# 20251901 2024-2025-2 《网络攻防实践》实验四

目录

• 一、实验任务

• 二、实验材料或资源

• 三、知识点梳理

• 四、实验工具简介

• 五、实验详细过程

  • 5.1 ARP缓存欺骗攻击

  • 5.2 ICMP重定向攻击

  • 5.3 SYN Flood攻击

  • 5.4 TCP RST攻击

  • 5.5 TCP会话劫持攻击

• 六、实验过程中遇到的问题及解决

• 七、学习收获及感想

实践四 TCP/IP网络协议攻击

实验内容：
在网络攻防实验环境中完成TCP/IP协议栈重点协议的攻击实验，包括ARP缓存欺骗攻击、ICMP重定向攻击、SYN Flood攻击、TCP RST攻击、TCP会话劫持攻击。
作业要求：需要包括以下几点
1.实践内容
2.实践过程
3.学习中遇到的问题及解决
4.学习感想和体会

一、实验任务

• 本次实验围绕TCP/IP协议栈重点协议的安全漏洞，开展五种常见网络攻击实验，具体如下：

1. ARP缓存欺骗攻击
2. ICMP重定向攻击
3. SYN Flood攻击
4. TCP RST攻击
5. TCP会话劫持攻击

二、实验材料或资源

• Kali虚拟机
• SEED虚拟机
• winXP虚拟机
• 工具（netwox、ettercap、wireshark）
• 实验所需的其他网络攻防工具（在kali中安装）

三、知识点梳理

在本次实验中，攻击的核心逻辑为：找到协议缺陷→用工具伪造信息/发送异常报文→验证靶机的状态变化

• 1. ARP缓存欺骗攻击原理
  ARP（地址解析协议）是TCP/IP协议栈中链路层与网络层的关键协议，核心功能是将网络层的IP地址解析为链路层的MAC地址，确保数据帧能准确送达目标设备。ARP协议的设计存在天然缺陷：缺乏身份认证机制，且主机ARP缓存表的更新遵循“最新优先”原则——只要收到ARP响应报文（无论是否主动请求），就会自动更新本地ARP缓存，覆盖原有IP-MAC映射关系。
  ARP缓存欺骗攻击（又称ARP毒化）正是利用这一缺陷，攻击者（Kali）伪造ARP响应报文，向靶机（SEED）发送虚假的IP-MAC映射信息，将目标IP（WinXP的IP）对应的MAC地址篡改为攻击者自身的MAC地址。这样一来，SEED发送给WinXP的所有数据，都会被转发到攻击者Kali，从而实现流量劫持或中断通信的目的。

• 2. ICMP重定向攻击原理
  ICMP（互联网控制消息协议）是TCP/IP协议栈中用于传递网络控制信息（如差错报告、路由建议）的协议，其中ICMP重定向报文是一种正常的网络优化机制——当路由器发现主机的数据包转发路径不是最优时，会发送ICMP重定向报文，告知主机更优的网关地址，让主机直接将数据发送到该网关，减少转发环节。
  ICMP重定向攻击利用这一正常机制，攻击者伪造ICMP重定向报文，冒充网关向靶机（SEED）发送虚假的路由信息，将SEED的默认网关篡改为攻击者（Kali）的IP地址。此后，SEED发送的所有外网流量（如ping百度）都会先转发到Kali，攻击者可实现流量监听、篡改或中断，甚至造成拒绝服务攻击。

• 3. SYN Flood攻击原理
  SYN Flood攻击是典型的拒绝服务（DoS）攻击，利用TCP三次握手的协议缺陷实施攻击。TCP三次握手的正常流程为：客户端发送SYN（同步）报文请求建立连接；服务器响应SYN+ACK（同步+确认）报文，进入SYN_RECV半连接状态；客户端发送ACK（确认）报文，双方建立正常连接（ESTABLISHED状态）。
  SYN Flood攻击的核心的是：攻击者（Kali）向目标主机（WinXP）发送大量伪造源IP的TCP SYN报文，服务器收到后会响应SYN+ACK报文，但由于源IP是伪造的，服务器无法收到客户端的ACK确认报文，只能一直处于半连接状态，等待超时后才会释放资源。当大量半连接请求耗尽服务器的TCP半连接队列资源时，服务器将无法处理正常用户的连接请求（如telnet登录），从而实现拒绝服务。

• 4. TCP RST攻击原理
  TCP协议中，RST（复位）标志位用于强制中断当前的TCP会话连接，当主机收到带有RST标志位的TCP报文时，会立即终止对应的TCP连接，无需经过正常的四次挥手断开流程。TCP协议的设计缺陷在于：缺乏对RST报文的身份验证，任何主机都可以伪造RST报文，中断其他主机之间的TCP会话。
  TCP RST攻击的原理的是：攻击者（Kali）监听靶机（SEED）与目标主机（WinXP）之间的TCP会话（如telnet会话），获取会话的源IP、目标IP、源端口、目标端口等信息，然后伪造带有RST标志位的TCP报文，冒充SEED向WinXP发送，或冒充WinXP向SEED发送。目标主机收到伪造的RST报文后，会立即中断当前的TCP会话，导致通信异常中断。

• 5. TCP会话劫持攻击原理
  TCP会话劫持攻击是一种中间人攻击，核心是劫持两台主机之间已建立的TCP会话，冒充其中一方与另一方通信，从而获取会话中的敏感信息（如账号、密码）或篡改会话数据。其实现依赖ARP欺骗和TCP会话信息监听两大核心步骤。
  首先，攻击者（Kali）通过ARP欺骗，将SEED和WinXP的ARP缓存表篡改，使两者的流量都经过Kali（即中间人位置）；然后，攻击者利用工具（如ettercap）监听两者之间的TCP会话，获取会话的四元组（源IP、源端口、目标IP、目标端口）和序列号等关键信息；最后，攻击者伪造TCP报文，插入到会话中，冒充其中一方继续通信，从而实现会话劫持，获取会话中的敏感数据（如telnet登录的账号密码）。

四、实验工具简介

1. netwox

• 工具简介：一款功能强大的网络工具集，包含多个模块，可用于生成、发送、捕捉网络报文，支持ARP、ICMP、TCP等多种协议的攻击实验，操作简单，命令简洁，适合新手使用，能快速实现各类协议攻击。
• 选用原因：本次实验的5种攻击中，有4种（ARP缓存欺骗、ICMP重定向、SYN Flood、TCP RST）均可通过netwox的对应模块快速实现，无需手动编写复杂代码；同时，netwox能自动处理报文伪造、发送等细节，减少操作失误。

2. ettercap

• 工具简介：一款开源的网络嗅探和中间人攻击工具，支持ARP欺骗、会话劫持、流量监听等功能，可捕捉局域网内的TCP/UDP会话数据，能直接查看明文传输的敏感信息（如账号、密码），图形化界面操作，易于上手，是TCP会话劫持攻击的常用工具。
• 选用原因：TCP会话劫持需要同时实现ARP欺骗和会话监听，ettercap集成了这两个功能，无需单独操作多个工具；图形化界面便于选择攻击目标、开启ARP毒化、查看会话数据，无需记忆复杂命令，能快速验证会话劫持效果。

3. wireshark

• 工具简介：一款开源的网络报文捕捉与分析工具，能实时捕捉网络中的所有报文，支持按协议、IP、端口等条件过滤报文，可查看报文的详细信息（如标志位、源IP、目标IP、数据内容），是验证攻击效果的核心工具。
• 选用原因：所有攻击的效果都能通过报文变化体现（如ARP欺骗的虚假响应报文、SYN Flood的大量SYN报文、RST攻击的RST报文），wireshark能直观展示这些报文，帮助观察攻击过程、验证攻击是否成功；同时，过滤功能可快速定位目标报文，避免无关报文干扰。

4. arp命令

• 工具简介：系统自带的ARP缓存表查看工具，通过简单命令即可查看本地ARP缓存中的IP-MAC映射关系，无需额外安装，操作便捷。
• 选用原因：ARP缓存欺骗攻击的核心是篡改ARP映射表，arp命令是最直接、最便捷的验证工具，可通过“arp -a”命令快速查看攻击前后ARP缓存表的变化，判断欺骗是否成功。

5. route命令

• 工具简介：系统自带的路由表查看工具，通过“route -n”命令可查看本地路由表信息，包括目标网络、网关、下一跳等。
• 选用原因：ICMP重定向攻击的核心是篡改路由表，route命令可查看攻击前后路由表的变化，尤其是下一跳的地址变化，帮助验证路由是否被成功篡改。

五、实验详细过程

5.1 ARP缓存欺骗攻击

（1）前置准备操作

• 首先查看三台主机的IP和MAC地址：在每台主机的命令行中输入对应命令（Kali/SEED：ifconfig；WinXP：ipconfig /all），记录IP和MAC，确保三者处于同一网段，可正常通信。
  
  
  
  由此得到：
  kali：
  IP：192.168.188.10
  MAC：00:0c:29:5f:40:27
  seed:
  IP:192.168.188.11
  MAC:00:0c:29:95:1a:76
  winxp:
  IP:192.168.188.3
  MAC:00-0C-29-39-0B-67

• 接下来，使用SEED ping靶机：在SEED的命令行中输入“ping 192.168.188.10”（ping Kali）和“ping 192.168.188.3”（ping WinXP），ping通后，说明SEED与两台主机通信正常，且SEED的ARP缓存表中已生成对应的IP-MAC映射。
  
  

• 查看SEED的ARP缓存表：在SEED的命令行中输入“arp -a”，查看192.168.200.3（WinXP）对应的MAC地址，记录下来（作为攻击前的对比基准）。
  

• 接下来，在kali虚拟机上下载netwox，为后续攻击做准备：
  
  
  （2）攻击实施

• 在Kali的命令行中输入：
  netwox 80 -e 00:0c:29:5f:40:27 -i 192.168.188.3
  

• netwox 80：调用netwox的80号模块，该模块专门用于实施ARP缓存欺骗攻击，核心功能是伪造ARP响应报文。
  -e 00:0c:29:5f:40:27：指定伪造的MAC地址，这里填写Kali自身的MAC地址，目的是将WinXP的IP对应的MAC地址篡改为此地址。
  -i 192.168.188.3：指定攻击目标的IP地址，这里是WinXP的IP，即向SEED发送“192.168.188.3的MAC是Kali的MAC”的虚假ARP响应。
  （3）结果验证操作

• 在SEED的命令行中再次输入“arp -a”，查看192.168.188.3对应的MAC地址，发现该MAC地址已变成Kali的MAC，说明ARP缓存欺骗攻击成功。
  

• 实验小结
  ARP缓存欺骗攻击：篡改IP-MAC映射，让靶机“找错目标”
  （1）前置准备：首先查看IP和MAC地址，因为ARP欺骗的核心是“篡改IP对应的MAC”，必须先明确三台主机的IP（攻击目标IP）和MAC（攻击者自身MAC），否则无法精准伪造ARP响应报文。为什么要ping靶机？——ping操作会触发ARP解析，让SEED的ARP缓存表中生成WinXP和Kali的IP-MAC映射，为后续“篡改映射”做准备，若不ping，SEED的ARP缓存表中可能没有目标IP的映射，无法验证篡改效果。
  （2）攻击实施：为什么用netwox 80命令？——netwox工具的80号模块专门用于ARP缓存欺骗，能自动伪造ARP响应报文；命令中“-e 攻击者MAC”是指定伪造的MAC地址（Kali自身MAC），“-i 靶机IP”是指定要篡改的目标IP（WinXP的IP），本质是向SEED发送“192.168.188.3（WinXP）的MAC是Kali的MAC”的虚假信息。
  （3）结果验证：为什么再次用arp -a查看？——通过对比攻击前后SEED的ARP缓存表，若WinXP的IP对应的MAC变成了Kali的MAC，说明欺骗成功，这是最直接、最易观察的验证方式，可通过“前后对比”快速判断攻击效果。

5.2ICMP重定向攻击

（1）前置准备

• 查看SEED的路由表：在SEED的命令行中输入“route -n”，查看默认网关，记录下网关IP，后续需要冒充该网关发送ICMP重定向报文。
  

• SEED ping百度：在SEED的命令行中输入“ping www.baidu.com”，确保SEED能访问外网，同时打开wireshark（选择SEED的网卡），过滤“icmp”，可看到正常的ICMP回声请求和响应报文，熟悉正常ICMP报文的格式。
  
  

（2）攻击实施

• 在Kali的命令行中输入：
  netwox 86 -f "host 192.168.188.11" -g 192.168.188.10 -i 192.168.188.3
  
• netwox 86：调用netwox的86号模块，该模块专门用于实施ICMP重定向攻击，核心功能是伪造ICMP重定向报文。
  -f "host 192.168.188.11"：指定攻击目标，这里是SEED的IP，即只向SEED发送伪造的ICMP重定向报文，避免影响其他主机。
  -g 192.168.188.10：指定新的网关IP，这里是Kali的IP，即让SEED将外网流量的下一跳改为Kali。
  -i 192.168.188.3：指定冒充的网关IP，这里是SEED的默认网关IP，目的是让SEED相信该重定向报文是来自合法网关的路由建议，从而更新路由表。
  （3）结果验证
• 查看wireshark：在SEED的wireshark中过滤“icmp”，可捕捉到带有“重定向”标志的ICMP报文，源IP是192.168.188.3（冒充的网关），目标IP是192.168.188.11（SEED），说明伪造的ICMP重定向报文发送成功。
  
• 再次ping百度并查看路由：在SEED的命令行中再次ping百度，然后输入“route -n”，发现外网流量的下一跳已变为Kali的IP，说明ICMP重定向攻击成功。
  

实验小结
ICMP重定向攻击：伪造路由建议，让靶机“走错路线”
（1）前置准备：为什么用route -n命令？——route -n用于查看SEED的路由表，明确SEED的默认网关，后续伪造ICMP重定向报文时，需要冒充这个网关发送信息。为什么ping百度并用水印工具查看ICMP包？——ping百度会触发SEED向外网发送数据包，产生ICMP报文（用于测试网络连通性），用水印工具捕捉ICMP包，是为了看到“正常的ICMP报文是什么样的”，便于后续对比“伪造的ICMP重定向报文”。
（2）攻击实施：为什么用netwox 86命令？——netwox的86号模块专门用于ICMP重定向攻击，能伪造ICMP重定向报文；命令中“-f host 192.168.188.11”是指定攻击目标（SEED的IP），“-g 192.168.188.10”是指定要篡改的新网关（Kali的IP），“-i 192.168.188.3”是冒充的网关IP（SEED的默认网关），本质是“以网关的名义，告诉SEED：去外网的最优路线是走Kali。
（3）结果验证：为什么再次ping百度并查看路由？——ping百度是为了触发SEED使用新的路由，用水印工具捕捉到ICMP重定向报文，说明伪造成功；查看SEED的路由表，若下一跳指向Kali的IP，说明SEED的路由已被篡改，攻击生效。

5.3SYN Flood攻击

（1）前置准备

• WinXP启用telnet服务：
  
• 在Kali的命令行中输入
  telnet 192.168.188.3，若能正常连接（出现登录界面），说明WinXP的telnet服务正常开启。
  

（2）攻击实施

• 在Kali的命令行中输入：
  netwox 76 -i 192.168.188.3 -p 23
  
• netwox 76：调用netwox的76号模块，该模块专门用于发送大量TCP SYN报文，实施SYN Flood攻击，核心功能是生成伪造的SYN请求包。
  -i 192.168.188.3：指定攻击目标IP，这里是WinXP的IP，即向WinXP发送SYN请求包。
  -p 23：指定攻击目标端口，这里是telnet服务的23号端口，即针对WinXP的telnet服务实施攻击，耗尽其TCP半连接资源。
  （3）结果验证
• 查看wireshark：过滤“tcp and port 23”，可看到大量带有SYN标志位的TCP报文，源IP为随机伪造的IP（netwox自动生成），目标IP是192.168.188.3，目标端口是23，说明SYN Flood攻击正在进行；此时尝试在SEED上telnet登录WinXP，会发现无法连接，说明WinXP的23号端口已被耗尽资源，攻击成功。
  

实验小结
SYN Flood攻击：发送大量请求，让靶机“忙不过来”
（1）前置准备：为什么要在WinXP中启用telnet？——telnet服务使用23号端口，且基于TCP协议，是SYN Flood攻击的理想目标；启用telnet后，WinXP会监听23号端口，接收TCP连接请求，为攻击提供目标。为什么先让Kali telnet登录WinXP？——验证telnet服务正常可用，确保攻击目标（23号端口）处于开放状态，避免因服务未开启导致攻击失败。
（2）攻击实施：为什么用netwox 76命令？——netwox的76号模块专门用于发送大量TCP SYN报文，实现SYN Flood攻击；命令中“-i 192.168.188.3”是攻击目标IP（WinXP），“-p 23”是攻击目标端口（telnet服务端口），本质是向WinXP的23号端口发送大量伪造的TCP SYN请求，耗尽其半连接队列资源。
（3）结果验证：为什么用水印工具捕捉包？——SYN Flood攻击的核心现象是“大量SYN标志的TCP包”，用水印工具捕捉到这些包，且目标地址是WinXP的IP、目标端口是23，说明攻击正在进行；可通过“水印工具中SYN包的数量”判断攻击效果，包数量越多，攻击越明显。

5.4TCP RST攻击

（1）前置准备

• 建立telnet会话：在SEED的命令行中输入“telnet 192.168.188.3”，登录WinXP（输入WinXP的用户名和密码），确保SEED与WinXP建立稳定的TCP会话。
  

（2）攻击实施

• 在Kali的命令行中（root权限）输入：netwox 78 -i 192.168.188.3 --device eth0
  
• netwox 78：调用netwox的78号模块，该模块专门用于伪造TCP RST报文，实施TCP RST攻击，核心功能是生成带有RST标志位的TCP报文。
  -i 192.168.188.3：指定目标主机IP，这里是WinXP的IP，即向WinXP发送伪造的RST报文。
  --device eth0：指定攻击使用的网卡，这里是Kali的eth0网卡，确保报文能正常发送到局域网内的WinXP。
• 补充说明：该命令会让Kali伪造SEED的身份（源IP为SEED的IP），向WinXP发送大量RST报文，强制中断两者的TCP会话。
  （3）结果验证
• 观察SEED的会话状态：SEED上的telnet会话会突然中断，出现“连接被强制关闭”的提示，说明会话已被中断。
  
• 查看wireshark：可看到大量带有RST标志位的TCP报文，源IP是192.168.188.11（SEED的IP），目标IP是192.168.188.3（WinXP的IP），说明RST报文伪造成功。
  
• 再次尝试登录：在SEED的命令行中再次输入“telnet 192.168.188.3”，会发现无法登录，说明WinXP的23号端口已被RST攻击影响，无法建立新的TCP会话。
  

实验小结
TCP RST攻击：伪造复位报文，让会话“强制中断”
（1）前置准备：为什么要先让SEED telnet登录WinXP？——TCP RST攻击的目标是“已建立的TCP会话”，只有先建立telnet会话（基于TCP），才能实施中断攻击；若没有会话，RST报文没有攻击目标，无法验证效果。
（2）攻击实施：为什么用netwox 78命令？——netwox的78号模块专门用于伪造TCP RST报文，实施TCP RST攻击；命令中“-i 192.168.188.3”是目标主机IP（WinXP），“--device eth0”是指定攻击使用的网卡（Kali的eth0网卡），本质是让Kali伪造SEED的身份，向WinXP发送大量RST报文，强制中断两者的telnet会话。
（3）结果验证：为什么观察SEED的会话状态？——若SEED的telnet会话突然中断，说明攻击生效；用水印工具捕捉到RST标志的TCP包，且源IP是SEED的IP、目标IP是WinXP的IP，说明RST报文伪造成功；再次尝试登录失败，进一步验证WinXP的23号端口已被RST攻击影响，无法建立新的会话。

5.5TCP会话劫持攻击

（1）前置准备

• 在kali中打开ettercap工具，点击对号进入软件，启动ettercap的图形化界面
  
• 点击host中的scan for host对主机进行扫描：
  
  Scan for hosts：扫描主机是为了获取SEED和WinXP的IP和MAC地址，确保能精准设置攻击目标，若不扫描，无法找到目标主机。
• 可以点击host list查看扫描结果：
  

（2）攻击实施

• 设置攻击目标：在Hosts list中，选中SEED的IP，点击“Add to Target 1”，将SEED设为目标1；选中WinXP的IP，点击“Add to Target 2”，将WinXP设为目标2
  
  
  设置Target 1和Target 2：指定要劫持的两个主机，ettercap会针对这两个主机实施ARP欺骗，让Kali成为两者之间的中间人。
• 开启ARP毒化：点击“MITM→ARP poisoning”，在弹出的窗口中，勾选“Sniff remote connections”（监听远程连接），点击“OK”，此时ettercap会对SEED和WinXP实施ARP欺骗，让两者的流量都经过Kali。
  
  ARP poisoning：ARP毒化是实现中间人攻击的核心，通过篡改SEED和WinXP的ARP缓存表，让两者的流量都转发到Kali，从而实现会话监听。
• 建立telnet会话：在SEED的命令行中输入“telnet 192.168.188.3”，登录WinXP：
  
  （3）结果验证
• 监听会话数据：在Kali的ettercap界面中，点击“View→Connections”，打开会话清单，可看到SEED与WinXP之间的telnet会话（显示源IP、目标IP、端口等信息），选中该会话，即可看到会话中的所有数据，包括输入的用户名和密码。
  
  

实验小结
TCP会话劫持攻击：监听会话流量，“偷取”敏感信息
（1）前置准备：为什么用ettercap扫描主机？——ettercap是中间人攻击工具，扫描主机（scan for host）是为了获取局域网内所有主机的IP和MAC地址，找到SEED和WinXP的地址，为后续设置攻击目标做准备；若不扫描，无法精准选择target1和target2。
（2）攻击实施：为什么要设置target1和target2？——target1（SEED）和target2（WinXP）是要劫持的两个主机，ettercap会对这两个主机实施ARP欺骗，让两者的流量都经过Kali；为什么开启ARP poisoning？——ARP poisoning（ARP毒化）是实现中间人攻击的核心，通过篡改SEED和WinXP的ARP缓存表，让Kali成为两者之间的“流量中转站”，才能监听会话数据；为什么用telnet登录？——telnet会话是明文传输，能直接捕捉到账号和密码，便于验证劫持效果，若用加密传输（如SSH），则无法获取敏感信息。
（3）结果验证：为什么查看connections清单？——connections清单中会显示Kali监听的所有TCP会话，找到SEED与WinXP的telnet会话，若能看到其中的用户输入（账号、密码），说明会话劫持成功。

六、实验过程中遇到的问题及解决

1. 在进行ICMP重定向攻击实验时，发现让seed以192.168.188.3的名义发送ICMP重定向报文时，ping百度时没有变化。
   

• 问题解决：最后发现是IP地写错了。
  

2. 在进行TCP会话劫持攻击的时候，监听远程连接的连接数据没有显示
   

• 问题解决：后来发现是telnet登录时没有连接成功。等连接成功之后即可看到连接数据。

七、学习收获及感想

• 通过本次TCP/IP协议栈重点协议攻击实验，我不仅掌握了ARP缓存欺骗、ICMP重定向、SYN Flood、TCP RST、TCP会话劫持5种攻击的实现方法，更深入理解了TCP/IP协议栈的工作机制和安全缺陷，收获颇丰，同时也有了深刻的心得体会。

• 首先在实验内容上，ARP缓存欺骗攻击：通过实验，成功篡改SEED的ARP缓存表，将WinXP的IP对应的MAC地址改为Kali的MAC，实现了ARP缓存欺骗，验证了ARP协议缺乏身份认证的缺陷。ICMP重定向攻击：成功伪造ICMP重定向报文，冒充网关篡改SEED的路由表，让SEED的外网流量下一跳指向Kali，实现了流量劫持，验证了ICMP重定向机制的安全隐患。SYN Flood攻击：成功向WinXP的23号端口发送大量SYN报文，耗尽其TCP半连接资源，导致WinXP的telnet服务无法正常响应，实现了拒绝服务攻击，验证了TCP三次握手的协议缺陷。TCP RST攻击：成功伪造RST报文，强制中断SEED与WinXP的telnet会话，且导致后续无法重新建立连接，验证了TCP协议中RST标志位的作用及缺乏身份验证的缺陷。TCP会话劫持攻击：成功通过ettercap实施ARP欺骗，监听SEED与WinXP的telnet会话，获取了登录用户名和密码，实现了TCP会话劫持，验证了中间人攻击的实现逻辑。

• 其次，在实验之前，我对这5种攻击的原理只有书本上的理论认知，对于如何实施攻击等问题一知半解。而通过亲手操作实验，从找到实验思路，到输入命令，再到用工具验证效果，每一个步骤都让我对攻击原理有了更直观、更深刻的理解。例如，在ARP缓存欺骗攻击中，我通过对比攻击前后SEED的ARP缓存表变化，真正明白了“ARP协议缺乏身份认证”的缺陷是什么，也理解了“篡改IP-MAC映射”的具体含义；在TCP会话劫持攻击中，通过ettercap的图形化操作，我清晰地看到了中间人攻击的全过程。

• 此外，通过本次实验，我还体会到在网络攻防的过程中要注重细节，很多看似简单的操作，一旦出现细节错误，就会导致实验行不通。例如，输入netwox命令时，MAC地址少输一位、IP地址输错，都会导致攻击无法生效等等。