20211915 2022-2023-2 《网络攻击防护》实验四

20211915 2022-2023-2 《网络攻击防护》实验四

1.实验内容

1.ARP缓存欺骗攻击

什么是ARP欺骗攻击
ARP协议：
在以太网中，是用MAC地址来进行通讯的。所以要用 ARP 协议将 IP 地址解析成 MAC 地址。
ARP 协议就是通过目的 IP 询问设备的 MAC 地址。局域网中的每一台设备都有一个 ARP 缓存表，表中存放 IP 和 MAC 地址的对应情况。
过程如下：在一个以太网交换网络内，主机A希望能与主机B进行交流，所以主机A对整个网络进行广播，然后使用地址解析协议找到目标主机B的MAC地址。尽管整个广播域下都能收到主机A发送的信息，但只有主机B才会回复ARP请求，将自己的MAC地址发给主机A。
1.主机A向全网：
2.源IP: A的IP
3.源 MAC: A的MAC
4.目的IP: B的IP
5.目的MAC地址: 00:00:00:00:00:00
6.之后B主机回复ARP请求：
7.源 IP: B的IP
8.源 MAC: B的MAC
9.目的 IP: A的IP
10.目的 MAC地址: A的MAC
ARP欺骗：
ARP 是个早期的网络协议，RFC826在 1980就出版了。早期的互联网采取的是信任模式，在科研、大学内部使用，追求功能、速度，没考虑网络安全。
ARP 欺骗就是非法的宣称自己是某个 IP 的 MAC 地址，使询问者错误的更新 ARP 缓存表，这样被欺骗主机发送的数据就会发送到发起攻击的主机，而不是理想的目的 IP 主机。
如果攻击者将目的主机也欺骗，就可以实现对两台主机之间数据传输的控制。
ARP攻击仅能在以太网（局域网如机房、内网、公司网络等）进行。无法对外网（互联网、非本区域内的局域网）攻击。

2.ICMP重定向攻击

ICMP重定向信息是路由器向主机提供实时的路由信息，当一个主机收到ICMP重定向信息时，它就会根据这个信息来更新自己的路由表。由于缺乏必要的合法性检查，如果一个黑客想要被攻击的主机修改它的路由表，黑客就会发送ICMP重定向信息给被攻击的主机，让该主机按照黑客的要求来修改路由表。
在VMware虚拟环境中（Virtual Box不同），.2是充当网关的默认地址（通过route命令可以查看当前的网关和路由信息）；所以攻击者可以冒充.2发出重定向包，通知受害者修改自己的网关为攻击者指定的gw地址；如果伪造的gw是自身，可以实现中间人攻击或者DOS攻击（没有启动IP转发功能）；如果是随意IP（不能到达或不负责转发），则可以导致DOS攻击。

3.SYN Flood攻击

SYN Flood（半开放攻击）是一种拒绝服务（DDoS）攻击，其目的是通过消耗所有可用的服务器资源使服务器不可用于合法流量。通过重复发送初始连接请求（SYN）数据包，攻击者能够压倒目标服务器机器上的所有可用端口，导致目标设备根本不响应合法流量。

SYN Flood攻击如何工作？

通过利用TCP连接的握手过程，SYN Flood攻击工作。在正常情况下，TCP连接显示三个不同的进程以进行连接。

1.首先，客户端向服务器发送SYN数据包，以便启动连接。

2.服务器响应该初始包与SYN / ACK包，以确认通信。

3.最后，客户端返回ACK数据包以确认从服务器接收到的数据包。完成这个数据包发送和接收序列后，TCP连接打开并能发送和接收数据。