网络层攻击

网络层协议包括IP协议、ARP协议、ICMP协议、RARP协议及IGMP协议。ARP协议为IP协议提供服务，IP协议为ICMP协议提供服务，ICMP协议为IGMP协议提供服务。在此，可认为ARP工作于数据链路层。

IP（Internet Protocol）协议是网际互联协议，是整个TCP/IP协议族的核心，也是构成互联网的基础。IP位于TCP/IP模型的网络层，它可以向传输层提供各种协议的信息，例如TCP、UDP等；对下可将IP信息包放到链路层，通过以太网、令牌环网络等各种技术来传送。

ARP（Address Resolution Protocol）协议是地址解析协议，是根据IP地址获取物理地址的一个TCP/IP协议；使用ARP协议可根据网络层IP数据包包头中的IP地址信息解析出目标硬件地址（MAC地址）信息，以保证通信的顺利进行。

ICMP（Internet Control Message Protocol）协议是Internet控制报文协议。侦测远端主机是否存在，建立及维护路由信息表，以及ICMP重定向。ICMP在沟通之中，主要是通过不同的类别(Type)与代码(Code) 让机器来识别不同的连线状况。

本篇主要总结对于网络层ARP及ICMP的攻击方式。

ARP攻击

原理：在局域网中，主机和主机之间的通讯是通过MAC地址来实现的，而主机的MAC地址是通过ARP协议获取的。在局域网中不断发送arp报文，欺骗靶机，让靶机将攻击者的MAC地址当成网关的MAC，实现靶机无法上网的攻击目标。

攻击方式解析：PC2向PC1发送arp包，告知本局域网的网关地址为00（PC2的MAC地址），PC会将ping包及网络请求等一些信息发往PC2，而PC2不对该请求做操作，导致PC1请求超时，造成目标主机不可达，实现无法PC1无法上网的目的。

原理图

命令行实现：

arpspoof -i eth0 -t 192.168.23.129 192.168.23.2

Ping百度，WireShark抓包结果：

ping百度超时。

结论：ARP单向欺骗且不转发，造成靶机无法上网

ARP欺骗

在ARP攻击的基础上让攻击者PC2(kali)向真实网关转发来自PC1(win10)的请求，实现PC1可上网，但发出的所有请求都会经过PC2。

原理图：

命令行实现：
#开始kali转发功能

echo 1 >> /proc/sys/net/ipv4/ip_forward

wireshark抓包结果：

结果：kali不断发送arp欺骗，且开启kali转发，靶机能ping通上网，实时发出的消息被kali监听。

双向欺骗：kali攻击靶机的同时，对网关同样发arp欺骗，告知网关，kali机为靶机，让网关将返回的数据包先发向kali，实现双向监听数据。

命令行实现：arpspoof -i eth0 -t  192.168.23.2 192.168.23.129

ICMP重定向攻击

基本原理：使用kali工具netwox 抓取来自PC1的ICMP请求，并重新封装一个虚构的或者攻击者的网关，让PC1误认为该ip 地址为网关，并更新PC1的路由表（实验过程中win10系统无法更新路由表，但有重定向到新网关。），从而使靶机将数据包向该ip 地址发送。

若封装的是攻击者的地址，且攻击者开启了ipv4转发，该包将被发往真正的网关，接下来的数据也就会经过攻击者。此过程实现了攻击者作为中间人监听靶机发送的数据。

若封装的是一个虚构的地址，则靶机会重发arp请求，发现真实网关，重新发送ping请求。

原理图：

命令行实现：

#嗅探来自123的包，修改默认网关

netwox 86 -f “host 192.168.200.123” -g 192.168.200.234 -i 192.168.200.1

WireShark抓包结果：

结论，可实现，icmp重定向，由于win10系统问题，无法更新路由表。

ICMP泛洪攻击

原理：接收设备接收到ICMP请求报文后，会向源设备回应一个ICMP响应报文。当攻击者发送大量ICMP请求报文，靶机会因忙于处理这些报文，导致无法处理其他报文信息，CUP压力增大，对其他业务处理造成冲击。

命令行实现：

hping3 -i eth0 -1 -d 10000 -c 10000 --flood 192.168.200.123

结果：靶机宕机，停止攻击后恢复。

防范：针对设备的ICMP报文进行速率限制可解决泛洪攻击