20252806 2025-2026-2 《网络攻防实践》第四周作业

20252806 2025-2026-2 《网络攻防实践》第四周作业

任务：
在网络攻防实验环境中完成TCP/IP协议栈重点协议的攻击实验，包括ARP缓存欺骗攻击、ICMP重定向攻击、SYN Flood攻击、TCP RST攻击、TCP会话劫持攻击。

作业要求：需要包括以下几点

1.实践内容

2.实践过程

3.学习中遇到的问题及解决

4.学习感想和体会

1.实践内容

本实验在网络攻防环境中，利用攻击机（Kali）对靶机（SEED、Windows 2000等）依次实施ARP欺骗攻击、ICMP重定向攻击、SYN Flood攻击、TCP RST攻击及TCP会话劫持攻击，通过实际操作探究网络协议的安全漏洞及攻击利用方式，同时梳理相关防范策略。各攻击方式的具体原理如下：

2.1 ARP欺骗攻击

ARP欺骗攻击的核心原理，是通过伪造ARP响应信息，对目标主机ARP缓存表中的内容进行非法篡改，将IP地址与MAC地址的对应关系替换为虚假绑定。由于ARP协议在设计上存在先天缺陷——其广播查询过程缺乏有效的身份验证机制，攻击者可轻易向局域网内的目标设备发送伪造的地址映射数据，促使目标主机将原本应发送至正常网关或终端的数据包，优先转发到攻击者控制的设备上。在此基础上，攻击者可进一步实施流量劫持、数据监听等操作，甚至发起中间人攻击，对传输过程中的数据进行拦截、篡改或伪造。

2.2 ICMP路由重定向攻击

此类攻击中，攻击者会伪装成网络中的合法网关，结合IP地址欺骗技术，向目标主机发送虚假的ICMP路由重定向报文。该报文会误导目标主机，使其错误地认为当前网络拓扑结构已发生变更，进而自主修改自身的路由表配置，将所有外出网络流量全部转发至攻击者预先指定的恶意路由节点。借助这种攻击方式，攻击者不仅能够对目标主机的网络流量进行实时监控、开展中间人攻击，还可发起拒绝服务攻击，直接破坏网络通信的正常传输秩序。

2.3 TCP RST攻击

TCP RST攻击主要通过伪造TCP重置报文（即设置报文头部的RST标志位为有效状态），强制终止目标主机与其他设备已建立的TCP连接。在攻击实施过程中，攻击者需要精准猜测目标TCP连接的序列号，随后伪装成该连接通信双方中的任意一方，向目标主机发送伪造的RST报文。目标主机接收到该报文后，会误认为通信过程中出现严重异常，从而主动终止当前的TCP会话，最终导致正常的网络通信被迫中断。

2.4 SYN Flood攻击

作为一种典型的拒绝服务（DoS）攻击，SYN Flood攻击的实施逻辑十分直接：攻击者向目标服务器发送大量伪造了源IP地址的TCP SYN连接请求报文。这些虚假的连接请求会快速占满服务器的半连接队列，导致服务器无法正常接收和响应合法用户的连接请求，最终使服务器陷入服务瘫痪状态，无法为正常用户提供服务，从而达到拒绝服务的攻击目标。

2.5 TCP会话劫持攻击

TCP会话劫持攻击，是指攻击者通过监听目标主机已建立的TCP会话，或主动介入该会话过程，获取会话序列号等关键信息后，冒充合法用户参与通信的一种攻击手段。根据攻击方式的不同，可将其分为中间人攻击（MITM）和注入式攻击两类：中间人攻击主要以秘密监控通信流程、窃取传输数据为核心目的；注入式攻击则能够直接夺取会话的控制权，代表合法用户执行各类敏感操作。从攻击的危害程度来看，该攻击可分为被动劫持和主动劫持，其中被动劫持仅涉及数据窃取，而主动劫持能够直接接管会话，其危害性更大，可能导致严重的信息泄露或恶意操作风险。

2.实践过程

2.1 分别查看攻击机与靶机的IP地址与MAC地址

输入命令ifconfig查看seed虚拟机的IP地址为192.168.200.3，MAC地址为00:0c:29:5d:8a:0a

启动kali虚拟机，输入命令查看kali虚拟机的IP地址和MAC地址为IP: 192.168.200.4, MAC： 00:0c:29:36:1b:0c

查看win2000靶机的IP地址为192.168.200.131，MAC地址为00-0C-29-7B-40-68

查看虚拟机Metasploitable的IP地址为192.168.31.75，MAC地址为dr 00:0c:29:19🇩🇪31

2.2ARP缓存欺骗攻击

使用ping命令虚拟机查看虚拟机Metasploitable与win2k的连通性，可以ping通，是连通的

在kali虚拟机的控制台输入命令apt install netwox安装netwox工具包

sudo apt update && sudo apt install netwox

在kali虚拟机中使用命令netwox 80 -e 00:0c:29:1f:20:ec(kali的mac地址) 1 -i 192.168.200.131(win2k的ip地址)，修改arp缓存信息，将win2k的IP地址指向kali的MAC地址进行ARP缓存欺骗

通过Metasploitable虚拟机ping靶机win2k发现已经无法ping通，输入命令arp -a查看ARP缓存信息发现MAC地址已被替换

2.3 ICMP重定向攻击

打开seed虚拟机终端，输入命令route -n，查看seed虚拟机的网关为192.168.200.2

使用ping命令ping baidu.com，可以ping通且对面IP地址为111.63.65.103

在kali的终端中输入命令 netwox 86 -f “host 192.168.200.4”（SEEDIP地址） -g 192.168.200.7（kali攻击机IP地址） -i 192.168.200.2（SEED网关），启动ICMP重定向攻击

回到SEED虚拟机终端ping baidu.com，发现目标IP被重定向到Kali攻击机的IP地址

2.4 SYN Flood攻击

打开Kali自带的Wireshark工具，选择eth0网卡

在SEED上输入命令luit -encoding gbk telnet bbs.mysmth.net访问清华bbs服务器

在kali终端输入命令netwox 76 -i 192.168.200.4（SEED虚拟机IP地址） -p 23

kali攻击机对SEED开启攻击后，直接给SEED对bbs服务的访问干崩溃（用 SYN Flood 把目标的 23 端口打瘫痪了，正常连接自然连不上、被断开。）

查看Wireshark监控的网络流量，发现有源源不断的目的地址为SEED虚拟机的大量TCP包，这表明SEED正在遭受SYN Flood攻击

2.5 TCP RST攻击

同样在SEED虚拟机上访问清华bbs服务（SEED靶机IP地址），在kali攻击机上输入命令netwox 78 -i 192.168.200.4（SEED靶机IP地址）

返回SEED虚拟机发现，连接已经断开

打开kali自带的wireshark查看TCP包，发现攻击机向靶机发送了RST包

2.6 TCP会话劫持攻击

启动kali虚拟机自带的Ettercap，选择eth0网卡，开始嗅探

sudo ettercap -G

sudo ettercap -T -q -i eth0

将192.168.200.4设置为target1，将192.168.200.120设置为target 2

启动arp poisoning，打开view中的Connections

在SEED中再次访问清华的bbs服务并登录用户名zsher，回到kali虚拟机中查看Connection data可以发现用户名与密码均被劫持泄露

3.实验中遇到的问题

• 在进行 ARP 缓存攻击实验时，Kali 中执行相关命令后，无法成功修改靶机的 ARP 缓存信息。
• 经排查发现，两台靶机都连在VMnet，是前期环境配置时设置，而 Kali 与 Seed 虚拟机连接在 VMnet8 网卡，三者不在同一网段导致攻击不生效。将两台靶机的网络连接模式修改为 VMnet8 后，问题解决。

4.学习感悟与思考

通过模拟ARP缓存欺骗、ICMP重定向、SYN Flood、TCP RST及TCP会话劫持等网络攻击实验，我对TCP/IP协议栈的工作原理与安全缺陷有了更直观的理解。此前仅停留在理论认知，实操中我清晰看到攻击者如何利用协议漏洞（如ARP协议缺乏身份验证易被伪造，进而实施中间人攻击）发起攻击，深刻认识到网络协议并非绝对安全，需额外防护。

实验中，我不仅掌握了各类攻击的实施方法，也梳理了对应防御策略：ARP欺骗可通过绑定静态ARP表防范；SYN Flood可通过防火墙规则、限制请求速率缓解；TCP会话劫持可借助加密协议和数据包校验保障安全。

本次实验在预设环境中完成，重点测试了五种典型攻击，实践了ettercap等工具，既提升了实操能力，也树立了“攻防结合”的理念，为后续学习奠定基础。