20222817 2022-2023-2《网络攻防实践》第四周作业

1.实践内容

TCP/IP网络协议栈安全缺陷：
网络接口层：以太网协议，当网络接口处于混杂模式可以直接嗅探并截获数据包，同时缺乏对MAC地址源的身份验证机制，实现MAC地址欺骗。
互联层：IP协议只根据目的地址进行转发，不检查源IP地址是否真实有效，容易遭到IP地址欺骗。同时还包括源路由滥用、IP分片攻击，以及ARP欺骗、ICMP重定向、Smurf攻击等。
传输层：TCP建立会话之后的连接过程中，非常容易遭受伪造和欺骗攻击，攻击者可以进行TCP RST攻击直接中断会话过程。同时TCP的三次握手过程存在设计缺陷，攻击者可以进行SYN泛洪攻击。
应用层：一些流行的应用层协议HTTP、FTP、POP3/SMTP、 DNS等均缺乏安全设计。

ARP欺骗攻击

原理：ARP协议在设计时认为局域网内部的所有用户都是可信的，这使得ARP缓存非常容易被注入伪造的IP地址到MAC地址的映射关系。
攻击过程：
源节点A发送数据包给目的节点B时，会通过ARP协议在局域网段广播ARP请求包，询问节点B的IP地址所映射的MAC地址。
攻击节点C说IP目标IP地址所映射的MAC地址是他自己，并不断地向源节点发送ARP响应包。
由于攻击节点C不断地发送响应包，这样源节点上会强制以C发送响应包中的信息来更新ARP缓存。
当源节点A要再次发送数据包到节点B时，直接将数据包发送到C对应的MAC地址，即攻击节点C，这样C就通过欺骗假冒了目的节点B。
如果ARP欺骗攻击的是网关节点，将导致整个局域网所有节点经过网关出入的数据包都会首先通过攻击节点，可能被嗅探、监听和恶意修改。
攻击工具：DSniff中的Arpspoof、arpison、Ettercap、Netwox。
防范措施：静态绑定关键主机的IP地址和MAC地址映射关系、使用相应的ARP防范工具、使用虚拟子网细分网络拓扑、加密传输。

ICMP路由器重定向攻击

原理：利用ICMP路由重定向报文改变主机路由表，向目标主机发送重定向消息，伪装成路由器，使得目标机器的数据报文发送至攻击机从而加强监听。
攻击过程：
攻击节点利用IP源地址欺骗技术，冒充网关IP地址，向被攻击节点发送ICMP重定向报文，并将指定的新路由器IP地址设置为攻击节点。
被攻击节点收到报文后，进行限制条件检查，由于该报文并不违背限制条件，因此将被接收，被攻击节点选择攻击节点作为其新的路由器。
攻击节点可以可以开启路由转发，充当中间人，对被攻击节点的通信进行全程嗅探监听，达到ARP欺骗类似的攻击效果。
在转发过程中，根据ICMP路由重定向机制的设计原理，攻击节点协议栈可能会向攻击节点发送一个ICMP重定向报文，指定原先网关为新路由器，将欺骗路由路径还原至原先状态。
工具：netwox
防范措施：根据类型过滤一些ICMP数据包、设置防火墙过滤、对ICMP重定向报文判断是不是来自本地路由器的

TCP SYN Flood拒绝服务攻击

原理：基于TCP三次握手的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的连接队列资源，从而无法正常服务。
攻击过程：
在TCP SYN Flood攻击中，攻击主机向受害主机发送大量伪造源地址的TCP SYN报文。
受害主机分配必要的资源，然后向源地址返回SYN/ACK包，并等待源端返回ACK包。
如果伪造的源地址主机活跃，将会返回一个RST包直接关闭连接，但大部分伪造源地址是非活跃的，永远不会返回ACK报文，受害主机继续发送SYN+ACK包，当半开连接报文填满，服务器也就拒绝新的连接。
防范措施：SYN-Cookie技术（在连接信息未完全到达前不进行资源的分配）；防火墙地址状态监控技术（将到目标服务器的TCP连接状态分为NEW、GOOD、BAD）。

TCP RST攻击

原理：TCP协议头有一个reset，该标志位置为1，接收该数据包的主机即将断开这个TCP会话连接。tcp重置报文就是直接关闭掉一个TCP会话连接。
攻击过程：
攻击主机C可以通过嗅探方式监视通信双方A、B之间的TCP连接。
在获得源、目标IP地址及端口、序列号之后，接可以结合IP源地址欺骗技术伪装成通信一方，发送TCP重置报文给通信另一方。
在确保端口号一致及序列号落入TCP造成通信双方正常网络通信的中断，达到拒绝服务的效果。
工具：netwox

TCP会话劫持攻击

原理：TCP会话劫持是劫持通信双方已经建立的TCP会话连接，假冒其中一方的身份，与另一方进行进一步通信。其中最核心的就是通过TCP对会话通信方的验证。
攻击过程：
victim主机与telnet服务器进行连接，并通过身份认证建立起会话。
telnet服务器将会向victim发送响应包，并包含服务器当前序列号（SVR_SEQ）以及期望客户端发送的下一个序列号（SVR_ACK）。
攻击者通过ARP欺骗实施中间人攻击，可以嗅探获得victim和telnet服务器间的通信内容，然后假冒victim的IP地址及身份，向talent服务器发送数据包，声称自己是victim。
攻击者发送数据包中的序列号必须满足条件：SVR_ACK<=CLT_SEQ<=SVR_ACK+SVR_WND。
victim仍然会继续持续talent服务器之间的连接会话，但是由于与telnet服务器之间的ACK值互相不匹配出现AC风暴。
防范措施：禁用主机上的源路由、采用静态绑定IP-MAC映射表以及避免ARP欺骗、引用和过滤ICMP重定向报文

2.实践过程

在网络攻防实验环境中完成TCP/IP协议栈重点协议的攻击实验，包括ARP缓存欺骗攻击、ICMP重定向攻击、SYN Flood攻击、TCP RST攻击、TCP会话劫持攻击。
选取kali虚拟机作为攻击机，选取MetaSploitable_ubuntu和Win2kServer_SP0_target作为正常通信机。
查看三台虚拟机的IP地址及MAC地址:

kali：IP地址为192.168.200.4
MAC地址为：00:0c:29:56:67:f8

MetaSploitable_ubuntu：IP地址为192.168.11.111
MAC地址为：00:0c:29:82:e0:b1

Win2kServer_SP0：IP地址为192.168.200.112
MAC地址为：00:0C:29:8B:06:3C

SeedUbuntu：IP地址为192.168.200.6
MAC地址为：00:0c:29:be:06:fe

2.1 ARP攻击

使用MetaUbuntu ping win2k，能够连通：

MetaUbuntu的arp表为：

 在kali攻击机中执行sudo netwox 80 -e 00:0c:29:56:67:f8 1 -i 192.168.200.112进行ARP攻击，然后再在ubuntu中查询arp表发现变化，证明攻击成功：

在kali中打开wireshark，再使用MetaUbuntu ping win2k，发现kali获取到了ubuntu ping win2k 的ICMP报文： 

 

2.2 ICMP重定向攻击

在SeedUbuntu中查询路由表：

 

在kali中执行sudo netwox 86 -f "host 192.168.200.6" -g 192.168.200.4 -i 192.168.200.1，其中192.168.200.6为靶机IP，192.168.200.4为重定向IP地址，192.168.200.1为原网关：

 此时可见重定向已生效。

2.3 TCP SYN Flood拒绝服务攻击

在Kali上利用netwox的76号工具对靶机的23号端口进行SYN Flood攻击netwox 76 -i 192.168.1.111 -p 23

 

打开WireShark查看，可见Kali虚拟机向192.168.1.111发送了大量SYN标志的TCP数据包

 

2.4 TCP RST攻击

在攻击前，在SEED Ubuntu中执行telnet 192.168.200.111，向MetaSploitable发起telnet登陆，并输入用户名密码，可见可以正常执行

在Kali上利用netwox的78号工具对靶机进行TCP RST攻击netwox 78 -i 192.168.200.111，并提前打开Wireshark 

再次在SEEDUbuntu中执行telnet 192.168.200.111，可发现已经不能输入账户密码了 

在wireshark中可以看到Kali虚拟机向192.168.200.111发送了大量的RST标志的TCP数据包，因为大量RST标志的TCP数据包，SEED Ubuntu向MetaSploitable发起的telnet连接被拒绝了

2.5 TCP会话劫持攻击

本次攻击使用的工具为ettercap，在kali中使用sudo ettercap -G打开图形化界面进行操作

在扫描结束后，打开Menu->Hosts->Host List，将SEED Ubuntu和MetaSploitable设置为目标1和目标2 

打开MITM Menu->ARP poisoning，出现弹窗后点击OK，出现目标确认消息即成功 

点击Ettercap Menu->View->Connections查看连接 

 

 使用SEED Ubuntu向MetaSploitable发起登陆telnet 192.168.200.111进行telnet连接

可以在Ettercap中看到SEED Ubuntu与MetaSploitable的Telnet连接，甚至可以具体看到输入过程中的密码删改

 

3.学习中遇到的问题及解决

问题1：netwox安装所需时间过长
问题1解决方案：使用更新版本的kali，因为所需包多数已经安装，所需时间大量变短。

4.实践总结

本次实验较为简单，主要是执行命令，分析执行原理，通过此次实验，我更加了解了网络攻击都是基于原本的网络协议自生的漏洞，而协议和程序本身的漏洞不可避免地存在，所以要预防网络攻击很难。要保持网络安全，需要我们提高网络安全技能，及时更新漏洞补丁，养成良好的保密习惯。