基于TCPIP協(xié)議的攻擊實(shí)驗(yàn)tcp

1、 CENTRAL SOUTH UNIVERSITY 基于TCP/IP協(xié)議的攻擊實(shí)驗(yàn)報(bào)告學(xué)生姓名 班級學(xué)號 指導(dǎo)教師 設(shè)計(jì)時(shí)間 目錄一、實(shí)驗(yàn)?zāi)康?二、實(shí)驗(yàn)環(huán)境1三、實(shí)驗(yàn)原理及內(nèi)容1四、實(shí)驗(yàn)步驟31. 實(shí)驗(yàn)準(zhǔn)備工作32. 實(shí)驗(yàn)4ARP欺騙緩存中毒4ICMP重定向攻擊6SYN泛洪攻擊6對Telnet和SSH的TCP RST攻擊8對視頻流應(yīng)用程序的TCP RST攻擊9ICMP Blind Connection-Reset and Source-Quench 攻擊10TCP報(bào)文劫持10五、實(shí)驗(yàn)心得11一、 實(shí)驗(yàn)?zāi)康?.1 利用netwox工具箱，基于TCP/IP協(xié)議進(jìn)行攻擊實(shí)驗(yàn)；1.2 熟悉使用netw

2、ox工具箱的使用；1.3 了解TCP/IP協(xié)議的具體機(jī)制。二、實(shí)驗(yàn)環(huán)境 為了簡化攻擊實(shí)驗(yàn)，我們假設(shè)攻擊者和被攻擊者都在同一個(gè)網(wǎng)段.同時(shí)我們打開三個(gè)虛擬機(jī)，一個(gè)用于攻擊；另一個(gè)用于被攻擊；第三個(gè)作為觀察者使用。我們把三臺主機(jī)放在同一個(gè)LAN中，其配置信息如下所示： Machine 1 Machine 2 Machine 3 | | | | | | LAN or Virtual Network三、實(shí)驗(yàn)原理及內(nèi)容 4.1 ARP欺騙 ARP緩存是ARP協(xié)議的重要組成部分。ARP協(xié)議運(yùn)行的目標(biāo)就是建立MAC地址和IP地址的映射，然后把這一映射關(guān)系保存在ARP緩存中，使得不必重復(fù)運(yùn)行ARP協(xié)議。 但是A

3、RP緩存不是一成不變的，我們可以偽造ARP應(yīng)答幀纂改ARP映射表，這就是ARP欺騙。這樣的后果會使主機(jī)發(fā)送信息到錯(cuò)誤的MAC地址，導(dǎo)致數(shù)據(jù)被竊聽；要么由于MAC地址不存在，導(dǎo)致數(shù)據(jù)發(fā)送不成功。4.2 ICMP重定向攻擊 ICMP重定向信息是路由器向主機(jī)提供實(shí)時(shí)的路由信息，當(dāng)一個(gè)主機(jī)收到ICMP重定向信息時(shí)，它就會根據(jù)這個(gè)信息來更新自己的路由表。因此，我們可以發(fā)送ICMP重定向信息給被攻擊的主機(jī)，讓該主機(jī)按照黑客的要求來修改路由表。 4.3 SYN洪流攻擊 SYN攻擊是一種DoS（Denial of Service）攻擊，在這種攻擊中黑客向被攻擊者的TCP端口發(fā)送很多SYN請求，但是黑客并不是想

4、完成三次握手協(xié)議，而是使用偽造的IP地址或者只進(jìn)行三次握手協(xié)議中的第一次握手。因?yàn)镾YN數(shù)據(jù)包用來打開一個(gè)TCP鏈接，所以受害者的機(jī)器會向偽造的地址發(fā)送一個(gè)SYN/ACK數(shù)據(jù)包作為回應(yīng)，并等待預(yù)期的ACK響應(yīng)。每個(gè)處于等待狀態(tài)，半開的鏈接隊(duì)列都講進(jìn)入空間有限的待處理隊(duì)列。由于偽造的源地址實(shí)際上并不存在，所以將那些等待隊(duì)列中的記錄刪除并完成建立TCP連接所需的ACK響應(yīng)用于不會到來，相反每個(gè)半開的連接一定會超時(shí)，這將花費(fèi)一段比較長的時(shí)間。 只要攻擊者使用偽造的SYN數(shù)據(jù)包繼續(xù)泛洪受害者的系統(tǒng)，受害者的待處理隊(duì)列將一直處于滿員，這使得真正的SYN數(shù)據(jù)包幾乎不可能到達(dá)系統(tǒng)并打開有效的TCP連接。4.

5、4 對Telnet和SSH的TCP RST攻擊 TCP RST攻擊可以終止兩個(gè)被攻擊主機(jī)之間的TCP連接。例如，如果兩臺主機(jī)已經(jīng)成功用Telnet連接，可以向Telnet的客戶端發(fā)送TCP RST, 終止連接。4.5 RST攻擊 這種攻擊只能針對tcp、對udp無效。RST：（Reset the connection）用于復(fù)位因某種原因引起出現(xiàn)的錯(cuò)誤連接，也用來拒絕非法數(shù)據(jù)和請求。如果接收到RST位時(shí)候，通常發(fā)生了某些錯(cuò)誤。4.6會話劫持(Session Hijack)會話劫持就是結(jié)合了嗅探以及欺騙技術(shù)在內(nèi)的攻擊手段。例如，在一次正常的會話過程當(dāng)中，攻擊者作為第三方參與到其中，他可以在正常數(shù)據(jù)

6、包中插入惡意數(shù)據(jù)，也可以在雙方的會話當(dāng)中進(jìn)行監(jiān)聽，甚至可以是代替某一方主機(jī)接管會話。我們可以把會話劫持攻擊分為兩種類型:1)中間人攻擊(Man In The Middle，簡稱MITM)，2)注射式攻擊(Injection);并且還可以把會話劫持攻擊分為兩種形式:1)被動(dòng)劫持，2)主動(dòng)劫持;被動(dòng)劫持實(shí)際上就是在后臺監(jiān)視雙方會話的數(shù)據(jù)流，從中獲得敏感數(shù)據(jù);而主動(dòng)劫持則是將會話當(dāng)中的某一臺主機(jī)"踢"下線，然后由攻擊者取代并接管會話，這種攻擊方法危害非常大，攻擊者可以做很多事情，比如"cat etc/master.passwd"(FreeBSD下的Shadow

7、文件)。四、實(shí)驗(yàn)步驟1. 實(shí)驗(yàn)準(zhǔn)備工作查看虛擬機(jī)IP地址以及MAC地址，命令ifconfig a?？梢园l(fā)現(xiàn)三臺虛擬機(jī)在同一個(gè)局域網(wǎng)內(nèi)，不再需要配置IP。歸納如下：身份Ip地址Mac地址攻擊者2900：6c：29：69：ac：5e受害者2800：6c：29：df：3d：f0觀察者3000：6c：29：f8：45：4f三臺虛擬機(jī)都安裝vsftpd和openbsd-inetd 命令：sudo apt-get install vsftpd sudo apt-get install openbsd-inetd# service

8、 vsftpd start ; Start the ftp server# service openbsd-inetd start ; Start the telnet server2. 實(shí)驗(yàn)ARP欺騙緩存中毒正常情況下：如果機(jī)器2向機(jī)器3請求建立telnet連接，機(jī)器2會廣播ARP請求，詢問30的MAC地址是多少。機(jī)器3看見ARP廣播的IP地址正是自己的IP地址，知道是找自己的，所以會發(fā)送ARP應(yīng)答，其中含有自己的MAC地址告訴機(jī)器2。這樣兩臺機(jī)器就可以相互建立連接進(jìn)行通信。victim與observer連接，連接正常。Observer中抓包信息如下：查看Victi

9、m中arp緩存表：Attacker更改信息:從observer中wireshark中捕獲的數(shù)據(jù)：Victim的ARP表：可以發(fā)現(xiàn)在victim的ARP緩存表里，攻擊者的MAC地址對應(yīng)的是觀察者的IP地址。Victim與Observer連接，連接失敗。ICMP重定向攻擊安裝traceroute：受害者發(fā)送數(shù)據(jù)包：Observer的數(shù)據(jù)包情況可以看出Ethernet |的Dst為新網(wǎng)關(guān)Machine1的MAC地址，發(fā)往01的數(shù)據(jù)包都發(fā)往Machine1.SYN泛洪攻擊將Machine 3 （IP：30 端口：23）作為Telnet服務(wù)器，Machin

10、e 2（IP：28）作為Telnet客戶端，去連接Telnet服務(wù)器。首先機(jī)器2和機(jī)器3建立連接查看機(jī)器3端口狀況：機(jī)器1對機(jī)器3的端口23進(jìn)行泛洪攻擊:查看3的23號端口的待處理隊(duì)列，可以看見有許多來自機(jī)器1 的待處理syn包，機(jī)器3受到泛洪攻擊。機(jī)器2再次試圖連接機(jī)器3，此時(shí)就無法登陸上機(jī)器3了，連接失敗。如果打開SYN cookie（用命令：sysctl -w net.ipv4.tcp_syncookies=1），則即使在被洪泛的情環(huán)境下，Machine 3 也可以有效的提供 Telnet服務(wù)。對Telnet和SSH的TCP RST攻擊TCP RST攻擊可以終止

11、兩個(gè)被攻擊主機(jī)之間的TCP連接。比如：Machine 2（IP：28）的Telnet客戶端和Machine 3（ip：30）的Telnet服務(wù)器之間建立了 Telnet連接，我們向Telnet客戶段發(fā)送 TCP RST，就可以終止兩者之間的TCP連接。首先機(jī)器2和機(jī)器3連接：查看機(jī)器3的連接狀況：機(jī)器1攻擊機(jī)器2，構(gòu)造一個(gè) TCP TST包發(fā)送給Machine 2，這樣Telnet 客戶端就會斷開連接：機(jī)器2連接機(jī)器3時(shí)自動(dòng)斷開對視頻流應(yīng)用程序的TCP RST攻擊 此實(shí)驗(yàn)同實(shí)驗(yàn)4原理相同，時(shí)間比較緊，這里就不攻擊了。ICMP Blind Co

12、nnection-Reset and Source-Quench 攻擊 ICMP數(shù)據(jù)報(bào)可以進(jìn)行 TCP/RESET攻擊，為了達(dá)到這個(gè)目的，黑客們發(fā)送一個(gè)ICMP報(bào)文給通信雙方，暗示他們雙方的TCP通信端出現(xiàn)硬件錯(cuò)誤，連接必須終止。為了達(dá)到這個(gè)目的，我們需要Machine 2 Telnet至Machine 3 上的Telnet服務(wù)器。機(jī)器2和機(jī)器3建立連接機(jī)器1攻擊機(jī)器3：攻擊結(jié)果是機(jī)器2和機(jī)器3正常連接。對此現(xiàn)象查閱了資料和詢問做過該實(shí)驗(yàn)的學(xué)長們，了解到是因?yàn)槲覀儗?shí)驗(yàn)所用的ubuntu已經(jīng)修復(fù)了該漏洞。TCP報(bào)文劫持 TCP報(bào)文劫持攻擊的目的是劫持一個(gè)現(xiàn)存的兩臺主機(jī)直接的TCP連接，然后在這個(gè)

13、劫持的報(bào)文中注入惡意的內(nèi)容。如果這個(gè)連接是一個(gè)Telnet連接，那么黑客可以再這個(gè)劫持的報(bào)文中注入惡意的命令，讓被劫持的主機(jī)執(zhí)行這個(gè)惡意的命令。Machine 2 (28) Telnet到Machine 3(30)。我們在Machine 1(29)上劫持Machine 2 到Machine 3上的Telnet報(bào)文。首先，在Machine 1上開啟hunt工具來嗅探當(dāng)前網(wǎng)絡(luò)上的TCP連接然后，建立Machine 2和Machine 3上的telnet連接接著，劫持TCP報(bào)文，在Machine 1上顯示 Machine3上的passwd文件然后，向劫持的Telnet報(bào)文中注入cat /etc/passwd命令，實(shí)現(xiàn)Machine 3上的passwd文件。五、實(shí)驗(yàn)心得這次實(shí)驗(yàn)做完之后發(fā)現(xiàn)很簡單，只要按照固定的步驟來，工具和命令都十分容易操作，很輕易地就得到了最終的結(jié)果。但是從中仍然有許多東西值得吸取經(jīng)驗(yàn)，得到不少收獲。首先是對wireshark，netwox，hunt這些工具的使用不熟練。作為一名信安的學(xué)生，對這些基礎(chǔ)的安全工具應(yīng)該有基本的掌握和了解。在做實(shí)驗(yàn)1和實(shí)驗(yàn)7時(shí)，正是因?yàn)椴粫炀毜夭僮鞴ぞ?，?dǎo)致實(shí)驗(yàn)過程中出現(xiàn)不少小問題，也嚴(yán)重耽誤了實(shí)驗(yàn)的