HCIE（2）——DHCP/MAC/ICMP等相关攻击简介

一、DHCP的攻击与防御

1）DHCP的工作 过程：

2）攻击原理
1、拒绝服务攻击，由于DHCP没有任何认证机制，所以我们可以伪造大量的DHCP请求来瘫痪DHCP服务器，让DHCP服务器应接不暇（只需要发送discovery包即可）。
2、我们可以伪造垃圾MAC地址来请求DHCP地址池中的IP，直到DHCP服务器的资源耗尽为止（此种方式需要完成DHCP的整个工作过程）

3）防御手段（在交换机上的防御手段）
针对第一种发送大量请求的攻击，我们可以通过限速来实施防御。
针对第二种地址的消耗，又可以分以下两种情况：
如果二层src MAC不变，DHCP包中的MAC发生变化；可以检测这两者的一致性，如果不一致则丢弃。
如果二层src MAC和DHCP包中MAC一致，则构建MAC-IP-PORT-VLAN映射表，查看DHCP包中的src MAC与表中的MAC是否一致，不一致则丢弃或关闭接口
DHCP防御的一些常用命令：
[sw1]dHCP enable //开启DHCP服务
[sw1]dhcp snooping enable {vlan 1} //开启DHCP防御功能，一般在vlan里面开启
[sw1-g 0/0/1]dHCP Snooping trusted //在接口上开启对这个接口的DHCP信任功能，如果不配置该命令，那么接口会检测接口是否发出了DHCP的offer与ack包，如果发出关闭该接口
[sw1-g 0/0/1]dHCP Snooping max-user-number 10 //限制用户的数量，即限制从接口发出的不同Mac的请求报文
[sw1]dhcp snooping check dhcp-rate enable //开启限速功能
[sw1]dhcp snooping check dhcp-rate 100 //限制DHCP的发包数量(每秒100个)
[sw1]dhcp snooping check ?
dhcp-chaddr DHCP chaddr
dhcp-giaddr DHCP relay agent ip address
//这两个字段用来检查二层src Mac和DHCP中的Mac是否一致，开启了一致性检查
[sw1]dhcp snooping user-bind autosave flash:/123.tbl //将绑定用户进行保存，这是为了防止设备在重新启动后由于绑定表丢失而导致防御机制失效。
4）DHCP攻击实验模拟
详见：https://blog.csdn.net/qq_45782298/article/details/109225317

二、MAC地址洪泛攻击

1）攻击原理
攻击者利用交换机对于未知单播帧进行洪泛的原理，对流量进行抓取，以达到网络收集的目的。
首先攻击者会向交换机中发送大量的虚假MAc地址，将交换机中的CAM表填满，这样当其他主机发送的数据帧过来时，会进行洪泛处理，攻击者自己的主机就可以收到受害者的数据帧，攻击者通过抓包软甲就可以获取相应的信息了。

2）防御手段
主要在交换机上设置端口安全功能，如限速、限制端口最大学习数、设置老化时间、信任端口等

 [sw1-GigabitEthernet0/0/1]port-security enable   //开启端口安全功能
 [sw1-GigabitEthernet0/0/1]port-security max-mac-num 10
//设置端口可学习的最大MAC地址数
 [sw1-GigabitEthernet0/0/1]port-security protect-action ?  //设置的惩罚措施
  protect   Discard packets   //丢弃包
  restrict  Discard packets and warning   //丢弃并报警
  shutdown  Shutdown    //关闭接口 
 [sw1-GigabitEthernet0/0/1]port-security aging-time ?   //设置的老化时间
  INTEGER<1-1440>  Aging time (in minute) 
 [sw1-GigabitEthernet0/0/1]port-security mac-address sticky ?  
//手动设置端口信任MAC
  H-H-H  Mac address
  <cr>   

3）MAC地址洪泛实验模拟
此处使用macof工具进行攻击。
具体细节见HCIE（2）——MAc地址洪泛实验模拟

三、ICMP重定向攻击

1）ICMP重定向定义

如图所示，主机PC要ping路由器R2的LoopBack 0地址：192.168.3.1，主机判断出它属于不同网段的地址，因此它要将ICMP请求包发给自己的默认网关192.168.1.253（路由器R1的E0接口）。但是，这之前主机PC首先必须发送ARP请求，请求路由器R1的E0接口对应的MAC地址。
当路由器收到R1的ARP请求包后，它首先使用ARP应答包回到主机PC的ARP请求。然后，路由器R1将此ICMP请求转发到路由器R2的E0接口。此外，路由器R1还要发送一个ICMP重定向消息给主机PC，通知PC请求的网关地址应该是路由器R1的E0接口IP地址。
路由器R2此时会发送一个ARP请求到主机PC请求MAC ，二PC会回应R2的请求。最后路由器R2 获得了主机PC的MAC地址信息，将ICMP请求返还给主机PC

2）攻击原理
ICMP重定向包是指到达一个目标重新指定下一跳的包
由于缺乏认证机制，可以用来改变数据流而实施攻击、

3）攻击方式
可以使用netwox 86号工具进行攻击
在kali上要开启攻击机的路由转发功能，在/etc/sysctl.conf中将net.ipv4.ip_forward = 1

netwox   86   -f   "host{被攻击主机的IP地址}"    -g   “{新指定的网关IP地址}”   -i    "{当前网关IP地址}"

-f：过滤需要抓取的数据包
-g：重定向受害者需要更改的网关路由
-i：受害者原来的网关路由
攻击成果是新网关的MAC取代了原网关的MAC

四、ICMP不可达攻击

1）原理：
攻击者会伪装成目标主机向其发送一个目标不可达的报文，受害者收到会默认自己到不了目标主机。

2）攻击工具
使用netwox的82号工具

kali@kali:~$ netwox 82 --help
Title: Sniff and send ICMP4/ICMP6 destination unreachable
Usage: netwox 82 [-d device] [-f filter] [-c uint32] [-i ip]
Parameters:
 -d|--device device             device name {Eth0}
 -f|--filter filter             pcap filter
 -c|--code uint32               ICMP code {0}
 -i|--src-ip ip                 source IP address {192.168.150.100}
 --help2                        display help for advanced parameters
例：sudo netwox 82 -f "tcp and host 172.24.8.128"  -i "172.24.8.2"
//主机172.24.8.128访问自己网关172.24.8.2时，为目标主机不可达

五、ICMP洪泛攻击

ICMP洪泛攻击是利用ICMP报文进行攻击的一种方法。如果攻击者向目标主机发送大量的ICMP echo报文，将产生ICMP洪泛，目标主机会将大量堆叠时间和资源用来处理ICMP echo报文，而无法响应正常的请求，从而实现攻击的手段

六、死亡之ping

微软早期的内核漏洞，超过65535大小的包会导致windows内核处理错误，进而导致系统崩溃 。
其实简单来说，就是自己构造一个ping包，将里面的data 字段大小弄到超过65535，当电脑收到这个包时就会蓝屏。

七、ICMP Smurf，也叫ICMP放大攻击

利用ICMP回包和广播地址主机收到会响应的原理

八、ICMP各种攻击的防御手段

1、ICMP重定向防御策略
关闭路由器接口的重定向功能
2、ICMP不可达防御策略
增加服务器断开服务机制（对于很古老的应用通过ICMP来判断和目标的连接情况），不紧急从ICMP来判断目标的连接而断开的服务。
3、ICMP洪泛攻击
增加带宽
关闭ICMP服务
流量清洗
4、死亡之ping
修补内核代码
5、ICMP Smurf，ICMP放大攻击
windows下默认防火墙开启情况下，不会回应ICMP的ping包
现在出厂的路由器大部分都是禁止准发.255（网段内广播）的包。

关于ICMP重定向和ICMP不可达的模拟实验详见：

ICMP攻击相关实验模拟