實踐四 TCP/IP網路協議攻擊
20212806 2021-2022-2 《網路攻防實踐》實踐四報告
1.實踐內容
1.1概述
TCP/IP協議建立時,認定使用環境中的使用者都是可信任的,並沒有考慮到其中存在的安全問題。隨著網際網路的逐步擴充套件與開放,TCP/IP協議應用越發廣泛,其存在的弱點被挖掘、被放大、被利用。本篇主要講解TCP/IP協議棧中最為基本的網路層與傳輸層協議所存在的安全問題及針對性攻擊技術。
1.2網路層協議攻擊舉例
- ARP欺騙
ARP欺騙是指攻擊者 在有線乙太網或無線網路上傳送偽造ARP訊息,對特定IP所對應的MAC地址進行假冒欺騙,從而達到惡意目的的攻擊技術。 原理:一方面,ARP協議在進行IP地址到MAC地址對映査詢時,採用廣播請求包方式在區域網段中詢問對映關係,但沒有對響應結果進行真實性驗證;另一方,ARP協議為提高效率,設計ARP快取機制,以及會將主動的ARP應答視作有效資訊進行接受,這使得ARP快取出常容易被注入偽造的IP地址到MAC地址的對映關係,從而進行欺騙。
- ICMP路由重定向攻擊
ICMP路由重定向攻擊是指攻擊者偽裝成路由器傳送虛假的 ICMP路由路徑控制報文,使得受害主機選擇攻擊者指定的路由路徑,從而進行嗅探或假冒攻擊的一種技術。
原理:攻擊節點利用IP源地址欺騙技術,冒充閘道器IP地址,向被攻擊節點發送ICMP 重定向報文,給被攻擊節點指定的新路由器IP地址,並以這個新路由器IP地址為攻擊節點。被攻擊節點會對ICMP報文進行限制條件監測,檢查通過後,就會通過這個新路由器向外網進行通訊,攻擊者就可以進行嗅探或者監聽了。
1.3傳輸層協議攻擊舉例
- TCP RST攻擊
TCP RST攻擊也被稱為偽造TCP重置報文攻擊(spoofed TCP reset packet),是指一種假冒干擾TCP通訊連線的技術方法。 原理:TCP重置報文將直接關閉掉一個TCP會話連線,通訊方A與B建立TCP協議進行資料傳輸時,攻擊者可以利用TCP重置報文切斷A與B之間的會話,當然這裡攻擊者要借用IP源地址欺騙偽裝成A或者B才可以。
- TCP SYN Flood拒絕服務攻擊
拒絕服務攻擊目的就是使伺服器不能夠為正常訪問的使用者提供服務。
TCPSYN Flood原理利用TCP三次握手存在連線佇列平靜的缺陷,主機A想與伺服器建立會話必須經過三次握手協議,攻擊者B不斷的向目標主機發送大量的偽造源地址的SYN連線請求,消耗目標主機的連線佇列資源,從而不能夠為主機A提供服務。
- TCP會話劫持攻擊
TCP會話劫持是劫持通訊雙方已建立的TCP會話連線,再假冒其中一方的身份,與另一方進行進一步通訊,這樣攻擊方就可以躲避一些身份認證。
2.實踐過程
2.1ARP快取欺騙攻擊
- 實驗環境
這裡需要三臺機器,選擇Kali作為攻擊機,其他兩臺機器作為正常通訊的機器(靶機1:Linux MetaSploitable,靶機2:win2k)
| 虛擬機器 | IP | Mac地址 |
|---|---|---|
| Kali | 192.168.37.129 | 00:0c:29:7f:ba:d4 |
| Linux MetaSploitable | 192.168.200.123 | 00:0c:29:1e:54:85 |
| win2k | 192.168.200.124 | 00-0C-29-DC-BE-C5 |
- 實踐過程
(1)檢視IP
(2)用靶機ping win2k
(3)開啟ARP表檢視記錄
(4)開啟Kali,利用netwox 80 -e 00:0C:29:DC:BE:C5 1 -i 192.168.200.124命令對其進行攻擊
(5)再次檢視ARP表,發生了改變
2.2 ICMP重定向攻擊
- 實驗環境
首先這兩臺機器處於同一網段,選擇Kali作為攻擊機,SEED_VM作為靶機
| 虛擬機器 | IP |
|---|---|
| Kali | 192.168.37.129 |
| SEED_VM | 192.168.37.130 |
- 實踐過程
(1)首先檢視路由表
(2)在Kali中執行命令
(3)在SEED_VM中發現新的下一跳
2.3 SYN Flood 攻擊
- 實驗環境
| 虛擬機器 | IP |
|---|---|
| Kali | 192.168.37.129 |
| SEED_VM | 192.168.37.130 |
| metasploitable-linux | 192.168.200.123 |
- 攻擊過程
(1)首先在SEED_VM 環境中執行 telent 192.168.200.123
(2)在kali輸入netwox 76 -i 192.168.200.123 -p 23,該攻擊是TCP裡面的SYN Flooding,Dos攻擊
(3)在kali中開啟wireshark,發現kali在進行攻擊,且無法確定攻擊機IP地址
2.4 SYN RST 攻擊
- 實驗環境
| 虛擬機器 | IP |
|---|---|
| Kali | 192.168.37.129 |
| SEED_VM | 192.168.37.130 |
| metasploitable-linux | 192.168.200.123 |
- 攻擊過程
(1)在SEEDUbuntu終端中輸入telnet 192.168.200.124,對靶機Metasploitable_Ubuntu進行遠端登入
(2)在kali中輸入netwox 78 -i 192.168.200.123,對靶機Metasploitable_Ubuntu進行TCP RST攻擊
(3)在SEEDUbuntu終端中輸入telnet 192.168.200.123,發現攻擊成功
2.5 TCP會話劫持攻擊
- 實驗環境
| 虛擬機器 | IP |
|---|---|
| Kali | 192.168.37.129 |
| SEED_VM | 192.168.37.130 |
| metasploitable-linux | 192.168.200.123 |
- 攻擊過程
(1)在kali終端輸入ettercap -G,開啟工具Ettercap,點選 hosts scan進行主機掃描
(2)點選 hosts list,將靶機Metasploitable_Ubuntu設為target1,SEEDUbuntu設為target2
(3)在左側MIT Menu選擇arp poisoning...,並且在右側按鈕view下面的connection
(4)在SEEDUbuntu終端中輸入telnet 192.168.200.123,對靶機Metasploitable_Ubuntu進行遠端登入
(5)在kali工具Ettercap中檢視connection的目標主機資訊,發現已獲取兩個靶機的資訊
3.學習中遇到的問題及解決
-
問題1:在SEED_VM中執行telnet命令出現以下錯誤:
-
問題1解決方案:執行
rpm -ivh xinetd-2.3.14-34.el6.x86_64.rpm命令,安裝telnet安裝包,然後修改telnet服務配置檔案。 -
問題2:ICMP路由重定向過程中,一開始主機的路由表一直不更新。
-
問題2解決方案:經蒐集資料後發現,路由表更新需要開啟一下諸如百度網站這樣的頁面,然後訪問一下網路,嘗試後發現路由表更新了。
4.實踐總結
本次實踐主要模擬進行了ARP快取欺騙攻擊、ICMP重定向攻擊、SYN Flood 攻擊、SYN RST 攻擊、TCP會話劫持攻擊,通過進行以上實踐,使我更加深刻地理解到了它們的攻擊過程,明白了網路安全的重要性。同時自己也需要多努力多總結,進一步加深對網路攻防知識的瞭解與應用。