常见内网攻击1

内网攻击

arp中间人攻击

原理

通过构造arp响应报文，导致目标计算机与网关通信失败，更会导致通信重定向，所有的数据都会通过攻击者的机器。攻击者再对目标和网关之间的数据进行转发，则可作为一个“中间人”，实现监听目标却又不影响目标正常上网的目的。

防御

arp防御

主机中手动建立arp表

主机中用arp防火墙固化arp表

交换机使用dai（动态arp检测技术）

ICMP重定向防御

原理

当路由器收到 IP 数据报，发现数据报的目的地址在路由表上却不存在时，它发送 ICMP 重定向报文给源发送方，提醒它接收的地址不存在，需要重新发送给其他地址进行查找。通过发送icmp重定向报文可以进行中间人攻击，也可让对方无法上网

防御

关闭重定向

主机不处理重定向

Tcp syn攻擊

原理

它利用了TCP协议实现上的一个缺陷，通过向网络服务所在端口发送大量的伪造源地址的攻击报文，就可能造成目标服务器中的半开连接队列被占满，从而阻止其他合法用户进行访问。

防御

cookie源认证：

原理是syn报文首先由DDOS防护系统来响应syn_ack。带上特定的sequence number （记为cookie）。真实的客户端会返回一个ack 并且Acknowledgment number 为cookie+1。 而伪造的客户端，将不会作出响应。这样我们就可以知道那些IP对应的客户端是真实的，将真实客户端IP加入白名单。下次访问直接通过，而其他伪造的syn报文就被拦截。

reset认证：

Reset认证利用的是TCP协议的可靠性，也是首先由DDOS防护系统来响应syn。防护设备收到syn后响应syn_ack,将Acknowledgement number (确认号)设为特定值（记为cookie）。当真实客户端收到这个报文时，发现确认号不正确，将发送reset报文，并且sequence number 为cookie + 1。 而伪造的源，将不会有任何回应。这样我们就可以将真实的客户端IP加入白名单。

TCP首包丢弃:

该算法利用了TCP/IP协议的重传特性，来自某个源IP的第一个syn包到达时被直接丢弃并记录状态(五元组)，在该源IP的第2个syn包到达时进行验证，然后放行。

tcp rst攻擊

原理

正常情况下，客户端与服务器端不再通信时，需要通过四次挥手断开连接。利用该机制，用户可以手动发送 TCP 重置包，断开客户端与服务器之间的连接，干扰正常的数据传输。

例子

icmp重定向攻击

netwox 86 功能：sniff and send ICMP4/ICMP6 redirect (嗅探和发送icmp重定向报文)

cat /proc/sys/net/ipv4/conf/all/accept_redirects #打开重定向选项
sysctl -w net.ipv4.conf.all.accept_redirects=1 #ip_forward与accept_redirects相反？sysctl命令用于运行时配置内核参数，-w临时修改。

netwox 86 -f "host ${被攻击主机ip地址}" -g "${新指定的网关ip地址}" -i "${当前网关ip地址}"
注：被攻击的主机需要有向外部发送的数据包
	-f 用来过滤指定ip目标，不指定-f 就是针对所有主机

攻击机：192.168.228.131

网关：192.168.228.2

攻击目标：192.168.228.157

攻击者

攻击目标

tcp rst攻击

环境

pc1与pc2 进行ssh连接

攻击者使用

netwox 78 -i  192.168.228.154

pc2出现