20241917 2024-2025-2 《网络攻防实践》实践四报告

一、实践内容
1.ARP缓存欺骗攻击（ARP Spoofing）
（1）原理：ARP协议用于将IP地址解析为MAC地址。攻击者伪造ARP响应包，声称自己的MAC地址对应合法设备的IP，欺骗目标更新ARP缓存表，将流量重定向到攻击者设备。
（2）影响：中间人攻击（窃听、篡改数据）、网络瘫痪（通过伪造网关MAC导致断网）。
（3）防御：静态绑定IP-MAC地址、使用动态ARP检测（DAI）或网络监控工具（如ARPWatch）、划分VLAN减少广播域。
2. ICMP重定向攻击
（1）原理：ICMP重定向消息用于通知主机更优路由路径。攻击者伪造此类消息，诱导目标将流量发送到恶意路由，从而截获或干扰通信。
（2）影响：流量被劫持或丢弃、网络路径被恶意修改。
（3）防御：禁用主机的ICMP重定向功能（如Linux系统sysctl配置）、配置防火墙过滤外部ICMP重定向包、使用加密隧道（如VPN）保护关键流量。
3.SYN Flood攻击
（1）原理：攻击者发送大量伪造源IP的SYN包，耗尽服务器资源（半开连接队列），导致服务不可用。属于DDoS攻击的一种。
（2）影响：服务器资源耗尽，拒绝服务、合法用户无法建立连接。
（3）防御：启用SYN Cookie机制（不保存半连接状态）、配置防火墙限制SYN速率或过滤异常IP、使用CDN或云防护服务稀释攻击流量。
4. TCP RST攻击
（1）原理：攻击者伪造TCP重置（RST）包，利用合法连接的序列号（需在接收窗口内），强制中断目标TCP会话。
（2）影响：用户连接被突然终止（如网页断开、下载中断）、破坏关键通信（如SSH、在线会议）。
（3）防御：使用加密协议（如TLS）隐藏序列号、部署入侵检测系统（IDS）识别异常RST包、调整TCP参数缩小接收窗口，降低猜测成功率。
5. TCP会话劫持攻击
（1）原理：攻击者在合法会话建立后，通过预测/窃取序列号伪造数据包，插入恶意内容或接管会话控制权。
（2）影响：数据篡改（如修改HTTP请求）、身份冒用（如接管用户账户）。
（3）防御：使用强加密（如HTTPS、SSH）保护序列号和载荷、启用多因素认证（MFA）防止账户接管、监控网络流量异常（如非预期数据包来源）。

二、实践过程
1.配置查看
（1）Kali配置
虚拟机网络设置

查询其IP地址和MAC地址

（2）seed配置
虚拟机设置

查询其IP地址

（3）Metasploitable_ubuntu配置
虚拟机设置

查询其IP地址

（4）win2k配置
虚拟机配置

查询其IP地址

（5）IP地址和MAC地址汇总
| 虚拟机 | IP地址 | MAC地址 |
| Kali | 192.168.200.3 | 00:0c:29:41:7e:e9 |
| Seed | 192.168.200.2 | |
|Metasploitable| 192.168.200.5 | 00:0c:29:96:72:33 |
| Win2k |192.168.200.131| |

2.ARP缓存欺骗
（1）在SEEDUbuntu中使用指令 ping Metasploitable_ubuntu的IP，得到arp缓存表。

（2）使用 arp -a查看arp缓存表，可以看到Metasploitable_ubuntu的IP地址和MAC地址是对应的

（3）在Kali上执行指令 netwox 80 -e MAC(kali) -i IP(Metasploitable_ubuntu)（80是指netwox的80号工具），将在局域网内广播这条命令，使得攻击机SEEDUbuntu收到IP(Metasploitable_ubuntu)/MAC(Kali)的映射，实现arp欺骗。

3.ICMP重定向攻击
（1）在SEEDUbuntu中输入route -n查看网关为192.168.200.1

(2)在Kali主机上执行命令 netwox 86 -f “host IP(SEEDUbuntu)” -g IP(kali) -i 192.168.200.1

（3）可以看到其访问百度的数据包已经被重定向到Kali

4. SYN Flood攻击
   利用SEEDUbuntu向靶机Metasploitable_ubuntu发起telnet服务访问，用Kali攻击机攻击靶机的telnet服务端口，并用Wireshark查看。
   (1)首先使用SEEDUbuntu向Metasploitable_ubuntu发起登陆 telnet IP（Metasploitable_ubuntu），输入用户名密码(Metasploitable2-Linux登陆的用户名密码：msfadmin)。
   
   (2)在Kali上利用netwox的76号工具对靶机的23号端口进行SYN Flood攻击 netwox 76 -i IP（Metasploitable_ubuntu）-p 23，
   
   (3)并用wireshark抓包，可以看到攻击机向靶机发送了大量的虚假ip发出的SYN连接请求。
   

5.TCP RST攻击
本步骤选择利用SEEDUbuntu向靶机Metasploitable_ubuntu发起telnet服务访问，用Kali攻击机对靶机发起TCP RST攻击。
(1)使用SEEDUbuntu向Metasploitable_ubuntu发起登陆 telnet IP（Metasploitable_ubuntu），输入用户名密码(Metasploitable_ubuntu登陆的用户名密码：msfadmin)。

(2)在Kali上利用netwox的78号工具对靶机进行TCP RST攻击 netwox 78 -i IP（Metasploitable_ubuntu）

(3)回到刚才SEEDUbuntu的登陆界面，在SEEDUbuntu中发现连接被强制关闭。

6.TCP回话劫持攻击
(1)使用ettercap工具，在kali中输入ettercap -G打开图形化界面进行操作，并点击右上角对号开始。

(2)在右上角选择Hosts中选择Scan for hosts开始扫描

(3)在Hosts list中查看列表，将SEEDUbuntu设置为目标1，将Metasploitable_ubuntu设置为目标2，添加完成结果如下

(4)之后点击MITM Menu - ARP poisoning，然后点击OK。

(5)使用SEEDUbuntu向Metasploitable_ubuntu发起登陆 telnet 192.168.200.125 （Metasploitable_ubuntu的IP地址），输入Metasploitable2-Linux的用户名及密码：msfadmin;

(6)在Connections中可以看到建立的telnet连接

(7)进一步点击后可以看到登录使用的用户名、密码和命令。

三、学习中遇到的问题及解决

问题1：使用netwox指令无效
解决方案：用apt-get install netwox下载

问题2：kali虚拟机连不上网，下载netwox失败，跟前几次实验一样连手机热点也不行
解决方案：询问了恩克同学，将kali的网络配置从NET8换成桥接模式，下载完netwox之后，再换回NET8即可
四、实践总结
在本次实验中学习并实践了五种TCP/IP协议栈重点协议的攻击方法，包括ARP缓存欺骗攻击、ICMP重定向攻击、SYN Flood攻击、TCP RST攻击、TCP会话劫持攻击；通过亲自动手实践对这些攻击的原理与影响进行了学习，直观呈现了各攻击的技术细节，同时暴露出协议设计缺陷带来的安全隐患，为应对复杂网络威胁奠定了实践基础。
在本次网络安全攻防实验研究中，系统完成了TCP/IP协议栈核心协议相关的五种典型网络攻击技术验证。通过构建实验环境对上述攻击手段进行复现，通过流量监控和协议分析揭示了ICMP信任机制等协议设计层面的安全隐患。为我日后学习更多网络空间安全知识奠定了更多的基础。