20251910 2025-2026-2 《网络攻防实践》第4次作业

目录

• 20251910 2025-2026-2 《网络攻防实践》实践四报告
  • 1.实践内容
    • 1.1知识点梳理与总结
    • 1.2实践任务
  • 2.实践过程
    • 2.1实践环境
    • 2.2实践过程
      • 2.2.1 ARP缓存欺骗攻击
      • 2.2.2 ICMP重定向攻击
      • 2.2.3 SYN Flood攻击
      • 2.2.4 TCP RST攻击
      • 2.2.5 TCP会话劫持攻击
  • 3.学习中遇到的问题及解决
  • 4.实践总结

20251910 2025-2026-2 《网络攻防实践》实践四报告

1.实践内容

1.1知识点梳理与总结

攻击类型	原理	攻击目标
ARP缓存欺骗攻击	ARP缓存欺骗攻击通过伪造ARP响应，将攻击者的MAC地址冒充为网关或目标主机的MAC地址，使数据包被错误地发送到攻击者设备，从而实现中间人攻击、数据篡改或拒绝服务。	使受害主机或网关无法将数据发送至正确的目标主机，从而劫持、监听或阻断网络通信
ICMP重定向攻击	ICMP重定向攻击是一种利用网络控制协议漏洞的攻击方式。攻击者通过伪造ICMP Redirect报文，向目标主机发送虚假的网关地址，目标主机接收到伪造的报文后，会更新路由表，将流量转发到攻击者指定的网关。	使受害主机更新错误的路由表，将数据发往攻击者指定的错误网关，从而实现流量劫持域监听
SYN Flood攻击	SYN Flood是一种经典的DDoS攻击，它利用TCP协议的三次握手机制，攻击者向服务器发送海量的变源IP地址或变源端口的TCP SYN报文，服务器响应了这些报文后就会生成大量的半连接，当系统资源被耗尽后，服务器将无法提供正常的服务。	耗尽目标主机的半连接队列资源，使其无法处理正常的连接请求，最终导致服务不可用
TCP RST攻击	攻击者伪造带有RST复位标志的TCP报文，伪装成通信双方中的一方发送给另一方。接收方收到后会认为连接异常，立即强制断开该TCP连接，从而中断正常通信，导致会话被强行终止。	中断受害主机已建立的正常TCP连接，使其通信突然断开、服务异常中断。
TCP会话劫持攻击	攻击者首先嗅探到正在进行TCP通信的两台主机之间传送的报文，获取源IP、源TCP端口号、目的IP、目的TCP端口号等信息。然后攻击者根据这些信息向目标主机发送一个带有净荷的TCP报文，使目标主机对下一个要收到的TCP报文中的确认号的值的要求发生变化，从而使合法主机发送的报文被拒绝，攻击者成功接管会话。	夺取正常TCP通信双方的会话控制权，冒充合法主机发送恶意数据或篡改通信内容。

1.2实践任务

在网络攻防实验环境中完成TCP/IP协议栈重点协议的攻击实验，包括ARP缓存欺骗攻击、ICMP重定向攻击、SYN Flood攻击、TCP RST攻击、TCP会话劫持攻击。

2.实践过程

2.1实践环境

虚拟机	IP地址	MAC地址
kali	192.168.200.5	00:0c:29:28:af:7d
seed	192.168.200.3	00:0c:29:fb:1a:91
winXP	192.168.200.8	00:0c:29:7b:1e:18

2.2实践过程

2.2.1 ARP缓存欺骗攻击

使用三台虚拟机，其中kali为攻击机，SEED和WinXP为靶机，它们的IP和mac地址见前面的表格。
首先用SEED ping kali和WinXP，以获取初始的arp表

在SEED中键入arp -a，查看当前的arp表，可以看到kali和winxp的ip地址和对应的mac地址

打开kali进行ARP欺骗攻击，在kali中输入

netwox 80 -e 00:0c:29:28:af:7d -i 192.168.200.8

将原本winxp ip所对应的物理地址覆盖成kali的物理地址

打开SEED，输入指令arp -a显示arp列表。发现mac地址改变

可以看到，WinXP的mac地址已经被映射成攻击机kali的mac地址了，SEED想要向WinXP（192.168.200.8）传递信息时会自动将ip转换为kali的mac地址，这样传递给WinXP的消息都会直接被Kali获取

2.2.2 ICMP重定向攻击

使用两台处于同一网段的主机，选择kali作为攻击机
在SEED中ping百度，可以通过SEED上自带的wireshark监控其icmp报文的传递过程

接着，在kali上执行如下命令：

netwox 86 -f "host 192.168.200.3" -g 192.168.200.5 -i 192.168.200.2

从网关将发往192.168.200.3的包进行重定向

可以在SEED中的命令窗口看到，在ping百度的IP时下一跳的IP地址已经变成了192.168.200.5，攻击成功。

在kali的wireshark中同样可以看到其通信过程

2.2.3 SYN Flood攻击

首先在winXP中启用telent服务，并设置为开启状态

按步骤在SEED上输入telent 192.168.200.8，使用telnet服务登录。可以看到登陆成功

然后进行SYN Flood攻击，在kali中输入命令如下：

netwox 76 -i 192.168.200.8 -p 23

该命令为对winXP的telnet服务端口，即23号端口进行SYN Flood攻击。
可以在kali的wireshark中看到大量SYN标志的TCP包，目的地址是192.168.200.8的23号端口

在SEED端看到无法与winXP建立telnet连接，攻击成功

2.2.4 TCP RST攻击

同样在SEED上输入telent 192.168.200.8，使用telnet服务登录winXP

在kali中输入命令如下，进行TCP RST攻击：

netwox 78 -i 192.168.200.8 --device eth0

在wireshark中可以看到kali伪造SEED对winXP发送了RST标志的包

在SEED上与winXP已经建立的telnet连接断开，登陆失败，攻击成功。

2.2.5 TCP会话劫持攻击

在kali中输入sudo ettercap -G，打开ettercap工具

点击左上角的scan for host对主机进行扫描

扫描完成后打开Host List查看探测到的主机，并把SEED设为TARGET1，winXP设为TARGET2

在右上角MITM Menu的下拉列表中打开ARP poisoning

使用SEED对winXP使用telnet协议进行登录，然后在kali中选择对应的连接清单connections，可以查看到用户和密码的输入内容

3.学习中遇到的问题及解决

• 问题1：在使用ettercap工具时经常崩溃
• 解决方案：不能只在root模式下直接打开，也要使用sudo命令再次提权，能避免一部分崩溃问题的发生

4.实践总结

通过本次实验，我系统掌握了计算机网络的基础原理，尤其是网络协议交互机制以及常见的网络攻击的实现流程。实验过程中，我实践了ARP缓存欺骗、ICMP重定向、SYN Flood、TCP会话劫持等攻击场景，熟练使用netwox等工具完成相关指令配置，并直观观察到各类攻击对网络通信的影响。这让我深刻理解了网络协议存在的安全隐患，进一步意识到加强网络安全防御与漏洞防护的必要性。