20252903 2025-2026-2 《网络攻防实践》第四周作业

一、核心知识点梳理

1.ARP欺骗攻击

ARP欺骗是利用ARP协议无验证机制的局域网攻击手段。该协议用于将 IP 地址解析为 MAC 地址，主机收到响应便直接更新缓存，攻击者借此发送伪造ARP报文，谎称某 IP 对应的 MAC 地址为自身设备地址。受害主机或网关会将错误映射存入ARP缓存，导致目标流量被转发至攻击者设备。攻击者可实现流量监听、数据篡改，甚至中断网络连接，造成信息泄露与通信异常。

2.ICMP路由重定向攻击

ICMP 路由重定向攻击是利用ICMP协议缺陷实施的内网路由劫持攻击。ICMP重定向报文原本用于路由器告知主机存在更优路由，主机收到后会自动更新本地路由表，而该过程缺乏身份校验，极易被伪造利用。攻击者在同一局域网内，伪造网关发送虚假的ICMP重定向消息，欺骗目标主机将部分网络流量指向攻击者主机。受害主机信任该报文并修改路由配置，后续数据会被错误转发，攻击者可借此监听、篡改数据，或造成网络中断。该攻击多发生在内网环境，防范可通过系统禁用ICMP重定向响应、配置静态路由、启用防火墙过滤异常ICMP报文等方式实现。

3.TCP RST攻击

TCP RST攻击是利用 TCP 协议复位机制实施的连接中断攻击。TCP 协议中 RST 包用于强制断开异常连接，接收方会直接关闭对应会话，且该过程缺少有效验证，攻击者便可借机伪造报文。攻击者通过嗅探获取正常 TCP 连接的 IP 与端口信息，伪造带有 RST 标志的数据包，冒充通信一方发送给目标。目标设备校验通过后会立即断开连接，导致正在传输的数据中断、网页加载失败、服务异常断开。

4.SYN Flood攻击

SYN Flood 攻击是典型的 TCP 拒绝服务攻击，利用 TCP 三次握手的缺陷耗尽目标资源。TCP 建立连接时需要客户端发送 SYN 包、服务器回复 SYN+ACK 并等待 ACK 确认，服务器会为半开连接分配内存缓存。攻击者伪造大量虚假源 IP 向目标发送 SYN 请求，目标回复 SYN+ACK 后却收不到最终 ACK，大量半连接堆积占用系统资源，无法处理正常用户的连接请求，最终导致服务卡顿、无法响应甚至瘫痪。该攻击隐蔽性强、难以溯源，是常见的 DDoS 手段。

5.TCP会话劫持攻击

TCP 会话劫持是针对已建立 TCP 连接的中间人攻击，核心是抢夺合法会话的控制权。TCP 通信依靠序列号保证传输有序，攻击者通过嗅探获取通信双方的 IP、端口及序列号，便可伪造数据包冒充其中一方。攻击者干扰正常通信后，发送带有正确序列号的伪造报文，让目标误以为是合法主机发来的数据，从而接管整个会话。成功后可直接执行操作、窃取信息或篡改内容，无需重新登录验证。

2.实践过程

2.1 查看攻击机与靶机的IP地址与MAC地址

• 查看seed虚拟机的IP地址为192.168.200.4，MAC地址为 00:0c:29:bb:68:91
  
• 启动kali虚拟机，输入命令查看kali虚拟机的IP地址和MAC地址为IP: 192.168.200.132 （ARP欺诈攻击时使用的IP）192.168.200.6（后续使用的IP）,MAC： 00:0c:29:b3🆎a5
  
  
• 查看win2k靶机的IP地址为192.168.200.131，MAC地址为00-0C-29-87-5A-AB
  
• 查看虚拟机Metasploitable的IP地址为192.168.200.130，MAC地址为 00:0c:29:2f :02:01
  

2.2ARP缓存欺骗攻击

• 在虚拟机Metasploitable中使用ping命令查看与win2k的连通性
  
• 在虚拟机Metasploitable中输入命令arp -a查看当前的ARP缓存信息，查询到进行了ping通信的win2k的arp缓存信息，与win2k的MAC地址相吻合
  
• 在虚拟机kali中输入命令安装netwox工具包
  apt install netwox
  
• 在kali虚拟机中使用命令，将win2k的IP地址指向kali的MAC地址进行ARP缓存欺骗
  netwox 80 -e 00:0c:29:b3:ab:a5 1 -i 192.168.200.131
  
• 通过Metasploitable虚拟机ping靶机win2k发现已经无法ping通，出现 100% 丢包
  
  -输入命令arp -a查看ARP缓存信息发现MAC地址已被替换
  

2.3 ICMP重定向攻击

• 在seed虚拟机中输入命令route -n，查看seed虚拟机的网关为192.168.200.2
  
• 输入命令ping baidu.com，可以ping通
  
• 输入命令，启动ICMP重定向攻击
  sudo netwox 86 -f "host 192.168.200.4" -g 192.168.200.6 -i 192.168.200.2
  
• 在SEED上ping baidu.com，发现目标IP被重定向到kali的IP地址
  

2.4 SYN Flood 攻击

• 打开Kali自带的Wireshark工具，选择eth0网卡
  
• 在SEED上输入命令luit -encoding gbk telnet bbs.mysmth.net访问清华bbs服务器
  
• 在kali上执行攻击命令
  netwox 76 -i 192.168.200.4 -p 23
  
• kali攻击机对SEED开启攻击后，SEED对bbs服务的访问断开
  
• 查看Wireshark，发现大量目标地址为 192.168.200.4 的流量，这表明SEED正在遭受SYN Flood攻击
  

2.5 TCP RST攻击

• 在SEED虚拟机上再次访问清华bbs服务
  luit -encoding gbk telnet bbs.mysmth.net
  
• 在kali上执行攻击命令，查看SEED虚拟机后发现连接已断开
  netwox 78 -i 192.168.200.4
  
  查看 Wireshark，发现 kali 向靶机发送了的RST标志位的 TCP 包
  

2.6 TCP会话劫持攻击

• 启动kali中的Ettercap，选择eth0网卡
  
• 点击scan for hosts开始扫描局域网主机并点击host list查看信息
  
• 将192.168.200.4设置为target1，将192.168.200.120设置为target 2
  
• 顶部菜单栏点击Mitm，选择ARP poisoning，勾选Sniff remote connections，启动arp poisoning
  
• 打开view中的Connections
  
• 在SEED中再次访问清华的bbs服务并登录
  
• 在Ettercap中双击对应target发现输入的用户名与密码，劫持攻击成功
  

3、实验中遇到的问题

1. 进行ARP缓存欺骗后，靶机之间仍然可以ping通。
   解决办法：将kali放在VMnet1下，并执行以下命令设置IP地址：
   sudo ifconfig eth0 192.168.200.132 netmask 255.255.255.0 up
   
   2.发现输入命令luit -encoding gbk telnet bbs.mysmth.net无法访问清华bbs服务器
   解决办法：点击seed右上角的网卡，点击Auto eth6
   

4、学习感悟与思考

通过本次局域网攻击实验，我亲手操作了ARP缓存欺骗、ICMP重定向、SYN Flood攻击、TCP RST攻击及TCP会话劫持这五种网络攻击手段。实验中我发现，这些攻击的根源大多是因为网络协议设计时忽略了安全校验，这也让我明白了协议安全的重要性。在Ettercap的会话监控以及Wireshark的流量分析中，让我对这些网络空间安全工具有了更深的了解。后续我将继续学习，结合本次实验经验，对网络攻击防护技术进一步深入研究，不断提升自身的网络安全分析与实操能力。