20242827 2024-2025-2 《网络攻防实践》实践四报告

公告

View Post

1.实践内容

ARP缓存欺骗攻击

ARP（地址解析协议）缓存欺骗攻击是一种网络攻击，它利用了ARP协议的弱点来欺骗目标主机，使其将网络流量发送到错误的网络地址。攻击者发送虚假的ARP响应，将目标IP地址映射到攻击者控制的MAC地址上，从而使得目标主机发送的数据包被发送到攻击者而不是正确的目标。这可以用来中间人攻击、数据嗅探、会话劫持等攻击。
ARP缓存欺骗攻击通常涉及以下步骤：
1、监听网络: 攻击者首先通过监听网络流量了解目标主机的IP地址和MAC地址。
2、发送虚假ARP响应: 攻击者发送虚假的ARP响应包给目标主机，欺骗其认为某个IP地址对应的MAC地址是攻击者控制的MAC地址，而不是真实的MAC地址。
3、目标主机更新ARP缓存: 目标主机接收到虚假的ARP响应后，会更新自己的ARP缓存表，将攻击者控制的MAC地址与目标IP地址相关联。
4、数据重定向: 一旦ARP缓存表被篡改，目标主机发送到目标IP地址的数据包将被发送到攻击者的机器上。攻击者可以选择转发、篡改或者丢弃这些数据包，具体取决于攻击者的目的。

ICMP重定向攻击

ICMP重定向攻击是一种利用Internet控制消息协议（ICMP）的安全漏洞的网络攻击。ICMP重定向攻击的目标是欺骗受害者主机，使其修改其路由表以将网络流量发送到攻击者控制的路由器或网关上，从而将流量重定向到攻击者控制的目标。
攻击者通常利用这种漏洞来实施中间人攻击，截取或修改受害者和目标之间的通信。攻击者通常需要在受害者和目标之间的网络路径上，具有能够发送虚假ICMP重定向消息的位置。
ICMP重定向攻击的主要步骤如下：
1、监听网络流量: 攻击者通过监听网络流量，确定受害者和目标之间的通信路径。
2、发送虚假ICMP重定向消息: 攻击者向受害者发送伪装成网络网关的虚假ICMP重定向消息，告诉受害者将特定目标的流量发送到攻击者控制的路由器或网关上。
3、受害者更新路由表: 受害者接收到虚假的ICMP重定向消息后，会修改其路由表，将特定目标的流量发送到攻击者控制的路由器或网关上。
4、流量重定向: 一旦受害者修改了其路由表，将特定目标的流量发送到攻击者控制的路由器或网关上，攻击者就可以拦截、修改或重定向这些流量，进行中间人攻击。

SYN Flood攻击

SYN Flood攻击是一种常见的网络攻击方式，旨在通过发送大量伪造的TCP连接请求（称为SYN），消耗目标服务器的资源，使其无法正常响应合法的连接请求，从而导致服务不可用。这种攻击利用了TCP协议的三次握手过程中的漏洞，攻击者发送大量的SYN请求但不完成握手过程，导致目标服务器上的半开放连接队列耗尽资源。
SYN Flood攻击的一般步骤如下：
1、发送大量伪造的SYN请求: 攻击者向目标服务器发送大量伪造的TCP连接请求，每个请求都包含一个不同的源IP地址，使得目标服务器无法有效地区分真实请求和伪造请求。
2、目标服务器响应: 目标服务器收到伪造的SYN请求后，会为每个请求尝试建立一个TCP连接，并向发送端发送一个SYN-ACK响应。
3、攻击者不响应: 攻击者不响应服务器的SYN-ACK响应，也不发送ACK确认，从而使得服务器上的半开放连接队列持续增长。
4、资源耗尽: 目标服务器上的半开放连接队列被耗尽，无法处理更多的合法连接请求，导致正常服务不可用。

TCP RST攻击

TCP RST攻击是一种网络攻击，它利用了TCP协议中的RST标志位来终止TCP连接。攻击者发送虚假的TCP RST分组给通信中的一方，使其相信连接已经被重置，从而中断正常的通信。
以下是TCP RST攻击的一般步骤：
1、监听网络流量: 攻击者监听目标网络中的通信，以便识别正在进行的TCP连接。
2、发送虚假的TCP RST分组: 攻击者发送虚假的TCP RST分组，它们伪装成目标通信双方的一方发送的消息。这样，接收到RST分组的一方会认为连接已被重置，并终止通信。
3、中断通信: 攻击者成功发送虚假的TCP RST分组后，通信的一方将收到该分组并中断连接。这导致了服务中断或网络中断，使得正常通信无法进行。
TCP RST攻击通常用于终止现有的TCP连接，从而导致服务不可用或网络中断。攻击者可能利用这种攻击来破坏网络通信、中断服务、拒绝服务（DoS）或进行中间人攻击。

TCP会话劫持攻击

TCP会话劫持攻击是一种网络攻击，旨在窃取或篡改正在进行的TCP会话。攻击者通过各种手段获取会话的相关信息（例如会话标识、序列号等），然后利用这些信息冒充合法用户或服务器，并对会话进行操纵或监视。
以下是TCP会话劫持攻击的一般步骤：
1、监听网络流量: 攻击者通过各种手段（例如使用网络嗅探器）监听网络中的TCP流量，以便捕获目标会话的相关信息。
2、获取会话信息: 攻击者获取目标会话的相关信息，包括会话标识、序列号等。这可以通过捕获并分析TCP数据包来实现。
3、篡改或劫持会话: 攻击者使用获取到的会话信息来冒充合法用户或服务器，并篡改或劫持正在进行的会话。这可能包括发送伪造的数据包、修改数据内容、或者中断和重放数据包。
4、执行攻击目标: 攻击者可以利用劫持的会话进行各种恶意活动，例如窃取敏感信息、篡改数据、欺骗用户或服务器等。
TCP会话劫持攻击通常利用各种漏洞或弱点来实现，例如未加密的通信、弱密码、未经身份验证的连接等。攻击者可能使用这些漏洞来获取会话信息，并利用其进行劫持。

2.实践过程

我们首先查询各个虚拟机的IP地址

互ping发现，靶机之间可以互相ping通，但是攻击机与靶机无法互ping，这是因为攻击机与靶机不在同一网段，攻击机在Vmnet8网段，而靶机位于Vmnet1网段：

当我们把honeywall打开后，可以实现互ping

2.1 ARP缓存欺骗攻击

使用MetaSploitable ping Win2kServer，能够连通，使用arp -n命令查看MetaSploitable的arp表为：

在seedubuntu攻击机中执行sudo netwox 80 -e 00:0c:29:a3:57:46 -i 192.168.200.124进行ARP攻击（前边是seedubuntu的MAC地址后边是winXP的IP地址）

此时再次使用Metasploitable ping Win2kServer，并通过arp -a命令获得Win2kServer此时被攻击时的MAC地址，如下图所示：

可以看到MetaSploitable的IP地址对应的MAC地址变成了攻击机seedubuntu的，此时Win2kServer主机也检测到了错误：

2.2 ICMP重定向攻击

首先使用kali ping baidu.com,然后使用route -n查看ping包的数据流向，发现网关是192.168.200.2，如下图所示：

然后在攻击机seedubuntu上使用工具 netwox 伪造重定向数据包，命令为 netwox 86 -f “host 192.168.200.4” -g 192.168.200.4 -i 192.168.200.2 ，嗅探链路中所有来自主机192.168.200.4的TCP数据包，并且以网关192.168.200.2的名义向主机192.168.200.4发送ICMP重定向包，如下图所示：