考虑到其中存在的安全问题。随着互联网的逐步扩展与开放,TCP/IP协议应用越发广泛,其存在的弱点被挖掘、被放大、被利用。本篇主要讲解TCP/IP协议栈中最为基本的网络层与传输层协议所存在的安全问题及针对性攻击技术。
1.2网络层协议攻击举例
- ARP欺骗
ARP欺骗是指攻击者 在有线以太网或无线网络上发送伪造ARP消息,对特定IP所对应的MAC地址进行假冒欺骗,从而达到恶意目的的攻击技术。
原理:一方面,ARP协议在进行IP地址到MAC地址映射査询时,采用广播请求包方式在局域网段中询问映射关系,但没有对响应结果进行真实性验证;另一方,ARP协议为提高效率,设计ARP缓存机制,以及会将主动的ARP应答视作有效信息进行接受,这使得ARP缓存出常容易被注入伪造的IP地址到MAC地址的映射关系,从而进行欺骗。
- ICMP路由重定向攻击
ICMP路由重定向攻击是指攻击者伪装成路由器发送虚假的 ICMP路由路径控制报文,使得受害主机选择攻击者指定的路由路径,从而进行嗅探或假冒攻击的一种技术。
原理:攻击节点利用IP源地址欺骗技术,冒充网关IP地址,向被攻击节点发送ICMP 重定向报文,给被攻击节点指定的新路由器IP地址,并以这个新路由器IP地址为攻击节点。被攻击节点会对ICMP报文进行限制条件监测,检查通过后,就会通过这个新路由器向外网进行通信,攻击者就可以进行嗅探或者监听了。
1.3传输层协议攻击举例
- TCP RST攻击
TCP RST攻击也被称为伪造TCP重置报文攻击(spoofed TCP reset packet),是指一种假冒干扰TCP通信连接的技术方法。
原理:TCP重置报文将直接关闭掉一个TCP会话连接,通信方A与B建立TCP协议进行数据传输时,攻击者可以利用TCP重置报文切断A与B之间的会话,当然这里攻击者要借用IP源地址欺骗伪装成A或者B才可以。
- TCP SYN Flood拒绝服务攻击
拒绝服务攻击目的就是使服务器不能够为正常访问的用户提供服务。
TCPSYN Flood原理利用TCP三次握手存在连接队列平静的缺陷,主机A想与服务器建立会话必须经过三次握手协议,攻击者B不断的向目标主机发送大量的伪造源地址的SYN连接请求,消耗目标主机的连接队列资源,从而不能够为主机A提供服务。
- TCP会话劫持攻击
TCP会话劫持是劫持通信双方已建立的TCP会话连接,再假冒其中一方的身份,与另一方进行进一步通信,这样攻击方就可以躲避一些身份认证。
2.实践过程
2.1ARP缓存欺骗攻击
- 实验环境
这里需要三台机器,选择Kali作为攻击机,其他两台机器作为正常通信的机器(靶机1:Linux MetaSploitable,靶机2:win2k)
| 虚拟机 | IP | Mac地址 |
|---|---|---|
| Kali | 192.168.37.129 | 00:0c:29:7f:ba:d4 |
| Linux MetaSploitable | 192.168.200.123 | 00:0c:29:1e:54:85 |
| win2k | 192.168.200.124 | 00-0C-29-DC-BE-C5 |
- 实践过程
(1)查看IP
(2)用靶机ping win2k
(3)打开ARP表查看记录
(4)打开Kali,利用netwox 80 -e 00:0C:29:DC:BE:C5 1 -i 192.168.200.124命令对其进行攻击
(5)再次查看ARP表,发生了改变
2.2 ICMP重定向攻击
- 实验环境
首先这两台机器处于同一网段,选择Kali作为攻击机,SEED_VM作为靶机
| 虚拟机 | IP |
|---|---|
| Kali | 192.168.37.129 |
| SEED_VM | 192.168.37.130 |
- 实践过程
(1)首先查看路由表
(2)在Kali中执行命令
(3)在SEED_VM中发现新的下一跳
2.3 SYN Flood 攻击
- 实验环境
| 虚拟机 | IP |
|---|---|
| Kali | 192.168.37.129 |
| SEED_VM | 192.168.37.130 |
| metasploitable-linux | 192.168.200.123 |
- 攻击过程
(1)首先在SEED_VM 环境中执行 telent 192.168.200.123
(2)在kali输入netwox 76 -i 192.168.200.123 -p 23,该攻击是TCP里面的SYN Flooding,Dos攻击
(3)在kali中打开wireshark,发现kali在进行攻击,且无法确定攻击机IP地址
2.4 SYN RST 攻击
- 实验环境
| 虚拟机 | IP |
|---|---|
| Kali | 192.168.37.129 |
| SEED_VM | 192.168.37.130 |
| metasploitable-linux | 192.168.200.123 |
- 攻击过程
(1)在SEEDUbuntu终端中输入telnet 192.168.200.124,对靶机Metasploitable_Ubuntu进行远程登录
(2)在kali中输入netwox 78 -i 192.168.200.123,对靶机Metasploitable_Ubuntu进行TCP RST攻击
(3)在SEEDUbuntu终端中输入telnet 192.168.200.123,发现攻击成功
2.5 TCP会话劫持攻击
- 实验环境
| 虚拟机 | IP |
|---|---|
| Kali | 192.168.37.129 |
| SEED_VM | 192.168.37.130 |
| metasploitable-linux | 192.168.200.123 |
- 攻击过程
(1)在kali终端输入ettercap -G,打开工具Ettercap,点击 hosts scan进行主机扫描
(2)点击 hosts list,将靶机Metasploitable_Ubuntu设为target1,SEEDUbuntu设为target2
(3)在左侧MIT Menu选择arp poisoning...,并且在右侧按钮view下面的connection
(4)在SEEDUbuntu终端中输入telnet 192.168.200.123,对靶机Metasploitable_Ubuntu进行远程登录
(5)在kali工具Ettercap中查看connection的目标主机信息,发现已获取两个靶机的信息
3.学习中遇到的问题及解决
-
问题1:在SEED_VM中执行telnet命令出现以下错误:
-
问题1解决方案:执行
rpm -ivh xinetd-2.3.14-34.el6.x86_64.rpm命令,安装telnet安装包,然后修改telnet服务配置文件。 -
问题2:ICMP路由重定向过程中,一开始主机的路由表一直不更新。
-
问题2解决方案:经搜集资料后发现,路由表更新需要打开一下诸如百度网站这样的页面,然后访问一下网络,尝试后发现路由表更新了。
4.实践总结
本次实践主要模拟进行了ARP缓存欺骗攻击、ICMP重定向攻击、SYN Flood 攻击、SYN RST 攻击、TCP会话劫持攻击,通过进行以上实践,使我更加深刻地理解到了它们的攻击过程,明白了网络安全的重要性。同时自己也需要多努力多总结,进一步加深对网络攻防知识的了解与应用。
