# 20212908 2021-2022-2 《網路攻防實踐》實踐四報告
1.實踐內容
在網路攻防實驗環境中完成TCP/IP協議棧重點協議的攻擊實驗,包括:
(1)ARP快取欺騙攻擊;ARP快取是ARP協議的重要組成部分。當使用ARP協議解析了某個MAC地址和IP地址的對映關係,該對映便會被快取下來。因此就不用再使用ARP協議來解析已存在快取中的對映關係。但是因為ARP協議是無身份認證的,所以ARP快取很容易被惡意的虛假ARP資料報實施欺騙。這樣的攻擊被稱為ARP快取欺騙(或ARP快取中毒)。
(2)ICMP重定向攻擊;ICMP重定向報文是路由器為網路中的機器提供最新的路由資訊以達到最短路由而使用的。當主機收到一個ICMP重定向報文就會根據報文來更新自己的路由表。由於缺乏確認機制,如果攻擊者想要使被攻擊主機使用特定路由,他們只要向被攻擊主機發送欺騙性的ICMP重定向報文,使它改變路由表即可。在linux可以使用 route 命令檢查路由表。
(3)SYN Flood攻擊;SYN flood攻擊是DoS攻擊的一種形式,攻擊者向被攻擊主機的TCP埠大量傳送 SYN請求包,但不去完成TCP的”三次握手”的過程,被攻擊主機的主機會使用一個佇列來儲存這種半連線的狀態,當這個佇列儲存空間滿了的時候,目標主機便無法再接受任何其它連線。
(4)TCP RST攻擊;TCP重置報文會直接關閉一個TCP會話連線,惡意攻擊者濫用TCP重置報文,對正常的網路通訊造成嚴重的威脅。
(5)TCP會話劫持攻擊。TCP 會話劫持的目標是劫持一個已經存在於兩臺被攻擊主機之間的 TCP 連線,在會話中注入惡意的內容。如果這是一個 telnet 會話連線,攻擊者可以注入一些惡意的命令,使得被攻擊主機執行這些惡意的命令。
2.實踐過程
(1)ARP快取欺騙攻擊“ping 192.168.200.124” “arp -a”獲取kali、Meta-ubuntu、Win2K的IP地址和MAC地址。此時Win2K的MAC地址為:00:0C:29:60:06:E5
| 虛擬機器 | IP地址 | MAC地址 |
|---|---|---|
| kali | 192.168.200.5 | 00:0C:29:A7:18:04 |
| Win2K | 192.168.200.124 | 00:0C:29:60:06:E5 |
開啟kali終端sudo su提權
輸入netwox 80 -e 00:0C:29:A7:18:04 1 -i 192.168.200.124
發現Meta-ubuntu的arp快取中Win2K的MAC地址被篡改為:00:50:56:E1:C4:6E
(2)ICMP重定向攻擊
| 虛擬機器 | IP地址 |
|---|---|
| kali | 192.168.200.5 |
| SeedUbuntu | 192.168.200.8 |
開啟SeedUbuntu使用route -n檢視閘道器地址為192.168.200.1
開啟kali終端輸入netwox 86 -f "host 192.168.200.8" -g 192.168.200.5 -i 192.168.200.1進行攻擊
開啟SeedUbuntuping baidu.com發現下一跳地址出現改變:192.168.200.5
(3)SYN Flood攻擊
| 虛擬機器 | IP地址 |
|---|---|
| kali | 192.168.200.5 |
| SeedUbuntu | 192.168.200.8 |
| Meta-ubuntu | 192.168.200.123 |
開啟SeedUbuntutelnet 192.168.200.123
輸入使用者名稱密碼進行登入,ls檢視是否能正常使用
開啟kali終端輸入netwox 76 -i 192.168.200.8 -p 23進行攻擊
回到SeedUbuntu再次telnet 192.168.200.123輸入使用者名稱密碼進行登入,發現出現明顯示卡頓現象
再次回到kali開啟wireshark,發現大量對SeedUbuntu的SYN請求,並且無法溯源攻擊者
(4)TCP RST攻擊
| 虛擬機器 | IP地址 |
|---|---|
| kali | 192.168.200.5 |
| SeedUbuntu | 192.168.200.8 |
| Meta-ubuntu | 192.168.200.123 |
開啟SeedUbuntutelnet 192.168.200.123,輸入使用者名稱密碼進行登入,ls檢視是否能正常使用
開啟kali終端輸入netwox 78 -i 192.168.200.8進行攻擊
回到SeedUbuntu發現連線被外部主機斷開,再次telnet 192.168.200.123,發現無法連線
(5)TCP會話劫持攻擊
| 虛擬機器 | IP地址 |
|---|---|
| kali | 192.168.200.5 |
| SeedUbuntu | 192.168.200.8 |
| Meta-ubuntu | 192.168.200.123 |
使用ettercap -G開啟kali的ettercap
hosts->scan for hosts掃描區域網內攻擊目標
hosts->hostlist設定攻擊物件, SeedUbuntu為target2,Meta-ubuntu為target1
MITM->ARP Poisoning進行ARP欺騙
開啟SeedUbuntutelnet 192.168.200.123,輸入使用者名稱密碼進行登入,ls檢視是否能正常使用
回到kali,view->connections檢視tcp資料包,發現ettercap獲取了telnet的資訊
3.學習中遇到的問題及解決
- 問題1:在進行第一部分ARP快取欺騙攻擊時,對於netwox指令不熟悉,造成指令地址輸入錯誤,無法完成ARP快取欺騙攻擊
- 問題1解決方案:認真對比視訊內容後發現MAC地址應為kali的,使用
Mnetwox 80 -e 00:0C:29:A7:18:04 1 -i 192.168.200.124攻擊成功
4.實踐總結
本次實驗,在網路攻防實驗環境下完成了TCP/IP協議棧重點協議的攻擊,包括ARP快取欺騙攻擊、ICMP重定向攻擊、SYN Flood攻擊、TCP RST攻擊、TCP會話劫持攻擊。通過理解各種協議攻擊具體的內容並進行實操,加深了自己對於TCP/IP協議棧重點協議的理解,還掌握了nexwox、ettercap這些工具的具體使用。加強了自己對於網路攻擊相關概念的具體理解與應用,提高了自己的動手能力,為之後的網路攻防實驗打下基礎。