基于TCPIP協(xié)議的攻擊實(shí)驗(yàn)tcp

1、 CENTRAL SOUTH UNIVERSITY 基于TCP/IP協(xié)議的攻擊實(shí)驗(yàn)報(bào)告學(xué)生姓名 班級(jí)學(xué)號(hào) 指導(dǎo)教師 設(shè)計(jì)時(shí)間 目錄一、實(shí)驗(yàn)?zāi)康?二、實(shí)驗(yàn)環(huán)境1三、實(shí)驗(yàn)原理及內(nèi)容1四、實(shí)驗(yàn)步驟31. 實(shí)驗(yàn)準(zhǔn)備工作32. 實(shí)驗(yàn)4ARP欺騙緩存中毒4ICMP重定向攻擊6SYN泛洪攻擊6對(duì)Telnet和SSH的TCP RST攻擊8對(duì)視頻流應(yīng)用程序的TCP RST攻擊9ICMP Blind Connection-Reset and Source-Quench 攻擊10TCP報(bào)文劫持10五、實(shí)驗(yàn)心得11一、 實(shí)驗(yàn)?zāi)康?.1 利用netwox工具箱，基于TCP/IP協(xié)議進(jìn)行攻擊實(shí)驗(yàn)；1.2 熟悉使用netw

2、ox工具箱的使用；1.3 了解TCP/IP協(xié)議的具體機(jī)制。二、實(shí)驗(yàn)環(huán)境 為了簡(jiǎn)化攻擊實(shí)驗(yàn)，我們假設(shè)攻擊者和被攻擊者都在同一個(gè)網(wǎng)段.同時(shí)我們打開(kāi)三個(gè)虛擬機(jī)，一個(gè)用于攻擊；另一個(gè)用于被攻擊；第三個(gè)作為觀察者使用。我們把三臺(tái)主機(jī)放在同一個(gè)LAN中，其配置信息如下所示： Machine 1 Machine 2 Machine 3 | | | | | | LAN or Virtual Network三、實(shí)驗(yàn)原理及內(nèi)容 4.1 ARP欺騙 ARP緩存是ARP協(xié)議的重要組成部分。ARP協(xié)議運(yùn)行的目標(biāo)就是建立MAC地址和IP地址的映射，然后把這一映射關(guān)系保存在ARP緩存中，使得不必重復(fù)運(yùn)行ARP協(xié)議。 但是A

3、RP緩存不是一成不變的，我們可以偽造ARP應(yīng)答幀纂改ARP映射表，這就是ARP欺騙。這樣的后果會(huì)使主機(jī)發(fā)送信息到錯(cuò)誤的MAC地址，導(dǎo)致數(shù)據(jù)被竊聽(tīng)；要么由于MAC地址不存在，導(dǎo)致數(shù)據(jù)發(fā)送不成功。4.2 ICMP重定向攻擊 ICMP重定向信息是路由器向主機(jī)提供實(shí)時(shí)的路由信息，當(dāng)一個(gè)主機(jī)收到ICMP重定向信息時(shí)，它就會(huì)根據(jù)這個(gè)信息來(lái)更新自己的路由表。因此，我們可以發(fā)送ICMP重定向信息給被攻擊的主機(jī)，讓該主機(jī)按照黑客的要求來(lái)修改路由表。 4.3 SYN洪流攻擊 SYN攻擊是一種DoS（Denial of Service）攻擊，在這種攻擊中黑客向被攻擊者的TCP端口發(fā)送很多SYN請(qǐng)求，但是黑客并不是想

4、完成三次握手協(xié)議，而是使用偽造的IP地址或者只進(jìn)行三次握手協(xié)議中的第一次握手。因?yàn)镾YN數(shù)據(jù)包用來(lái)打開(kāi)一個(gè)TCP鏈接，所以受害者的機(jī)器會(huì)向偽造的地址發(fā)送一個(gè)SYN/ACK數(shù)據(jù)包作為回應(yīng)，并等待預(yù)期的ACK響應(yīng)。每個(gè)處于等待狀態(tài)，半開(kāi)的鏈接隊(duì)列都講進(jìn)入空間有限的待處理隊(duì)列。由于偽造的源地址實(shí)際上并不存在，所以將那些等待隊(duì)列中的記錄刪除并完成建立TCP連接所需的ACK響應(yīng)用于不會(huì)到來(lái)，相反每個(gè)半開(kāi)的連接一定會(huì)超時(shí)，這將花費(fèi)一段比較長(zhǎng)的時(shí)間。 只要攻擊者使用偽造的SYN數(shù)據(jù)包繼續(xù)泛洪受害者的系統(tǒng)，受害者的待處理隊(duì)列將一直處于滿(mǎn)員，這使得真正的SYN數(shù)據(jù)包幾乎不可能到達(dá)系統(tǒng)并打開(kāi)有效的TCP連接。4.

5、4 對(duì)Telnet和SSH的TCP RST攻擊 TCP RST攻擊可以終止兩個(gè)被攻擊主機(jī)之間的TCP連接。例如，如果兩臺(tái)主機(jī)已經(jīng)成功用Telnet連接，可以向Telnet的客戶(hù)端發(fā)送TCP RST, 終止連接。4.5 RST攻擊 這種攻擊只能針對(duì)tcp、對(duì)udp無(wú)效。RST：（Reset the connection）用于復(fù)位因某種原因引起出現(xiàn)的錯(cuò)誤連接，也用來(lái)拒絕非法數(shù)據(jù)和請(qǐng)求。如果接收到RST位時(shí)候，通常發(fā)生了某些錯(cuò)誤。4.6會(huì)話劫持(Session Hijack)會(huì)話劫持就是結(jié)合了嗅探以及欺騙技術(shù)在內(nèi)的攻擊手段。例如，在一次正常的會(huì)話過(guò)程當(dāng)中，攻擊者作為第三方參與到其中，他可以在正常數(shù)據(jù)

6、包中插入惡意數(shù)據(jù)，也可以在雙方的會(huì)話當(dāng)中進(jìn)行監(jiān)聽(tīng)，甚至可以是代替某一方主機(jī)接管會(huì)話。我們可以把會(huì)話劫持攻擊分為兩種類(lèi)型:1)中間人攻擊(Man In The Middle，簡(jiǎn)稱(chēng)MITM)，2)注射式攻擊(Injection);并且還可以把會(huì)話劫持攻擊分為兩種形式:1)被動(dòng)劫持，2)主動(dòng)劫持;被動(dòng)劫持實(shí)際上就是在后臺(tái)監(jiān)視雙方會(huì)話的數(shù)據(jù)流，從中獲得敏感數(shù)據(jù);而主動(dòng)劫持則是將會(huì)話當(dāng)中的某一臺(tái)主機(jī)"踢"下線，然后由攻擊者取代并接管會(huì)話，這種攻擊方法危害非常大，攻擊者可以做很多事情，比如"cat etc/master.passwd"(FreeBSD下的Shadow

7、文件)。四、實(shí)驗(yàn)步驟1. 實(shí)驗(yàn)準(zhǔn)備工作查看虛擬機(jī)IP地址以及MAC地址，命令ifconfig a?？梢园l(fā)現(xiàn)三臺(tái)虛擬機(jī)在同一個(gè)局域網(wǎng)內(nèi)，不再需要配置IP。歸納如下：身份Ip地址Mac地址攻擊者00：6c：29：69：ac：5e受害者00：6c：29：df：3d：f0觀察者00：6c：29：f8：45：4f三臺(tái)虛擬機(jī)都安裝vsftpd和openbsd-inetd 命令：sudo apt-get install vsftpd sudo apt-get install openbsd-inetd# service vsftpd start ; Start the ftp server# service

8、 openbsd-inetd start ; Start the telnet server2. 實(shí)驗(yàn)ARP欺騙緩存中毒正常情況下：如果機(jī)器2向機(jī)器3請(qǐng)求建立telnet連接，機(jī)器2會(huì)廣播ARP請(qǐng)求，詢(xún)問(wèn)的MAC地址是多少。機(jī)器3看見(jiàn)ARP廣播的IP地址正是自己的IP地址，知道是找自己的，所以會(huì)發(fā)送ARP應(yīng)答，其中含有自己的MAC地址告訴機(jī)器2。這樣兩臺(tái)機(jī)器就可以相互建立連接進(jìn)行通信。victim與observer連接，連接正常。Observer中抓包信息如下：查看Victim中arp緩存表：Attacker更改信息:從observer中wireshark中捕獲的數(shù)據(jù)：Victim的ARP表：

9、可以發(fā)現(xiàn)在victim的ARP緩存表里，攻擊者的MAC地址對(duì)應(yīng)的是觀察者的IP地址。Victim與Observer連接，連接失敗。ICMP重定向攻擊安裝traceroute：受害者發(fā)送數(shù)據(jù)包：Observer的數(shù)據(jù)包情況可以看出Ethernet |的Dst為新網(wǎng)關(guān)Machine1的MAC地址，發(fā)往的數(shù)據(jù)包都發(fā)往Machine1.SYN泛洪攻擊將Machine 3 （IP： 端口：23）作為T(mén)elnet服務(wù)器，Machine 2（IP：）作為T(mén)elnet客戶(hù)端，去連接Telnet服務(wù)器。首先機(jī)器2和機(jī)器3建立連接查看機(jī)器3端口狀況：機(jī)器1對(duì)機(jī)器3的端口23進(jìn)行泛洪攻擊:查看3的23號(hào)端口的待處理

10、隊(duì)列，可以看見(jiàn)有許多來(lái)自機(jī)器1 的待處理syn包，機(jī)器3受到泛洪攻擊。機(jī)器2再次試圖連接機(jī)器3，此時(shí)就無(wú)法登陸上機(jī)器3了，連接失敗。如果打開(kāi)SYN cookie（用命令：sysctl -w net.ipv4.tcp_syncookies=1），則即使在被洪泛的情環(huán)境下，Machine 3 也可以有效的提供 Telnet服務(wù)。對(duì)Telnet和SSH的TCP RST攻擊TCP RST攻擊可以終止兩個(gè)被攻擊主機(jī)之間的TCP連接。比如：Machine 2（IP：8）的Telnet客戶(hù)端和Machine 3（ip：）的Telnet服務(wù)器之間建立了 Telnet連接，我們向Telnet客戶(hù)段發(fā)送 TCP

11、RST，就可以終止兩者之間的TCP連接。首先機(jī)器2和機(jī)器3連接：查看機(jī)器3的連接狀況：機(jī)器1攻擊機(jī)器2，構(gòu)造一個(gè) TCP TST包發(fā)送給Machine 2，這樣Telnet 客戶(hù)端就會(huì)斷開(kāi)連接：機(jī)器2連接機(jī)器3時(shí)自動(dòng)斷開(kāi)對(duì)視頻流應(yīng)用程序的TCP RST攻擊 此實(shí)驗(yàn)同實(shí)驗(yàn)4原理相同，時(shí)間比較緊，這里就不攻擊了。ICMP Blind Connection-Reset and Source-Quench 攻擊 ICMP數(shù)據(jù)報(bào)可以進(jìn)行 TCP/RESET攻擊，為了達(dá)到這個(gè)目的，黑客們發(fā)送一個(gè)ICMP報(bào)文給通信雙方，暗示他們雙方的TCP通信端出現(xiàn)硬件錯(cuò)誤，連接必須終止。為了達(dá)到這個(gè)目的，我們需要Mach

12、ine 2 Telnet至Machine 3 上的Telnet服務(wù)器。機(jī)器2和機(jī)器3建立連接機(jī)器1攻擊機(jī)器3：攻擊結(jié)果是機(jī)器2和機(jī)器3正常連接。對(duì)此現(xiàn)象查閱了資料和詢(xún)問(wèn)做過(guò)該實(shí)驗(yàn)的學(xué)長(zhǎng)們，了解到是因?yàn)槲覀儗?shí)驗(yàn)所用的ubuntu已經(jīng)修復(fù)了該漏洞。TCP報(bào)文劫持 TCP報(bào)文劫持攻擊的目的是劫持一個(gè)現(xiàn)存的兩臺(tái)主機(jī)直接的TCP連接，然后在這個(gè)劫持的報(bào)文中注入惡意的內(nèi)容。如果這個(gè)連接是一個(gè)Telnet連接，那么黑客可以再這個(gè)劫持的報(bào)文中注入惡意的命令，讓被劫持的主機(jī)執(zhí)行這個(gè)惡意的命令。) Telnet到Machine 3(30)。我們?cè)?上劫持Machine 2 到Machin

13、e 3上的Telnet報(bào)文。首先，在Machine 1上開(kāi)啟hunt工具來(lái)嗅探當(dāng)前網(wǎng)絡(luò)上的TCP連接然后，建立Machine 2和Machine 3上的telnet連接接著，劫持TCP報(bào)文，在Machine 1上顯示 Machine3上的passwd文件然后，向劫持的Telnet報(bào)文中注入cat /etc/passwd命令，實(shí)現(xiàn)Machine 3上的passwd文件。五、實(shí)驗(yàn)心得這次實(shí)驗(yàn)做完之后發(fā)現(xiàn)很簡(jiǎn)單，只要按照固定的步驟來(lái)，工具和命令都十分容易操作，很輕易地就得到了最終的結(jié)果。但是從中仍然有許多東西值得吸取經(jīng)驗(yàn)，得到不少收獲。首先是對(duì)wireshark，netwox，hunt這些工具的使用不熟練。作為一名信安的學(xué)生，對(duì)這些基礎(chǔ)的安全工具應(yīng)該有基本的掌握和了解。在做實(shí)驗(yàn)1和實(shí)驗(yàn)7時(shí)，正是因?yàn)椴粫?huì)熟練地操作工具，導(dǎo)致實(shí)驗(yàn)過(guò)程中出現(xiàn)不少小問(wèn)題，也嚴(yán)重耽誤了實(shí)驗(yàn)的進(jìn)度。第二是對(duì)