20211907 刘昌赫 2021-2022-2 《网络攻防实践》第4次作业

实验原理
ARP 欺骗攻击：ARP 是个早期的网络协议，RFC826在 1980就出版了。早期的互联网采取的是信任模式，在科研、大学内部使用，追求功能、速度，没考虑网络安全。ARP 欺骗就是非法的宣称自己是某个 IP 的 MAC 地址，使询问者错误的更新 ARP 缓存表，这样被欺骗主机发送的数据就会发送到发起攻击的主机，而不是理想的目的 IP 主机。如果攻击者将目的主机也欺骗，就可以实现对两台主机之间数据传输的控制。仅能在以太网（局域网如机房、内网、公司网络等）进行。无法对外网（互联网、非本区域内的局域网）攻击。
ICMP重定向攻击：ICMP重定向信息是路由器向主机提供实时的路由信息，当一个主机收到ICMP重定向信息时，它就会根据这个信息来更新自己的路由表。由于缺乏必要的合法性检查，如果一个黑客想要被攻击的主机修改它的路由表，黑客就会发送ICMP重定向信息给被攻击的主机，让该主机按照黑客的要求来修改路由表。
YN Flood攻击概念
SYN Flood攻击是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，常用假冒的IP或IP号段发来海量的请求连接的第一个握手包(SYN包)，被攻击服务器回应第二个握手包(SYN+ ACK包)，因为对方是假冒IP对方永远收不到包且不会回应第三个握手包。导致被攻击服务器保持大量SYN RECV状态的“半连接”,并且会重试默认5次回应第二个握手包，塞满TCP等待连接队列，资源耗尽(CPU满负荷或内存不足) ,让正常的业务请求连接不进来。
TCP RST攻击;TCP重置报文会直接关闭一个TCP会话连接，恶意攻击者滥用TCP重置报文，对正常的网络通信造成严重的威胁

实验内容
任务：在网络攻防实验环境中完成TCP/IP协议栈重点协议的攻击实验，包括ARP缓存欺骗攻击、ICMP重定向攻击、SYN Flood攻击、TCP RST攻击、TCP会话劫持攻击。
本次实验中使用的虚拟机：
A：kali虚拟机（攻击机）
B: windows本机（一号靶机）
C: SEED_Ubuntu虚拟机（二号靶机）

主机 IP地址 MAC地址
A 192.168.1.112 00:0c:29:74:18:3b
B 192.168.1.105 F0-77-C3-15-DE-E8
C 192.168.1.103 00:0c:29:cb:83:e2

ARP欺骗攻击

先ping一下看一下连通性.
本次实验使用netwox进行ARP欺骗,首先使用sudo apt-get install netwox命令安装。

注：Netwox可以使用33号工具 Spoof EthernetArp packet（构造任意的以太网ARP数据报），80号工具Periodically send ARP replies（周期性地发送ARP应答）。
之后，输入命令：netwox 80 00:0c:29:74:18:3b -i 192.168.1.103，成功的将攻击机伪装成Windows。

这样就完成ARP欺骗，我们打开wireshark，让seed靶机去ping Windows靶机，进而kali就可以监听到两个靶机之间的通信了。
ICMP重定向攻击
使用netwox 86 -f "host 192.168.1.103" -g 192.168.1.112 -i 192.168.1.1命令，这句话的意思是，嗅探网络中来自SEED靶机192.168.1.103的数据包时，以网关192.168.1.1（网关）的名义，向数据包的源地址发送一个ICMP重定向报文，使之使用192.168.1.112作为默认的路由.
之后用seed去ping Windows，得到下图的结果：

可以看到下一跳路由(nexthop)为攻击机192.168.1.112
TCP SYN Flood攻击
我们用Windows对SEED靶机发起telnet访问，命令为：telnet 192.168.1.103,使用SEED的用户名和密码登录（用户：seed 密码：dees），发现可以正常连接，输入exit退出

在kali打开wireshark抓包，并在终端使用netwox 76 -i 192.168.1.103 -p 23命令开始对SEED靶机进行SYN Flood攻击，在wireshark可以看到伪造源IP的SYN包

TCP RST攻击
我们打开kali，使用netwox 78 -i 192.168.1.103命令，这样就会发现在攻击后，Windows靶机失去了和seed靶机的链接。

TCP会话劫持攻击
在本次实验中，我们需要在kali中安装ettercap组件，安装过程如下：
sudo apt-get install ettercap-graphical
sudo su
ettercap -G
这样就安好了。
之后我们先用他来进行一次ARP欺骗，打开之后依次点击Sniff→选择网卡后点击确定 →Host→Scan for hosts→Host list→选择两台靶机分别为targer1和target2 →Mitm→ ARP poisoning。至此ARP欺骗自动完成。
之后，我们可以通过view查看所有的网络连接，选择我们的TCP.port==23的连接就可以找到我么们的telnet登录会话

回头去看wireshark抓到的包。会看到大片的红色错误报文，由两类报文组成：TCP Dup ACK XXXX和TCP Retransmission。其中TCP Dup ACK XXXX表示序号为XXXX的报文丢失，TCP Retransmission表示请求数据重传，这就说明劫持成功了。

学习中遇到的问题及解决

问题：开始时，Windows总是ping不到seed靶机，显示没响应。
解决：按照教程重装了一遍seed靶机，之后问题顺利解决。
学习感想和体会
在本次实验中，我为了图省事直接用本机Windows来当靶机，在网上查阅相关信息后发现这样会有信息泄露的风险，看来以后还是得按部就班的做，不能贪小便宜。