20251903 2025-2026-2 《网络攻防实践》第四次作业 TCP/IP网络协议攻击
一、实践内容:
1、本次实验应达到的目标
实验(1):ARP 缓存欺骗攻击:在实验环境中完成 ARP 缓存欺骗攻击实操,掌握 ARP 协议的工作机制与无认证核心安全缺陷,熟练使用 arpspoof 等工具实施双向 ARP 欺骗,实现局域网流量中间人劫持,理解 ARP 欺骗的流量特征、攻击危害与基础防护逻辑。
实验(2):ICMP 重定向攻击:完成 ICMP 重定向攻击实操,掌握 ICMP 重定向报文的工作原理与路由信任机制缺陷,熟练使用 hping3 构造伪造 ICMP 重定向报文,实现靶机路由表篡改与流量劫持,理解 ICMP 重定向攻击的适用场景与系统限制。
实验(3):SYN Flood 拒绝服务攻击:完成 SYN Flood 攻击实操,掌握 TCP 三次握手核心流程与半连接队列安全缺陷,熟练使用 hping3 发起洪水攻击,实现靶机 TCP 服务的拒绝服务,理解 DoS 攻击的流量特征、危害与系统抗攻击核心机制。
实验(4):TCP RST 攻击:完成 TCP RST 会话中断攻击实操,掌握 TCP 协议 RST 复位报文的作用机制与会话校验逻辑,熟练结合 Wireshark 嗅探会话特征、构造匹配的 RST 报文,实现合法 TCP 会话的强制中断,理解 TCP 会话的原生脆弱性。
实验(5):TCP 会话劫持攻击:完成 TCP 会话劫持攻击实操,掌握 TCP 会话的序列号 / 确认号校验机制、无身份认证的核心缺陷,熟练抓取会话关键参数、伪造 TCP 数据包注入恶意指令,实现合法 TCP 会话的接管与未授权操作,理解会话劫持的完整攻击链路。
2、各实验核心知识点
2.1 实验一(ARP 缓存欺骗攻击)核心知识点
(1)ARP 协议核心机制:地址解析协议,工作在数据链路层,核心作用是将 IP 地址映射为 MAC 地址;主机通过广播 ARP 请求查询目标 IP 对应的 MAC 地址,目标主机单播 ARP 响应回复,主机将映射关系存入本地 ARP 缓存表,设置固定老化周期。
(2)ARP 协议核心安全缺陷:无身份认证与请求校验机制,主机无条件接收并更新 ARP 缓存表中的任意 ARP 响应报文,无论是否发送过对应 ARP 请求;攻击者可伪造 ARP 响应包,冒充网关或目标主机,篡改靶机 ARP 缓存,实现流量劫持。
(3)ARP 欺骗攻击核心逻辑:主流为双向欺骗,同时向靶机伪造网关的 ARP 响应、向网关伪造靶机的 ARP 响应,让靶机将网关 IP 映射为攻击机 MAC,网关将靶机 IP 映射为攻击机 MAC,使双向流量均经过攻击机转发,实现完整中间人攻击;单向欺骗仅篡改单方向流量映射,多用于流量监听。
(4)攻击工具与流量特征:核心工具为 arpspoof、ettercap;攻击流量特征为局域网内出现大量伪造的 ARP 响应报文,同一 IP 地址对应多个 MAC 地址,靶机 ARP 缓存表频繁异常更新。
2.2 实验二(ICMP 重定向攻击)核心知识点
(1)ICMP 重定向协议机制:互联网控制消息协议的核心报文类型之一(Type=5),用于路由器向局域网内主机通知更优的下一跳路由;主机收到当前默认网关发送的重定向报文后,会自动更新本地路由表,调整流量转发路径。
(2)ICMP 重定向安全缺陷:主机对重定向报文无强身份校验,仅验证源 IP 是否为当前默认网关,无额外的报文合法性校验;攻击者可伪造源 IP 为网关的重定向报文,诱导主机修改路由,将流量转发至攻击机。
(3)攻击核心逻辑:攻击者构造伪造的 ICMP 重定向报文,源 IP 伪装为靶机的默认网关,指定新的下一跳网关为攻击机 IP,靶机接收报文后更新路由表,所有外网流量优先转发至攻击机,实现流量劫持、监听与篡改。
(4)适用场景与系统限制:仅适用于局域网环境,攻击机与靶机需在同一广播域;现代 Windows、Linux 操作系统默认禁用 ICMP 重定向报文接收,需手动开启对应内核 / 注册表参数,攻击才可生效。
2.3 实验三(SYN Flood 攻击)核心知识点
(1)TCP 三次握手核心流程:客户端发送 SYN 包发起 TCP 连接,服务器回复 SYN+ACK 包确认,客户端最终回复 ACK 包完成三次握手,建立全双工 TCP 连接;服务器收到 SYN 包后,会将半连接信息存入 SYN 半连接队列,等待客户端的最终 ACK 包。
(2)SYN Flood 攻击核心原理:利用 TCP 三次握手的原生设计缺陷,攻击者发送大量伪造源 IP 的 SYN 包,服务器为每个 SYN 包分配半连接资源并回复 SYN+ACK 包,因源 IP 为伪造地址,永远无法收到对应的 ACK 包,半连接队列被快速耗尽后,服务器无法处理合法客户端的连接请求,形成拒绝服务(DoS)。
(3)攻击工具与流量特征:核心工具为 hping3、netwox、专业 DDoS 测试工具;攻击流量特征为海量仅含 SYN 标志位的 TCP 包,源 IP 随机伪造无规律,无对应的 ACK 响应包,目标端口高度集中。
(4)系统抗攻击核心机制:SYN Cookie 技术(不分配半连接资源,通过加密 Cookie 校验 ACK 包合法性)、半连接队列扩容、SYN 报文速率限制、源 IP 黑名单、SYN 重传超时时间缩短等。
2.4 实验四(TCP RST 攻击)核心知识点
(1)TCP RST 报文机制:RST 复位报文用于异常终止 TCP 连接,当主机收到匹配的 RST 报文后,会立即释放该 TCP 会话的所有资源,强制断开连接,无需等待正常的四次挥手流程;RST 报文生效的核心条件是:源 / 目的 IP、源 / 目的端口、序列号与当前 TCP 会话完全匹配。
(2)攻击核心原理:利用 TCP 协议对 RST 报文无强身份校验的缺陷,攻击者通过嗅探获取目标 TCP 会话的四元组(源 IP / 目的 IP / 源端口 / 目的端口)与当前序列号,伪造完全匹配的 RST 报文发送至通信双方,强制中断合法 TCP 会话。
(3)攻击适用场景:可中断 SSH、Telnet、HTTP、FTP 等所有基于 TCP 的应用层会话;常用于网络阻断、服务干扰、攻击链路切断、业务可用性破坏等场景。
(4)攻击关键难点:序列号精准匹配,需实时嗅探会话的最新序列号,避免因序列号超出接收窗口、不匹配导致 RST 报文被目标主机丢弃。
2.5 实验五(TCP 会话劫持攻击)核心知识点
(1)TCP 会话核心校验机制:TCP 会话通过四元组(源 IP / 目的 IP / 源端口 / 目的端口)唯一标识,通过 32 位序列号(Seq)和确认号(Ack)保证数据传输的有序性与完整性;Seq 为当前发送方的字节流序号,Ack 为期望接收的下一个字节序号,核心规则为 Ack = 对方 Seq + 已接收数据长度。
(2)攻击核心原理:利用 TCP 协议无应用层身份认证、仅通过序列号校验的核心缺陷,攻击者先通过 ARP 欺骗实现流量中间人劫持,嗅探获取目标 TCP 会话的四元组、当前 Seq/Ack 值,伪造与合法会话参数完全匹配的 TCP 数据包,注入恶意指令,接管已建立的 TCP 会话,实现未授权操作。
(3)攻击完整链路:① 实施 ARP 欺骗,劫持靶机与服务器的双向流量;② 实时嗅探 TCP 会话,获取四元组、最新 Seq/Ack 等关键参数;③ 精准匹配序列号,构造含恶意数据的 TCP 数据包;④ 注入数据包,执行恶意指令;⑤ 维持会话接管,调整序列号避免被通信双方发现。
(4)攻击特征与核心防护:攻击特征为同一会话中出现相同 Seq 号的重复数据包、数据内容与正常业务逻辑不符;核心防护手段为 SSH、HTTPS 等端到端加密传输协议,加密后攻击者无法解析会话内容、无法预测序列号,从根本上阻断会话劫持攻击。
3、各实验所需的操作指令
| 实验序号 | 实验名称 | 操作阶段 | 核心操作指令 | 详细操作说明 |
|---|---|---|---|---|
| 1 | ARP缓存欺骗攻击 | 环境连通性校验 | ping 192.168.200.124 |
SEEDUbuntu9靶机执行,验证与目标靶机的局域网连通性 |
| 1 | ARP缓存欺骗攻击 | 初始状态校验 | arp -a |
SEEDUbuntu9靶机执行,查看目标IP对应的真实MAC地址,留存基准数据 |
| 1 | ARP缓存欺骗攻击 | 攻击工具安装 | apt update && apt install netwox |
Kali攻击机执行,安装实验所需的netwox工具包 |
| 1 | ARP缓存欺骗攻击 | 发起欺骗攻击 | netwox 80 -e 00:0c:29:c1:67:d8 -i 192.168.200.124 |
Kali攻击机执行,-e后为攻击机自身MAC地址,-i后为目标靶机IP,伪造ARP响应报文篡改靶机缓存 |
| 1 | ARP缓存欺骗攻击 | 攻击结果验证 | arp -a |
SEEDUbuntu9靶机执行,查看ARP缓存表,确认目标IP的MAC地址已被替换为攻击机MAC |
| 1 | ARP缓存欺骗攻击 | 可选流量转发 | echo 1 > /proc/sys/net/ipv4/ip_forward |
Kali攻击机执行,开启IP转发,实现靶机流量的透明劫持与转发 |
| 2 | ICMP重定向攻击 | 初始路由校验 | route -n |
SEEDUbuntu9靶机执行,查看默认网关IP,确认路由基准配置 |
| 2 | ICMP重定向攻击 | 外网连通性校验 | ping www.baidu.com |
SEEDUbuntu9靶机执行,验证外网访问能力,留存基准通信状态 |
| 2 | ICMP重定向攻击 | 发起重定向攻击 | netwox 86 -f "host 192.168.200.65" -g 192.168.200.68 -i 192.168.200.2 |
Kali攻击机执行,-f后为靶机IP,-g后为攻击机IP,-i后为靶机默认网关IP,伪造网关的ICMP重定向报文 |
| 2 | ICMP重定向攻击 | 攻击结果验证 | ping www.baidu.com |
SEEDUbuntu9靶机执行,观察流量路由跳转与丢包情况,验证流量是否被劫持至攻击机 |
| 3 | SYN Flood拒绝服务攻击 | 目标服务校验 | luit -encoding gbk telnet bbs.newsmth.net |
SEEDUbuntu9靶机执行,验证Telnet服务可用性,建立基准通信会话 |
| 3 | SYN Flood拒绝服务攻击 | 发起洪水攻击 | netwox 76 -i 192.168.200.65 -p 23 |
Kali攻击机执行,-i后为靶机IP,-p后为Telnet服务23端口,向目标发送海量伪造源IP的SYN报文 |
| 3 | SYN Flood拒绝服务攻击 | 攻击终止 | Ctrl + C |
Kali攻击机执行,终止攻击指令,避免系统资源耗尽卡死 |
| 3 | SYN Flood拒绝服务攻击 | 攻击结果验证 | 查看Wireshark抓包+靶机会话状态 | 验证抓包中是否存在海量SYN报文,靶机Telnet会话是否被强制中断 |
| 4 | TCP RST攻击 | 目标会话建立 | luit -encoding gbk telnet bbs.newsmth.net |
SEEDUbuntu9靶机执行,与外网服务器建立稳定的Telnet TCP会话 |
| 4 | TCP RST攻击 | 发起RST攻击 | netwox 78 -i 192.168.200.65 |
Kali攻击机执行,-i后为靶机IP,嗅探并伪造匹配的TCP RST报文,强制中断靶机TCP会话 |
| 4 | TCP RST攻击 | 攻击终止 | Ctrl + C |
Kali攻击机执行,终止攻击指令 |
| 4 | TCP RST攻击 | 攻击结果验证 | 查看Wireshark抓包+靶机会话状态 | 验证抓包中是否存在伪造的RST+ACK报文,靶机Telnet会话是否被强制断开 |
| 5 | TCP会话劫持攻击 | 目标会话建立 | luit -encoding gbk telnet bbs.newsmth.net |
SEEDUbuntu9靶机执行,与外网服务器建立Telnet会话,为劫持提供目标 |
| 5 | TCP会话劫持攻击 | 工具配置修复 | rm -rf ~/.ettercap/ |
Kali攻击机执行,删除Ettercap错误缓存配置,解决启动报错问题 |
| 5 | TCP会话劫持攻击 | 图形化界面启动 | ettercap -G |
Kali攻击机执行,启动Ettercap图形化操作界面 |
| 5 | TCP会话劫持攻击 | 可选流量转发 | echo 1 > /proc/sys/net/ipv4/ip_forward |
Kali攻击机执行,开启IP转发,保障中间人劫持时靶机网络不中断 |
| 5 | TCP会话劫持攻击 | 中间人劫持部署 | 图形化操作:扫描局域网主机→靶机设为Target1、网关设为Target2→开启ARP poisoning(勾选Sniff remote connections) | Kali攻击机Ettercap内操作,完成双向ARP毒化,劫持靶机与网关的双向流量 |
| 5 | TCP会话劫持攻击 | 会话劫持操作 | 图形化操作:View→Connections→筛选TCP会话→双击靶机Telnet会话查看/注入数据 | Kali攻击机Ettercap内操作,查看靶机明文会话数据,实现会话监控与恶意注入劫持 |
二、实践过程
1、ARP 缓存欺骗攻击
1.1 选择两台虚拟机(WinXPattacker、Win2kServer_SP0_target)作为正常通信的靶机,选择一台虚拟机(kali-linux-2025.2-vmware-amd64) 作为攻击机,并分别查询其具体的IP地址
得到kali-linux-2025.2-vmware-amd64攻击机的IP地址为 192.168.200.68
得到SEEDUbuntu9的IP地址为 192.168.200.65
得到Win2kServer_SP0_target的IP地址为192.168.200.124
1.2 在kali攻击机上下载安装netwox工具,为后续实验做基础。
apt update
apt install netwox
如下为Netwox工具的功能菜单栏
1.3 进入 SEEDUbuntu9靶机的命令提示符页面,对Win2kServer_SP0_target靶机进行ping操作,确保区域网的网络联通性,
ping 192.168.200.124
之后输入 arp -a 刷新查看当前的 ARP 缓存表。此时 Win2kServer_SP0_target靶机的真实MAC地址显示为 00:0c:29:cb:07:50 。
1.4 之后在kali攻击机上输入以下指令,对Win2kServer_SP0_target靶机开始发动ARP缓存欺骗攻击
netwox 80 -e 00:0c:29:c1:67:d8 -i 192.168.200.124
(-e 后为伪造的MAC地址,这里我选择的是kali攻击机自身的MAC地址,-i 后为目的主机的ip地址。)
1.5 最后再进入 SEEDUbuntu9靶机的命令提示符页面,再输入 arp -a 刷新查看当前的 ARP 缓存表。
此时可以看到本次 ARP 缓存欺骗攻击已成功生效:从 SEED 靶机两次执行arp -a的结果可见,靶机的 ARP 缓存表被精准篡改,原本 IP 地址192.168.200.124对应的真实 MAC 地址00:0c:29:cb:07:50,被成功替换为 Kali 攻击机的 MAC 地址00:0c:29:c1:67:d8,而网关192.168.200.2等其他主机的 ARP 条目未受影响,实现了对目标 IP 的定向欺骗。
这一现象充分验证了 ARP 缓存欺骗攻击的核心原理:利用 ARP 协议无身份认证、仅通过广播报文更新缓存的设计缺陷,Kali 攻击机向靶机持续发送伪造的 ARP 响应报文,篡改靶机的 ARP 缓存表,将指定 IP 对应的 MAC 地址替换为攻击机自身地址,从而将靶机发往该 IP 的所有流量劫持至攻击机,实现中间人攻击。
本次攻击成功完成了靶机 ARP 缓存的定向篡改,为后续的流量嗅探、数据篡改、会话劫持等攻击行为奠定了基础。后续只需在 Kali 攻击机上开启 IP 转发功能,即可实现靶机流量的透明转发,在不影响靶机正常通信的前提下,完成对目标流量的全程监听与操控。
2、ICMP 重定向攻击
2.1 首先在SEEDUbuntu9靶机的命令提示符页面,输入 route -n 查看该主机的网关IP地址,可以看到其网关192.168.200.3即为后续我们实验需要替换的目标。
2.2 还是在SEEDUbuntu9靶机的命令提示符页面,对百度网站进行ping尝试,确保靶机已经能正常上网
2.3 之后,在kali攻击机的命令提示符页面,输入 netwox 86 -f "host 192.168.200.65" -g 192.168.200.68 -i 192.168.200.2命令进行ICNP重定向攻击
(-f 后为靶机的IP地址,-g 后为想要伪造的ip地址,这里我选择的是kali攻击机的ip地址,-i 后为靶机网关的ip地址)
2.4 可以看到,在输入上述命令后下一跳发生变化 由原来百度的ip地址转变为kali攻击机的ip地址
由此可看出本次 ICMP 重定向攻击已成功生效:SEED 靶机在执行ping www.baidu.com时,收到了来自原网关192.168.200.2的 ICMP 重定向报文,被引导将访问百度的外网流量转发至 Kali 攻击机(192.168.200.68)。
从 ping 结果可见,攻击后 SEED 主机的流量不再直接发往原网关,而是全部路由至 Kali 攻击机。由于 Kali 未配置完整的流量转发规则,仅少量数据包被成功转发至外网并收到百度的回包,其余数据包被 Kali 丢弃,最终出现了 50% 的丢包率。
这一现象充分验证了 ICMP 重定向攻击的核心效果:通过伪造网关的重定向报文,篡改靶机的路由表,将靶机的外网流量劫持至攻击机,为后续的流量嗅探、篡改等中间人攻击奠定了基础。后续只需在 Kali 上开启 IP 转发并配置正确的路由规则,即可实现靶机外网流量的完整劫持与透明转发。
3、SYN Flood 拒绝服务攻击
3.1 首先在SEEDUbuntu9靶机的命令提示符页面,输入 luit -encoding gbk telnet bbs.newsmth.net指令,确认目标 BBS 支持 TELNET 登录。
3.2 之后在攻击机上打开wireshark进行抓包,并在消息命令行输入
netwox 76 -i 192.168.200.65 -p 23
(-i 后为靶机的IP地址,-p 后为23端口,该端口是telnet协议的服务端口)
由于该攻击对于CPU内存的占用是非常巨大的,因此需要ctrl+C终止指令,第一次实验时,我的kali攻击机就出现了卡死的情况。
3.3 可以看到在kali攻击机上中断命令后,返回SEEDUbuntu9靶机的登陆界面,可以看到服务器已经切断了主机与bbs服务器的链接
3.4 最后查看kali攻击机上wireshark的抓包结果。
由上面两张图中可以看到本次 SYN Flood 拒绝服务攻击实验已成功触发,大量来自随机伪造外网 IP 的 TCP SYN 连接请求报文,持续发往 SEED 靶机(192.168.200.65)的 23 号 Telnet 端口,靶机针对每一个伪造的 SYN 请求,均回复了 TCP RST+ACK 复位报文以断开无效半连接。
该现象直观验证了 SYN Flood 攻击的核心逻辑:利用 TCP 三次握手的协议设计缺陷,攻击机仅发送 SYN 连接请求,不返回后续 ACK 确认报文,通过伪造海量虚假源 IP 的请求,持续占用靶机的 TCP 半连接队列资源,消耗其系统性能。
本次抓包中,大量无完整三次握手的 SYN 报文、靶机批量回复的 RST+ACK 报文,充分体现了攻击的半连接伪造特征,证明攻击已成功作用于靶机。 若持续增大攻击流量,靶机的半连接队列将被彻底占满,无法响应正常合法的服务请求,最终实现 Telnet 服务乃至系统的拒绝服务。后续可通过开启 SYN Cookies、限制半连接队列长度、部署防火墙等防护手段,抵御此类 SYN Flood 攻击。
4、TCP RST 攻击
4.1 与上述实验一样,首先在SEEDUbuntu9靶机的命令提示符页面,输入 luit -encoding gbk telnet bbs.newsmth.net指令,确认目标 BBS 支持 TELNET 登录。
4.2 之后在攻击机上打开wireshark进行抓包,并在消息命令行输入
netwox 78 -i 192.168.200.65
(-i 后为靶机的IP地址)
4.3 可以看到在kali攻击机上中断命令后,返回SEEDUbuntu9靶机的登陆界面,可以看到服务器已经切断了主机与bbs服务器的链接
4.4 最后查看kali攻击机上wireshark的抓包结果。
从上面两张图可以看到本次 TCP RST 攻击实验已成功触发,从 Wireshark 抓包结果可清晰验证攻击原理与效果:在 SEED 靶机(192.168.200.65)与外网服务器(120.92.212.76)的 Telnet(23 号端口)通信过程中,Kali 攻击机伪造了 TCP RST+ACK 复位报文,向靶机发送了针对该 TCP 连接的强制断开请求,靶机收到报文后直接终止了当前 TCP 连接,完成了对正常通信的恶意中断。
该现象直观验证了 TCP RST 攻击的核心逻辑:利用 TCP 协议中 RST 报文可强制断开连接的设计特性,攻击机通过伪造符合目标连接四元组(源 IP、源端口、目的 IP、目的端口)的 RST 报文,欺骗通信双方认为连接已异常终止,从而强行中断正常的 TCP 会话,实现对靶机网络连接的恶意阻断。本次抓包中,靶机收到伪造 RST 报文后直接终止连接的行为,充分体现了攻击的有效性,证明攻击已成功作用于靶机的正常通信。
后续可通过部署 TCP 连接校验、启用 RST 报文过滤、使用加密 VPN 通道等防护手段,抵御此类 TCP RST 攻击,保障网络通信的稳定性与安全性。
5、TCP 会话劫持攻击
5.1 与上述实验一样,首先在SEEDUbuntu9靶机的命令提示符页面,输入 luit -encoding gbk telnet bbs.newsmth.net指令,确认目标 BBS 支持 TELNET 登录。
5.2 紧接着在kali攻击机的命令提示符页面,输入 rm -rf ~/.ettercap/ 和 ettercap -G 指令,打开该虚拟机的图形化界面。
5.3 点击开始后,再点击左上角搜索图标,启动ettercap开始实施中间人攻击,在扫描局域网主机后,在主机列表中选中SEEDUbuntu9靶机(192.168.200.65)添加为 Target 1,选中网关(192.168.200.2)添加为 Target 2。
5.4 点开右上角第一个图标MITM menu,并选择ARP poisoning ,再勾选 Sniff remote connections开始投毒。
5.5 点击右上角第三个图标Ettercap Menu中的view选项中的connections,勾选tcp类型会话并查看连接,找到192.128.200.65-120.92.212.76的 Telnet 连接,双击打开。
5.6 点击具体的连接,查看具体的会话数据。
从当前 Ettercap 操作界面可以看到,telnet中以明文形式传递的交互登陆信息被成功截获,本次 TCP 会话劫持攻击实验已成功触发,结合工具状态可清晰验证攻击原理与效果:在 Kali 攻击机完成 ARP 中间人毒化后,成功劫持了 SEED 靶机(192.168.200.65)与外网服务器(120.92.212.76:23)之间的 Telnet 通信链路,界面中大量[K]标记代表攻击机已截获并掌控了该 TCP 会话流量,随后可通过 Ettercap 的「Inject Data」或「Inject File」功能,向靶机与服务器的会话中恶意注入伪造数据,实现对 TCP 会话的劫持与篡改,完成了攻击对会话控制权的夺取与恶意操作的核心流程。
该现象直观验证了 TCP 会话劫持攻击的核心逻辑:利用 TCP 协议无状态校验的设计缺陷,攻击机先通过 ARP 欺骗完成中间人劫持,截获目标会话的流量数据;再借助 Ettercap 等工具掌控会话的双向数据传输,最终通过注入恶意指令、篡改数据包内容等方式,劫持合法的 TCP 会话,使目标设备在不知情的情况下执行恶意指令或接收伪造数据,实现对会话的非法控制。本次实验中,ARP 毒化验证的劫持链路、Ettercap 对会话流量的完全掌控,以及劫持状态下的操作日志,形成了完整的攻击闭环,充分体现了攻击的有效性,证明攻击已成功接管靶机的 Telnet 会话通信。
后续可通过部署 SSL/TLS 加密通信、启用会话 ID 动态校验、部署入侵检测系统(IDS)过滤异常流量注入行为等防护手段,抵御此类 TCP 会话劫持攻击,保障网络会话的安全性与完整性。
三、学习中遇到的问题以及相应的解决措施
1、在进行实验1时,最开始是在输入arp -a 指令后出现了没有办法识别到对应缓存表的情况,后来发现是实验顺序搞错了,应该先对对应靶机进行ping操作,确保区域网的网络联通性后,再去查询其对应的arp缓存表,之后实验又出现了始终MAC地址无法变化的情况,我先后尝试了重新打开所有虚拟机、重新输入所有指令、检查两个靶机间的ping联通情况,检查指令中对应每个位置的ip地址是否符合条件等,最终解决了上述出现的问题。
2,在完成实验1,进行实验2时,在SEEDUbuntu9靶机的命令提示符页面,对百度网站进行ping尝试,发现靶机无法正常上网,后续经过搜索发现有可能是因为前一问中的ARP攻击影响导致的,在关掉虚拟机,重启尝试后解决了上述问题。
3,在进行实验3时,由于我事前对该攻击的预判出现了失误,分配的空间不足,而该攻击对于CPU内存的占用是非常巨大的,因此在第一次实验时,我的kali攻击机直接就出现了卡死的情况。幸好是在虚拟机上进行的实验,否则难以想象对于本机的伤害,后续重新进行实验时,我及时用ctrl+C终止指令并为其分配更多的空间,从而妥善解决了该问题。
4,在 进行实验5时,我在第一次下载ettercap时,出现了Ettercap 配置文件 / 缓存中存在格式错误的问题,之后我在kali终端输入rm -rf ~/.ettercap/指令,删除 Ettercap 自动生成的用户级错误缓存配置后,解决了上述问题。
四、学习感悟
通过本次网络攻防五项实验的完整实操,我对网络层与传输层协议的安全缺陷、攻击原理及防护思路有了直观、系统、深入的理解,收获颇丰。
在实验过程中,我先后完成了 ARP 缓存欺骗、ICMP 重定向、SYN Flood、TCP RST、TCP 会话劫持五类经典攻击,深刻认识到网络协议的设计初衷是互联互通而非安全防护,无身份认证、无合法性校验、明文传输等原生缺陷,成为各类攻击能够生效的核心原因。无论是 ARP 协议无条件更新缓存、ICMP 重定向缺乏校验,还是 TCP 协议依赖序列号完成会话管理,都为攻击者提供了可利用的突破口。
实操中遇到的各类问题,如 ARP 缓存无法篡改、靶机断网、攻击机卡死、Ettercap 配置报错等,让我学会了从网络连通性、工具参数、系统配置、攻击环境等维度逐一排查故障,提升了动手能力与问题解决能力。同时我也意识到,网络攻击具有极强的破坏性,SYN Flood 可快速耗尽系统资源,TCP 会话劫持能直接接管用户会话,一旦在真实环境中被利用,会造成严重的数据泄露与服务中断。
本次实验也让我建立了 “攻防一体” 的安全思维:攻击是最好的防御,只有理解攻击原理,才能设计出有效的防护方案。从静态 ARP 绑定、禁用 ICMP 重定向、开启 SYN Cookie,到使用 SSH/HTTPS 替代明文协议,每一项防护手段都精准对应攻击的薄弱环节。
未来我会继续夯实网络协议基础,强化攻防实践能力,树立合规安全意识,将实验所学运用到网络安全防护与系统加固中,做到知攻、懂防、守规矩,为构建安全可靠的网络环境打下坚实基础。
浙公网安备 33010602011771号