基于TCPIP協(xié)議的攻擊實驗tcp(共14頁)

1、 CENTRAL SOUTH UNIVERSITY 基于(jy)TCP/IP協(xié)議(xiy)的攻擊實驗報告學生(xu sheng)姓名 班級學號 指導教師 設計時間 目錄 TOC o 1-3 h z u HYPERLINK l _Toc436667371 一、實驗目的 PAGEREF _Toc436667371 h 1 HYPERLINK l _Toc436667372 二、實驗環(huán)境 PAGEREF _Toc436667372 h 1 HYPERLINK l _Toc436667373 三、實驗原理及內容 PAGEREF _Toc436667373 h 1 HYPERLINK l _Toc436

2、667374 四、實驗步驟 PAGEREF _Toc436667374 h 3 HYPERLINK l _Toc436667375 1. 實驗準備工作 PAGEREF _Toc436667375 h 3 HYPERLINK l _Toc436667376 2. 實驗 PAGEREF _Toc436667376 h 4 HYPERLINK l _Toc436667377 ARP欺騙緩存中毒 PAGEREF _Toc436667377 h 4 HYPERLINK l _Toc436667378 ICMP重定向攻擊 PAGEREF _Toc436667378 h 6 HYPERLINK l _Toc

3、436667379 SYN泛洪攻擊 PAGEREF _Toc436667379 h 6 HYPERLINK l _Toc436667380 對Telnet和SSH的TCP RST攻擊 PAGEREF _Toc436667380 h 8 HYPERLINK l _Toc436667381 對視頻流應用程序的TCP RST攻擊 PAGEREF _Toc436667381 h 9 HYPERLINK l _Toc436667382 ICMP Blind Connection-Reset and Source-Quench 攻擊 PAGEREF _Toc436667382 h 10 HYPERLINK

4、 l _Toc436667383 TCP報文劫持 PAGEREF _Toc436667383 h 10 HYPERLINK l _Toc436667384 五、實驗心得 PAGEREF _Toc436667384 h 11實驗(shyn)目的1.1 利用(lyng)netwox工具箱，基于(jy)TCP/IP協(xié)議進行攻擊實驗；1.2 熟悉使用netwox工具箱的使用；1.3 了解TCP/IP協(xié)議的具體機制。二、實驗環(huán)境 為了簡化攻擊實驗，我們假設攻擊者和被攻擊者都在同一個網段.同時我們打開三個虛擬機，一個用于攻擊；另一個用于被攻擊；第三個作為觀察者使用。我們把三臺主機放在同一個LAN中，其配置

5、信息如下所示： Machine 1 Machine 2 Machine 3 | | | | | | LAN or Virtual Network三、實驗原理及內容 4.1 ARP欺騙 ARP緩存是ARP協(xié)議的重要組成部分。ARP協(xié)議運行的目標就是建立MAC地址和IP地址的映射，然后把這一映射關系保存在ARP緩存中，使得不必重復運行ARP協(xié)議。 但是ARP緩存不是一成不變的，我們可以偽造ARP應答幀纂改ARP映射表，這就是ARP欺騙。這樣的后果會使主機發(fā)送信息到錯誤的MAC地址，導致數據被竊聽；要么由于MAC地址不存在，導致數據發(fā)送不成功。4.2 ICMP重定向攻擊 ICMP重定向信息是路由器向

6、主機提供實時(sh sh)的路由信息，當一個主機收到ICMP重定向信息時，它就會根據這個信息來更新(gngxn)自己的路由表。因此，我們可以發(fā)送ICMP重定向信息(xnx)給被攻擊的主機，讓該主機按照黑客的要求來修改路由表。 4.3 SYN洪流攻擊 SYN攻擊是一種DoS（Denial of Service）攻擊，在這種攻擊中黑客向被攻擊者的TCP端口發(fā)送很多SYN請求，但是黑客并不是想完成三次握手協(xié)議，而是使用偽造的IP地址或者只進行三次握手協(xié)議中的第一次握手。因為SYN數據包用來打開一個TCP鏈接，所以受害者的機器會向偽造的地址發(fā)送一個SYN/ACK數據包作為回應，并等待預期的ACK響應。

7、每個處于等待狀態(tài)，半開的鏈接隊列都講進入空間有限的待處理隊列。由于偽造的源地址實際上并不存在，所以將那些等待隊列中的記錄刪除并完成建立TCP連接所需的ACK響應用于不會到來，相反每個半開的連接一定會超時，這將花費一段比較長的時間。 只要攻擊者使用偽造的SYN數據包繼續(xù)泛洪受害者的系統(tǒng)，受害者的待處理隊列將一直處于滿員，這使得真正的SYN數據包幾乎不可能到達系統(tǒng)并打開有效的TCP連接。4.4 對Telnet和SSH的TCP RST攻擊 TCP RST攻擊可以終止兩個被攻擊主機之間的TCP連接。例如，如果兩臺主機已經成功用Telnet連接，可以向Telnet的客戶端發(fā)送TCP RST, 終止連接。

8、4.5 RST攻擊 這種攻擊只能針對tcp、對udp無效。RST：（Reset the connection）用于復位因某種原因引起出現的錯誤連接，也用來拒絕非法數據和請求。如果接收到RST位時候，通常發(fā)生了某些錯誤。4.6會話劫持(Session Hijack)會話劫持就是結合了嗅探以及欺騙技術在內的攻擊手段。例如，在一次正常的會話過程當中，攻擊者作為第三方參與到其中，他可以在正常 HYPERLINK /doc/2458278-2598433.html t _blank 數據包中插入惡意數據，也可以在雙方的會話當中進行監(jiān)聽，甚至可以是代替某一方主機接管會話。我們可以把會話劫持攻擊分為兩種類型

9、:1) HYPERLINK /doc/6540693-6754433.html t _blank 中間人攻擊(Man In The Middle，簡稱MITM)，2)注射式攻擊(Injection);并且還可以把會話劫持攻擊分為兩種形式:1)被動劫持，2)主動劫持;被動劫持實際上就是在后臺監(jiān)視雙方會話的 HYPERLINK /doc/6148990-6362177.html t _blank 數據流，從中獲得敏感數據;而主動劫持則是將會話當中的某一臺主機踢下線，然后由攻擊者取代并接管會話，這種攻擊方法危害非常大，攻擊者可以做很多事情，比如cat etc/master.passwd(FreeBS

10、D下的Shadow文件)。四、實驗(shyn)步驟1. 實驗(shyn)準備工作 = 1 * GB2 查看(chkn)虛擬機IP地址以及MAC地址，命令ifconfig a?？梢园l(fā)現三臺虛擬機在同一個局域網內，不再需要配置IP。歸納如下：身份Ip地址Mac地址攻擊者2900：6c：29：69：ac：5e受害者2800：6c：29：df：3d：f0觀察者3000：6c：29：f8：45：4f = 2 * GB2 三臺(sn ti)虛擬機都安裝vsftpd和openbsd-inetd 命令(mng lng)：sudo apt-get install vsftpd sudo apt-get inst

11、all openbsd-inetd# service vsftpd start ; Start the ftp server# service openbsd-inetd start ; Start the telnet server2. 實驗(shyn) = 1 * GB2 ARP欺騙(qpin)緩存中毒正常(zhngchng)情況下：如果機器2向機器3請求建立telnet連接，機器2會廣播ARP請求，詢問30的MAC地址是多少。機器3看見ARP廣播的IP地址正是自己的IP地址，知道是找自己的，所以會發(fā)送ARP應答，其中含有自己的MAC地址告訴機器2。這樣兩臺機器就可以相互建立連接進行通信。

12、victim與observer連接，連接正常。Observer中抓包信息如下：查看Victim中arp緩存表：Attacker更改信息:從observer中wireshark中捕獲的數據：Victim的ARP表：可以(ky)發(fā)現在victim的ARP緩存表里(bio l)，攻擊者的MAC地址(dzh)對應的是觀察者的IP地址。Victim與Observer連接，連接失敗。 = 2 * GB2 ICMP重定向攻擊安裝traceroute：受害者發(fā)送數據包：Observer的數據包情況可以(ky)看出Ethernet |的Dst為新網關Machine1的MAC地址(dzh)，發(fā)往01的數據包都發(fā)往

13、Machine1. = 3 * GB2 SYN泛洪攻擊(gngj)將Machine 3 （IP：30 端口：23）作為Telnet服務器，Machine 2（IP：28）作為Telnet客戶端，去連接Telnet服務器。首先機器2和機器3建立連接查看(chkn)機器(j q)3端口狀況(zhungkung)：機器1對機器3的端口23進行泛洪攻擊:查看3的23號端口的待處理隊列，可以看見有許多來自機器1 的待處理syn包，機器3受到泛洪攻擊。機器(j q)2再次(zi c)試圖(sht)連接機器3，此時就無法登陸上機器3了，連接失敗。如果打開SYN cookie（用命令：sysctl -w ne

14、t.ipv4.tcp_syncookies=1），則即使在被洪泛的情環(huán)境下，Machine 3 也可以有效的提供 Telnet服務。 = 4 * GB2 對Telnet和SSH的TCP RST攻擊TCP RST攻擊可以終止兩個被攻擊主機之間的TCP連接。比如：Machine 2（IP：28）的Telnet客戶端和Machine 3（ip：30）的Telnet服務器之間建立了 Telnet連接，我們向Telnet客戶段發(fā)送 TCP RST，就可以終止兩者之間的TCP連接。首先(shuxin)機器2和機器(j q)3連接(linji)：查看機器3的連接狀況：機器1攻擊機器2，構造一個 TCP TS

15、T包發(fā)送給Machine 2，這樣Telnet 客戶端就會斷開連接：機器2連接機器3時自動斷開 = 5 * GB2 對視頻流應用程序的TCP RST攻擊 此實驗同實驗4原理相同，時間比較緊，這里就不攻擊了。 = 6 * GB2 ICMP Blind Connection-Reset and Source-Quench 攻擊(gngj) ICMP數據(shj)報可以進行 TCP/RESET攻擊(gngj)，為了達到這個目的，黑客們發(fā)送一個ICMP報文給通信雙方，暗示他們雙方的TCP通信端出現硬件錯誤，連接必須終止。為了達到這個目的，我們需要Machine 2 Telnet至Machine 3 上

16、的Telnet服務器。機器2和機器3建立連接機器1攻擊機器3：攻擊結果是機器2和機器3正常連接。對此現象查閱了資料和詢問做過該實驗的學長們，了解到是因為我們實驗所用的ubuntu已經修復了該漏洞。 = 7 * GB2 TCP報文劫持 TCP報文劫持攻擊的目的是劫持一個現存的兩臺主機直接的TCP連接，然后在這個劫持的報文中注入惡意的內容。如果這個連接是一個Telnet連接，那么黑客可以再這個劫持的報文中注入惡意的命令，讓被劫持的主機執(zhí)行這個惡意的命令。Machine 2 (28) Telnet到Machine 3(30)。我們(w men)在Machine 1(29)上劫持(jich)Machi

17、ne 2 到Machine 3上的Telnet報文。首先(shuxin)，在Machine 1上開啟hunt工具來嗅探當前網絡上的TCP連接然后，建立Machine 2和Machine 3上的telnet連接接著，劫持TCP報文，在Machine 1上顯示 Machine3上的passwd文件然后，向劫持的Telnet報文中注入cat /etc/passwd命令，實現Machine 3上的passwd文件。五、實驗心得這次實驗做完之后發(fā)現很簡單，只要按照固定的步驟來，工具和命令都十分容易操作，很輕易地就得到了最終的結果。但是從中仍然有許多東西值得吸取經驗，得到不少收獲。首先是對wireshark，netwox，hunt這些工具的使用不熟練。作為一名信安的學生，對這些基礎的安全工具應該有基本的掌握和了解