20199128 2019-2020-2 《网络攻防实践》第五周作业

20199128 2019-2020-2 《网络攻防实践》第五周作业

• 1.实践内容
  • 1.1网络层协议攻击
    • 1.1.1IP源地址欺骗
    • 1.1.2ARP欺骗
    • 1.1.3ICMP路由重定向攻击
  • 1.2传输层协议攻击
    • 1.2.1TCP RST攻击
    • 1.2.2TCP会话劫持攻击
    • 1.2.3TCP SYN Flood拒绝服务攻击
    • 1.2.4UDP Flood拒绝服务攻击
• 2.实践过程
  • 2.1ARP欺骗
  • 2.2ICMP路由重定向攻击
  • 2.3SYN Flood拒绝服务攻击
  • 2.4TCP RST攻击
  • 2.5TCP会话劫持攻击
• 3.学习中遇到的问题及解决
• 4.实践总结

这个作业属于哪个课程	《网络攻防实践》
这个作业的要求在哪里	《网络攻防实践》第四周作业
这个作业在哪个具体方面帮助我实现目标	学习网络嗅探与协议分析
作业正文....	见正文
其他参考文献	见参考文献

1.实践内容

• 网络安全属性：机密性、完整性、可用性、真实性、不可抵赖性。
• 网络攻击基本模式：
• 被动攻击：
  • 截获：具体技术为嗅探和监听，破坏机密性
• 主动攻击：
  • 中断：具体技术为拒绝服务，破坏可用性
  • 篡改：具体技术为欺骗，破坏真实性
  • 伪造：具体技术为数据包篡改，破坏完整性

TCP/IP网络协议栈的安全缺陷与攻击技术

1.1网络层协议攻击

1.1.1IP源地址欺骗

• 定义：指攻击者伪造具有虚假源地址的IP数据包进行发送，以达到隐藏发送者身份、假冒其他计算机等目的。
• 原理：IP协议只根据目的地址进行分组转发，不对源地址进行真实性验证。
• 步骤：
  1. 对受信任主机进行拒绝服务攻击；
  2. 对目标主机TCP初始序列号（ISN）进行取样猜测；
  3. 伪造源地址为受信任主机IP的SYN数据包，发送给目标主机；
  4. 等待目标主机将SYN/ACK包发送给已瘫痪的受信任主机；
  5. 伪装成被信任主机向目标主机发送ACK包，设置发送数据包的ACK值为预测目标主机ISN+1；
  6. 连接建立，假冒受信任主机与目标主机通信。
• 应用场景：拒绝服务攻击、网络扫描、对付基于IP地址的身份认证机制
• 防范措施：
  1. 使用随机化的初始序列号，减少被猜测的可能；
  2. 使用如IPsec的网络层安全传输协议加密传输数据；
  3. 避免采用基于IP地址的信任策略，以基于加密算法的用户身份认证机制替代；
  4. 在路由器和网关上实施包过滤，阻断来自外部网络但源IP地址却属于内部网络的数据包。

1.1.2ARP欺骗

• 定义：攻击者在有线以太网或无线网络上发送伪造ARP消息，对特定IP对应的MAC地址进行假冒欺骗的攻击技术。
• ARP工作原理：每台主机中都有ARP缓存，维护着过去通信的主机IP地址和MAC地址映射关系。当某台主机想将数据包发送到目标主机，会先检查自己的ARP缓存，如果缓存中有目标主机的IP地址-MAC地址映射，则直接将数据发向该MAC地址。若缓存中没用，则在本地局域网中广播，所有主机听到广播后，将检查数据包中的目的IP，如果与自己的IP地址一致，则先将该对IP-MAC映射覆盖或添加ARP缓存，随后向源节点发送自己的MAC地址，若与自己IP地址不一致则忽略。源节点收到响应后，同样吧目标主机的IP-MAC映射添加到ARP缓存中，然后开始传输数据。若源节点一直未收到响应，则查询失败。
• 欺骗原理：ARP协议设计时认为局域网内部用户均是可信的，实际上广播的响应结果和ARP缓存都是存疑的。
• 步骤：
  1. 源节点发送数据包给目的节点，通过ARP协议在局域网段广播ARP请求包，询问目的节点IP地址对应的MAC地址；
  2. 攻击节点响应广播，谎称目标IP地址对应的MAC地址是自己。
  3. 尽管目的节点也在响应，但由于攻击节点不断发送响应包，源节点就会强制以攻击节点发送的信息来更新ARP缓存；
  4. 当源节点再次向目的节点发送数据包时，就会直接发送至攻击节点；
  5. 利用同样方法攻击目的节点，就实现了源节点和目的节点通信的中间人攻击。
• 应用场景：局域网嗅探、中间人攻击、ARP病毒。
  -防范措施：
  1. 静态绑定关键主机的IP地址和MAC地址映射关系；
  2. 使用ARP防范工具；
  3. 使用VLAN虚拟子网细分网络拓扑；
  4. 加密传输数据。

1.1.3ICMP路由重定向攻击

• 定义：攻击者伪装成路由器发送虚假的ICMP路由路径控制报文，使得受害主机选择攻击者指定的路由路径的攻击技术。
• ICMP路由重定向原理：IP协议缺少差错控制和查询机制。当网络拓扑结构变化、网络故障时，主机可能会使用非优路径传输数据，此时使用ICMP重定向报文更新主机路由表，从而使主机选择更优路由路径传输数据。
• 步骤：
  1. 攻击节点利用IP源地址欺骗技术，冒充网关IP地址，向被攻击节点发送ICMP重定向报文，将指定的新路由器IP地址设置为攻击节点；
  2. 被攻击节点收到报文后，进行限制条件检查，由于该报文并不违背限制条件，因此将被接收，被攻击节点选择攻击节点作为其新的路由器；
  3. 攻击节点可以开启路由转发，充当中间人，对被攻击节点的通信进行全程嗅探监听，达到ARP欺骗类似的攻击效果；
  4. 在转发过程中，根据ICMP路由重定向机制的设计原理，攻击节点协议栈可能会向攻击节点发送一个ICMP重定向报文，指定原先网关为新路由器，将欺骗路由路径还原至正常状态。
• 防范措施：根据类型过滤部分ICMP数据包、设置防火墙过滤、对ICMP重定向报文判断是否来自本地路由器。

1.2传输层协议攻击

1.2.1TCP RST攻击

• 定义：也称伪造TCP重置报文攻击，是指一种假冒干扰TCP通信连接的技术方法。
• 原理：TCP协议头的标志位中有一个“reset”比特位，一旦该位置1，则接收该数据包的主机立刻断开。
• 步骤：
  1. 攻击主机可以通过嗅探方式监视通信双方之间的TCP连接，获得源、目标IP地址及端口、序列号；
  2. 结合IP源地址欺骗技术伪装成通信一方，发送TCP重置报文给通信另一方；
  3. 确保端口号一致及序列号落入TCP造成通信双方正常网络通信的中断，达到拒绝服务的效果。

1.2.2TCP会话劫持攻击

• 原理：劫持通信双方已经建立的TCP会话连接，假冒其中一方的身份，与另一方进行进一步通信。
• 步骤:
  1. victim主机与telnet服务器进行连接，并通过身份认证建立起会话；
  2. telnet服务器将会向victim发送响应包，并包含服务器当前序列号（记为SVR_SEQ）以及期望客户端发送的下一个序列号（记为SVR_ACK）；
  3. 攻击者通过ARP欺骗实施中间人攻击，可以嗅探获得victim和telnet服务器间的通信内容，然后假冒victim的IP地址及身份，向talent服务器发送数据包，声称自己是victim；
  4. victim仍然会继续维持talent服务器之间的连接会话，但由于与telnet服务器之间的ACK值互相不再匹配出现ACK风暴。
• 防范措施：
  1. 禁用主机上的源路由
  2. 采用静态绑定IP-MAC映射表以避免ARP欺骗
  3. 引用和过滤ICMP重定向报文

1.2.3TCP SYN Flood拒绝服务攻击

• 定义：是一种使服务器不能够成为正常访问的用户提供服务的攻击方式。
• 原理：利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的连接队列资源，从而无法为正常用户提供服务。
• 步骤：
  1. 攻击主机向受害主机发送大量伪造源地址的TCP SYN报文；
  2. 受害主机分配必要的资源，然后向源地址返回SYN/ACK包，并等待源端返回ACK包；
  3. 如果伪造的源地址主机活跃，将会返回一个RST包直接关闭连接，但大部分伪造源地址是非活跃的，永远不会返回ACK报文，受害主机继续发送SYN+ACK包，半开连接报文很快就会填满，服务器也就拒绝新的连接，致使该端口无法响应其他机器的正常连接请求。
• 防范措施：
  1. SYN-Cookie技术
  2. 防火墙地址状态监控技术

1.2.4UDP Flood拒绝服务攻击

• 原理：通过向目标主机和网络发送大量UDP数据包，造成目标主机显著的计算负载提升，或者通过网络拥塞，从而使得目标主机和网络陷入不可用的状态，造成拒绝服务攻击。
• 应用场景：分布式拒绝服务攻击
• 防范措施：
  1. 禁用或过滤监控和响应服务；
  2. 禁用或过滤其他UDP服务。

2.实践过程

	IP地址	MAC地址
kali	192.168.200.2	00:0C:29:a3:9b:a1
SEED	192.168.200.4	00:0C:29:50:57:5C
Metasploitablel	192.168.200.125	00:0C:29:20:53:14

2.1 ARP欺骗

在kali上使用netwox 80 -e 00:0C:29:a3:9b:a1 -i 192.168.200.125
和netwox 80 -e 00:0C:29:a3:9b:a1 -i 192.168.200.4命令，通过前后arp -a分别查看SEED和Metasploitablel的ARP缓存可以看到IP-MAC的映射关系改变。

2.2ICMP路由重定向攻击

在SEED上ping baidu.com，结果如下：

在kali上输入netwox 86 -f "host 192.168.200.4" -g 192.168.200.2 -i 192.168.200.1，之后再次在SEED上ping baidu.com，可以看到下一跳变成了192.168.200.2，说明路由由原网关192.168.200.1重定向到了攻击机kali192.168.200.2。

2.3SYN Flood拒绝服务攻击

正常状况如图：

在kali上netwox 76 -i 192.168.200.125 -p 23，然后在SEED上输入telnet 192.168.200.125，可以在wireshark中看到向192.168.200.125发送了大量SYN请求。

2.4TCP RST攻击

在kali输入netwox 78 -i 192.168.200.125，然后在SEED上输入telnet 192.168.200.125，得到如下结果：

2.5TCP会话劫持攻击

1. SEED上输入telnet 192.168.200.125并登录；
2. 在kali打开wireshark，过滤tcp.port==23，在SEED上输入ls，记下最后一个包的源端口、目的端口、Next Seq Num和ACK值；
   
3. 构建请求包netwox 40 --ip4-offsetfrag 0 --ip4-ttl 64 --ip4-protocol 6 --ip4-src 192.168.200.4 --ip4-dst 192.168.200.125 --tcp-src 35408 --tcp-dst 23 --tcp-seqnum 48253970 --tcp-acknum 3453611897 --tcp-ack --tcp-psh --tcp-window 128 --tcp-data "7265626f6f740d00"；
   
4. 可以在wireshark看到发生了ACK风暴。
   

3.学习中遇到的问题及解决

• 问题1：起初试图使用win2kserver做受害主机，但win2k立刻识破了我的攻击意图，不断进行如下提示（可以关掉但无限弹出）。
  
• 问题1解决方案：最后使用了kali、SEED和Metasploitablel进行实验。
• 问题2：进行SYN洪泛攻击时，攻击机kali已向192.168.200.125发送了140余万条SYN请求，然而仍旧可以正常连接。结果反而自己的kali多次卡死。
• 问题2解决方案：未果。

4.实践总结

对一些攻击手法进行了尝试，勾起了一些兴趣。

参考资料