20212805 2021-2022-2 《网络攻防实践》第四次（第六周）作业

一、知识点梳理与总结

1.1. ARP欺骗

定义：攻击者在有线以太网或无线网络上发送伪造ARP消息，对特定IP所对应的MAC地址进行假冒欺骗，从而达到恶意目的的攻击技术。

原理：局域网是根据MAC地址进行传输。ARP协议在进行IP地址到MAC地址映射查询时存在安全缺陷，ARP缓存非常容易被注入伪造的IP地址到MAC地址的映射关系，从而进行欺骗。

应用：在交换式网络中可以利用ARP欺骗技术进行局域网中的嗅探，并通过进一步的协议分析窃取敏感信息；可利用ARP欺骗构造中间人攻击，从而实施TCP会话劫持的攻击方法；目前也被恶意代码所普遍使用，被称为ARP病毒，这类恶意代码发作机，然后再实施信息窃取、报文篡改和病毒传播等攻击。

1.2. ICMP路由重定向攻击

定义：指攻击者伪装成路由器发送虚假的ICMP路由路径控制报文，使得受害主机选择攻击者指定的路由路径，从而进行嗅探或假冒攻击的一种技术。

原理：利用ICMP路由重定向报文来改变主机的路由表，向目标机器发送重定向信息，自己伪装成路由器，使目标机器的数据报发送至攻击机从而加强监听。

1.3. TCP SYN Flood 拒绝服务攻击

定义：DOS是目前比较有效而又非常难于防御的一种网络攻击方式，目的是使服务器不能够为正常访问的用户提供服务。

原理：利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的连接队列资源，从而不能够为正常用户提供服务。

1.4.TCP RST 攻击

定义：又称为伪造TCP重置报文攻击，是指一种假冒干扰TCP通信连接的技术方法。

原理：TCP重置报文会直接关闭一个TCP会话连接，恶意攻击者滥用TCP重置报文，对正常的网络通信造成严重的威胁。

1.5.TCP会话劫持

目标是劫持通信双方已经建立的TCP会话连接，假冒其中一方（通常是客户端）的身份与另一方进行进一步通信。

原理：通常一些网络服务在建立TCP会话之后进行应用层的身份认证，客户端在通过身份验证之后就可以通过TCP会话连接对服务端进行控制或获取资源，期间不需要再次进行身份验证。为攻击者提供了一种绕过应用层身份认证的技术途径。

二、实践过程

2.1 本次使用的虚拟机信息：

虚拟机	IP	MAC
Kali（20212805xzb）	192.168.13.69	00:0c:29:91:fc:48
Win2KServer_SP0_target	192.168.13.131	00:0c:29:9A:B6:8E
Metasploitable2_Linux	192.168.13.130	00:0c:29:92:F3:DD
SEEDUbuntu	192.168.13.70	00:0C:29:D4:E4:D8

2.2 ARP缓存攻击

　　（1）打开靶机Metasploitable2_ubuntu，ping 192.168.13.131

　　　　

 

 　　（2）输入arp -a

　　（3）打开kali，输入netwox 80 -e 00：50：56：C0:00:01 -i 192.168.13.131

     　　对靶机win2000进行攻击,该攻击是使用ARP攻击，阻止局域网内系统正常联网

 （4)在靶机Metasploitable2_ubuntu中输入arp -a，查看arp表

（5）攻击成功，系统报错

2.3 ICMP重定向攻击

（1）打开靶机SEEDUbuntu

　　输入route -n查看网关地址

 

（2）在kali输入netwox 86 -f "host 192.168.200.12" -g 192.168.13.130 -i 192.168.13.1

　　　　对靶机进行攻击，该攻击通过ICMP重定向，将kali伪装成路由器发送虚假的ICMP路由路径控制报文

 

 （3）在靶机SEEDUbuntu终端中输入ping baidu.com,

           发现kali成为了下一跳的地址

 

 2.4 SYN Flood攻击

（1）在SEEDUbuntu终端中输入telnet 192.168.200.130,

          对靶机Metasploitable2_Ubuntu进行远程登录

 

 （2）在kali输入netwox 76 -i 192.168.13.70 -p 23,

          该攻击是TCP里面的SYN Flooding，Dos攻击。

　　利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的连接队列资源，从而不能够为正常用户提供服务。

 

（3）关闭SEEDUbuntu终端，

　　　再次远程登录靶机Metasploitable_Ubuntu

　　　　在kali中打开wireshark，发现kali在进行攻击，且无法确定攻击机IP地址

 2.4 TCP RST攻击

（1）在SEEDUbuntu终端中输入telnet 192.168.13.130,

　　　　对靶机Metasploitable2_Ubuntu进行远程登录

 

 2）在kali中输入netwox 78 -i 192.168.13.130，对靶机Metasploitable_Ubuntu进行TCP RST攻击

　　TCP重置报文会直接关闭一个TCP会话连接

（3）在SEEDUbuntu终端中输入telnet 192.168.13.130，攻击成功

 2.5 TCP会话劫持攻击

（1）在kali终端输入ettercap -G,打开工具Ettercap，点击 hosts scan进行主机扫描

 （2）点击 hosts list，将靶机Metasploitable2_Ubuntu设为target1，SEEDUbuntu设为target2

 （3）在左侧MIT Menu选择arp poisoning...，然后点击menu->connection

 （4）在SEEDUbuntu终端中输入telnet 192.168.13.130,

　　　　对靶机Metasploitable2_Ubuntu进行远程登录

 （5）在kali工具Ettercap中查看（3）中connection的目标主机信息进行查看，发现已获取靶机信息