20242816 2024-2025-2 《网络攻防实践》第4次作业
20242816 2024-2025-2 《网络攻防实践》第4次作业
1 实验内容
任务:
在网络攻防实验环境中完成TCP/IP协议栈重点协议的攻击实验,包括ARP缓存欺骗攻击、ICMP重定向攻击、SYN Flood攻击、TCP RST攻击、TCP会话劫持攻击。
基本原理
ARP缓存欺骗攻击
ARP缓存欺骗攻击是局域网中常见的一种中间人攻击方式。攻击者通过发送伪造的ARP应答包,将自己的MAC地址冒充为网关或另一主机的MAC地址,从而欺骗目标主机更新其ARP缓存。这样,原本应发往网关的数据就会被发送到攻击者设备上,从而实现数据截获、篡改、监听或转发。ARP协议本身缺乏身份验证机制,因此这一攻击方式具有很强的隐蔽性,适用于实施监听、DNS欺骗、劫持会话等后续攻击。
ICMP重定向攻击
ICMP重定向攻击是利用ICMP协议中的“重定向”类型消息,诱骗目标主机更改其路由选择。攻击者通常伪装成网关,并向目标主机发送一条假的ICMP重定向消息,指示其将流量改道到攻击者伪造的网关地址。受害主机在接收该消息后会将路由表更新为错误路径,导致其后续流量经由攻击者设备转发,从而实现中间人攻击。此类攻击主要发生在缺乏路由防护和认证机制的环境中,且会严重影响通信的完整性和安全性。
SYN Flood攻击
SYN Flood 是一种典型的拒绝服务攻击形式,其核心思想是滥用TCP三次握手机制。攻击者不断向目标服务器发送大量伪造源地址的SYN请求包,并不回应服务器发回的SYN-ACK,从而使服务器一直等待ACK确认,造成半连接队列被填满,拒绝后续的正常连接请求。这类攻击会导致服务器资源耗尽,影响其对外服务能力,是破坏服务器可用性的重要手段,常用于攻击网站、服务端口或登录系统。
TCP RST攻击
TCP RST攻击是通过发送伪造的TCP重置(RST)包来强制终止正在进行的合法TCP连接。攻击者在掌握TCP连接的源IP、源端口、目的IP、目的端口后,构造一个带有合理序列号的伪造RST包发送给其中一方,迫使其认为连接异常而断开连接。这种攻击方式常用于阻断聊天会话、文件传输或终止远程登录。RST攻击特别适用于处于中间位置的攻击者,可用于切断通信或实施强制下线。
TCP会话劫持攻击
TCP会话劫持是指攻击者在TCP连接建立之后,通过预测或监听会话序列号,从而伪装成通信双方之一,插入恶意数据包并接管整个通信过程。攻击者通常在初始阶段通过抓包或ARP欺骗获取连接信息,然后构造具有合法序列号和确认号的TCP数据包发送至通信一方,使其误认为是来自合法对端。会话劫持可用于绕过认证过程,直接访问用户权限资源,危害较大,常被用于入侵后台系统、控制Web会话或执行命令注入。
2 实验过程
2.1 分别配置kali、SEEDUbuntu、Win2kServer、Metasploitable_ubuntu的网络适配器为VMnet8(NAT)模式
2.2 分别查看各主机的ip地址和mac地址
可以得到:
| 主机名 | IP 地址 | MAC 地址 |
|---|---|---|
| Kali Linux | 192.168.200.2 | 00:0c:29:8d:88:94 |
| SEEDUbuntu | 192.168.200.5 | 00:0c:29:76:c1:d5 |
| Metasploitable | 192.168.200.130 | 00:0c:29:8d:6c:9c |
| Win2kServer | 192.168.200.131 | 00:0c:29:ba:a1:81 |
2.3 ARP缓存欺骗攻击
2.3.1 用Metasploitable主机ping Win2kServer主机,再通过arp -a查看arp缓存表
可以看到正确输出了Win2kServer的mac地址
2.3.2 在kali主机上安装netwox工具
2.3.4 通过指令netwox 80 -e 00:0c:29:8d:88:94 -i 192.168.200.131进行修改arp缓存,使靶机的ip地址指向攻击机的mac地址
2.3.5 此时回到Metasploitable主机ping 192.168.200.131 发现无法ping通
2.3.6 在查看arp缓存表,发现mac地址已经被更改
2.4 ICMP重定向攻击
2.4.1 查看网关的ip
得到网关ip为192.168.200.1
2.4.2 在kali中输入netwox 86 -f “host 192.168.200.5” -g 192.168.200.2 -i 192.168.200.1,开始icmp攻击
2.4.3 在seedubuntu主机上ping Win2k主机,发现下一跳ip地址更改为kali的ip,数据来源于网关ip
2.4.4 在kali上查看icmp数据包的传输路径被修改
2.5 SYN Flood攻击
2.5.1 在seedubuntu上访问上一次实验的bbs网站
2.5.2 在kali上输入netwox 76 -i 192.168.200.5 -p 23
2.5.3 在wireshark上查看到大量tcp包,导致连接出错,实现syn flood攻击
2.6 TCP RST攻击
2.6.1 重复上述步骤,在seedubuntu上访问上一次实验的bbs网站
2.6.2 在kali上输入netwox 78 -i 192.168.200.5
发现断开连接
2.6.3 在wireshark上查看tcp数据包
2.7 TCP会话劫持攻击
2.7.1 在kali上打开Ettercap
2.7.2 开始scan host,并在host list中查看列表
2.7.3 将192.168.200.5设置为Target 1,将192.168.200.123设置为Target 2。
2.7.4 打开arp poisoning
2.7.5 打开views中的connects,在seedubuntu中telnet连接bbs网站,并输入guest,可以看到输入信息被劫持
3 学习中遇到的问题及解决
问题一:直接使用netwox时提示无法使用
解决:权限不够,在root模式下继续运行
问题二:seedubuntu主机无法telnet到Metasploitable
解决:选择连接上一次实验的bbs网站
4 学习感悟、思考等
本次实验通过kali主机中的诸多工具实现了不同形式的网络攻击,进行了信息的嗅探窃听、截取、网络攻击来中断拦截等功能。进一步复习了wireshark工具的使用,复习了数据包的捕获与分析。警示我们要重视网络安全问题,要加强隐私的保护,也要加强数据传输时的安全措施,进行相应的加密来保障数据安全,也告诫我们需要用更加有效的防御措施抵御网络攻击。
5 参考资料
https://bbs.csdn.net/topics/618379639?spm=1001.2014.3001.6377
https://www.cnblogs.com/ql5199/p/16093955.html
浙公网安备 33010602011771号