20212820 2021-2022-2 《网络攻防实践》第四周作业

一、实践内容

1.ARP缓存欺骗:是指攻击者在以太网或无线网上发送伪造的ARP消息,对特定IP所对应的MAC地址进行假冒欺骗,从而达到恶意目的的攻击技术。

(1)原理:ARP协议将主机的IP地址解析成其MAC地址,然后在局域网内通过MAC地址进行通信

ARP协议在进行查询时存在安全缺陷,一方面采用广播请求的方式询问映射,但没有对询问的信息做安全性验证;另一方面设计了ARP缓存机制,会将主动的ARP应答作为有效信息记录。 实施ARP欺骗的过程如下图所示:源节点A会在局域网广播询问节点B的IP地址所映射的MAC地址;攻击节点C会说自己的MAC地址就对应节点B的IP地址,并源源不断发送响应包给A;源节点A就保存了错误的IP地址和MAC的映射关系;当A要再次发包给B时,它不再播询问,而是将包直接发给了C。

(2)攻击工具:Netwox中的33号工具可构造任意以太网的ARP数据包,80号工具可周期性发送ARP应答包。

(3)防范措施:静态绑定关键主机的IP地址与MAC地址的映射关系、使用ARP防范工具,加密传输数据

2.ICMP重定向攻击:是指攻击者伪装成路由器发送虚假的ICMP路径路由控制报文,使得受害主机选择攻击者指定的路由路径,从而进行嗅探或假冒攻击的一种技术。

 (1)ICMP路由重定向攻击技术:攻击节点利用IP源地址欺骗技术,冒充网关地址,向被攻击节点发送ICMP报文;被攻击节点选择新路由IP地址为新路由器;攻击节点可以开启路由转发,对被攻击节点全程监听。

(2)工具:利用Netwox进行ICMP路由重定向攻击

(3)防范措施:设置防火墙过滤,判断ICMP报文是否来自本地路由器等。

3.TCP SYN Flood拒绝服务攻击(DOS)

SYN泛洪攻击利用TCP三次握手的缺陷,向目标主机发送大量的伪造源地址的SYN连接请求,从而导致目标主机连接列队资源消耗而不能提供服务。

 (1) 攻击原理:攻击主机向受害主机发送大量报文,受害机必须要分配资源并且向源地址返回SYN/ACK包,还要等待源端返回ACK包。当半开的列队填满时,服务器就会拒绝新的连接,最终使受害主机拒绝服务。

(2) 工具:Netwox软件,选择编号为76的“Synflood”工具并输入目标地址,攻击机即开始执行攻击。

(3) 防范措施:SYN-Cookie技术;防火墙地址状态监控技术。

4.TCP RST攻击:是一种假冒干扰TCP通信连接的技术方法。TCP协议头中有一个“reset”比特位,绝大部分数据包该位为0,一旦该位为0,则接受数据包的主机将断开此TCP连接。如图,攻击者嗅探到A、B之间的IP地址及端口号后,即可关闭这个连接。Network工具可以选择编号为78的“Rest every TCP packet”工具来实现TCP RST攻击. 

5.TCP会话劫持攻击

目标是劫持通信双方的TCP会话连接,假冒其中一方的身份与另一方进行通信。

攻击过程如下图所示,攻击者通过ARP欺骗实施中间人攻击,可嗅探得Victim和talent之间的会话内容,然后假冒其victim的IP地址及身份,与talent会话;发送的数据包必须满足条件SVR_ACK<=CLT_SEQ<=SVR_ACK+SVR_WND。

防范措施:禁用主机上的原路由,静态绑定IP-MAC映射表、引用和过滤ICMP重定向报文。

二、实践过程

1.ARP缓存欺骗攻击

主机名 IP MAC
Metasploitable_ubuntu   192.168.200.125 00:0c:29:80:25:81
win2kServer_SP0_target 192.168.200.124 00:0c:29:85:0e:82
kali  192.168.200.4 00:0c:29:49:ec:17

i.安装netwox

 ii.ubuntu ping win2k

 iii.在ubuntu中输入指令arp -a

 

iv.输入指令netwox 80 -e 00:0c:29:49:ec:17 -i 192.168.200.124 ,这里的mac地址是指kali的mac地址,ip地址是靶机win2k的ip地址.

 v.发现系统弹窗提示

 vi.再次查看ubtuntu 输入命令arp -a,如下图所示,我们可以清楚看见win2k的MAC地址被改变了,欺骗成功

2.ICMP重定向攻击

主机 IP
kali   172.16.69.125
seedubuntu 172.16.69.110

 i.在ubuntu上ping  baidu.com,然后输入指令route -n来获取这个主机所对应的网关地址,可得ubuntu的网关为172.16.69.254

 ii.输入指令netwox 86 -f "host 172.16.69.110" -g 192.172.16.69.125 -i 172.16.69.254

  在攻击机Kali上使用netwox中的86号工具伪造重定向数据包,首先嗅探链路中所有来自SEEDUbuntu的TCP数据包,然后kali就以网关172.16.69.254的名义向SEEDUbuntu发送ICMP重定向包.

iii.打开wireshark,可以看到攻击机冒充路由给靶机发送了大量的ICMP报文

 3.SYN Flood攻击

主机名 IP地址
kali 172.16.69.125
Metasploitable_ubuntu  172.16.69.178
seedubuntu 172.16.69.110

i.在seedubuntu主机上使用TELNET服务登录靶机Metasploitable_ubuntu,登录成功

ii.在攻击机Kali上使用netwox中的76号工具对MetasploitableUbuntu展开SYN Flood攻击

输入指令:sudo netwox 76 -i 172.16.69.178 -p 23:

iii.检查SEEDUbuntu能否与MetasploitableUbuntu进行正常telnet连接,发现此时已经无法连接:

iv.在Kali上使用Wireshark监听,可以发现Kali向MetasploitableUbuntu发送了大量伪造源地址的SYN请求数据包:

v.在攻击机Kali上停止使用SYN Flood攻击工具,检查SEEDUbuntu能否与MetasploitableUbuntu进行正常telnet连接,发现可以正常连接了

4.TCP RST攻击

主机名 IP地址
kali 172.16.69.125
Metasploitable_ubuntu  172.16.69.178
seedubuntu 172.16.69.110

i.检查SEEDUbuntu能否与MetasploitableUbuntu进行正常telnet连接,指令是telnet ip地址

ii.在攻击机Kali上使用netwox中的78号工具对MetasploitableUbuntu展开TCP RST攻击

输入指令是 sudo netwox 78 -i  172.16.69.178:

iii.检查SEEDUbuntu能否与MetasploitableUbuntu进行正常telnet连接,发现此时已经无法连接:

iv.在Kali上使用Wireshark监听,可以发现Kali向MetasploitableUbuntu发送了RST数据包:

 v.在攻击机Kali上停止使用TCP RST攻击工具,检查SEEDUbuntu能否与MetasploitableUbuntu进行正常telnet连接,发现可以正常连接了

 5.TCP会话劫持攻击

主机名 IP地址
kali 172.16.69.125
Metasploitable_ubuntu  172.16.69.178
seedubuntu 172.16.69.110

i.在kali中使用指令sudo ettercap -G打开攻击工具ettercap,点击右上角的钩,accept并进入到操作界面

ii.打开Ettercap Menu->Hosts->Host List,查看一下MetasploitableUbuntu与SEEDUbuntu的ip是否都在列表里

iii.找到MetasploitableUbuntu与SEEDUbuntu后,我们分别把这两台虚拟机设为target1和target2,准备实施攻击

iv.点击MITM Menu->ARP poisoning,然后点击OK,开始攻击,下方显示框里也表明此时的受害机是MetasploitableUbuntu与SEEDUbuntu

v.在SEEDUbuntu主机上使用telnet服务登录靶机MetasploitableUbuntu,登录成功,此登录过程已被嗅探攻击

vi.回到ettercap工具,点击Ettercap Menu->View->Connections查看连接情况,打开后能够看到SEEDUbuntu登录MetasploitableUbuntu使用的用户名和密码

三、学习中遇到的问题及解决

  • 问题1:SEEDUbuntu无法连接外网
  • 问题1  解决方案:将SEEDUbuntu、kali和SEEDUbuntu、MetasploitableUbuntu的网络适配器设置成自定义(VMnet0),此时三者都在同一网段并可连接外网
  • 问题2:kali使用netwox命令失败
  • 问题2  解决方案:检查输入的命令是否正确、其次是否加了sudo 一定要以管理员权限输入命令。

四、学习感想和体会

  通过这次的实验,大大增加了我的网络攻防素质,增强了我的动手实践能力,让我对网络协议更加了解,我也对这门课的兴趣越来越大,希望在后面的课程中能学习到更多的能力,掌握更多工具的使用。

posted @ 2022-04-10 19:04  JIDIAN  阅读(119)  评论(0编辑  收藏  举报