1.实践内容
在网络攻防实验环境中完成TCP/IP协议栈重点协议的攻击实验,包括ARP缓存欺骗攻击、ICMP重定向攻击、SYN Flood攻击、TCP RST攻击、TCP会话劫持攻击。
2.实践过程
2.1ARP缓存欺骗攻击
选择三台机器,分别作为一台攻击机、两台靶机
名称 | IP | MAC |
kali | 192.168.200.6 | 00:0c:29:fc:76:3e |
Metasploitable | 192.169.200.130 | 00:0c:29:5c:dd:79 |
Win2kServer | 192.168.200.131 | 00:0C:29:67:E6:EA |
使用靶机Metasploitable ping Win2kServer
然后通过arp -a获得Win2kServer未被攻击时的MAC地址00:0C:29:67:E6:EA,如下图:
kali使用
netwox 80 -e 00:0C:29:67:E6:EA -i 192.168.200.131
命令对Win2kServer发起ARP欺骗攻击,然后再次使用Metasploitable ping Win2kServer,并通过arp -a命令获得Win2kServer此时被攻击时的MAC地址,发现此时无法ping通,并且Win2kServer的MAC地址变成了我们在上述命令中设置好的的MAC地址,也就死kali的MAC地址,说明ARP欺骗攻击成功,此时Win2kServer主机也检测到了错误:
然后再使用MetasploitableUbuntu ping Win2kServer,并通过arp -a命令获得Win2kServer此时的MAC地址,如下图所示:
2.2ICMP重定向攻击
名称 | IP | MAC |
kali | 192.168.11.130 | 00:0c:29:34:ac:5f |
Ubuntu | 192.168.200.3 | 00:0c:29:04:d5:0d |
首先使用Ubuntu ping baidu.com
然后使用route -n查看ping包的数据流向,发现网关是192.168.21.1
然后在攻击机Kali上使用 netwox 伪造重定向数据包,命令为
netwox 86 -f "host 192.168.200.3" -g 192.168.200.3 -i 192.168.200.1
嗅探链路中所有来自主机192.168.200.3的TCP数据包,并且以网关192.168.200.1的名义向主机192.168.200.3发送ICMP重定向包,重定向以kali的IP地址192.168.200.4作为网关,此时再次使用Ubuntu ping baidu.com 发现重定向数据包如下
在kali上停止攻击之后再次使用SEEDUbuntu ping baidu.com ,发现恢复正常:
2.3SYN Flood攻击
名称 | IP | MAC |
kali | 192.168.11.130 | 00:0c:29:34:ac:5f |
Metasploitable | 192.169.200.130 | 00:0c:29:5c:dd:79 |
Ubuntu | 192.168.200.3 | 00:0c:29:04:d5:0d |
首先在Ubuntu上 使用
telent 192.168.200.130
登录靶机Metasploitable
在攻击机Kali上 对靶机Metasploitable发动SYN FLOOD攻击
netwox 76 -i 192.168.200.130 -p 23
对IP地址为192.168.200.130主机的23号端口服务实施攻击,再次使用ubuntu尝试使用telnet服务登录靶机,显示超时无法登录,链接被拒绝
在此过程中使用wireshark捕获的数据包,可以发现大量SYN数据包被发送往目标主机。
之后停止攻击:
netwox 76 -i 192.168.200.130 -p 23
再次使用seedubuntu尝试使用telnet服务登录靶机
登陆成功
2.4TCP RST攻击
名称 | IP | MAC |
kali | 192.168.11.130 | 00:0c:29:34:ac:5f |
Metasploitable | 192.169.200.130 | 00:0c:29:5c:dd:79 |
Ubuntu | 192.168.200.3 | 00:0c:29:04:d5:0d |
先在Ubuntu主机上使用TELNET服务登录靶机Metasploitable
在攻击机Kali上使用工具netwox对靶机实施TCP RST攻击,命令为
netwox 78 -i 192.168.200.130
再次在Ubuntu主机上使用TELNET服务登录靶机,显示连接已被外部主机中断,使用wireshark在此过程中捕获的数据包,可以发现RST数据包
停止攻击
netwox 78 -i 192.168.200.130
再次在Ubuntu主机上使用TELNET服务登录靶机,登陆成
2.5TCP会话劫持攻击
名称 | IP | MAC |
kali | 192.168.11.130 | 00:0c:29:34:ac:5f |
Metasploitable | 192.169.200.130 | 00:0c:29:5c:dd:79 |
Ubuntu | 192.168.200.3 | 00:0c:29:04:d5:0d |
在kali中使用指令sudo ettercap -G打开攻击工具ettercap
打开Host List,查看Metasploitabler与Ubuntu的ip是否在列表里面,然后我们分别把这两台虚拟机设为target1和target2,准备实施攻击
打开MITM Menu->ARP poisoning,出现弹窗后点击OK,出现目标确认消息即成功
点击Ettercap Menu->View->Connections查看连接
使用 Ubuntu向MetaSploitable发起登陆telnet 192.168.200.130进行telnet连接
可以在Ettercap中看到Ubuntu与MetaSploitable的Telnet连接,甚至可以具体看到输入过程中的密码删改
3.学习中遇到的问题及解决
Q1:kali虚拟机没有netwox,
A1:先用apt-get install netwox手动安装,安装的过程中连接不到镜像网站,后来重新安装最新版的kali镜像
Q1:kali进行arp欺骗时,mac地址并没有更改
A2:将Metasploitable和Win2kServer的网络配置改成nat