TCP-IP攻擊實(shí)驗(yàn)-實(shí)驗(yàn)報(bào)告

1、TCP/IP攻擊實(shí)驗(yàn)實(shí)驗(yàn)中南大學(xué)TCP/IP攻擊實(shí)驗(yàn)實(shí)驗(yàn)報(bào)告學(xué)生姓名 學(xué) 院 信息科學(xué)與工程學(xué)院 專業(yè)班級(jí) 完成時(shí)間 2015年11月29日 目 錄1.實(shí)驗(yàn)描述32.實(shí)驗(yàn)步驟32.1 環(huán)境搭建32.2 實(shí)驗(yàn)1：ARP緩存中毒42.3 實(shí)驗(yàn)2：ICMP重定向攻擊62.4 實(shí)驗(yàn)3：SYN洪流攻擊72.5 實(shí)驗(yàn)4：在telnet和ssh連接上的TCP RST攻擊102.6 實(shí)驗(yàn)5：對(duì)視頻流應(yīng)用程序的TCP RST攻擊122.7 實(shí)驗(yàn)6：ICMP盲目連接重置和源端關(guān)閉攻擊122.8 實(shí)驗(yàn)7：TCP報(bào)文劫持133.總結(jié)14TCP/IP攻擊實(shí)驗(yàn)1.實(shí)驗(yàn)描述【實(shí)驗(yàn)背景】由于TCP/IP協(xié)議是Internet

2、的基礎(chǔ)協(xié)議，所以對(duì)TCP/IP協(xié)議的完善和改進(jìn)是非常必要的。TCP/IP協(xié)議從開始設(shè)計(jì)時(shí)候并沒有考慮到現(xiàn)在網(wǎng)絡(luò)上如此多的威脅,由此導(dǎo)致了許多形形色色的攻擊方法，一般如果是針對(duì)協(xié)議原理的攻擊(尤其DDOS)，我們將無能為力。 TCP/IP攻擊的常用原理有： (1) 源地址欺騙(Source Address Spoofing)、IP欺騙(IP Spoofing)和DNS欺騙(DNS Spoofing)；(2) 路由選擇信息協(xié)議攻擊(RIP Attacks)；(3) 源路由選擇欺騙(Source Routing Spoofing) ；(4) TCP序列號(hào)欺騙和攻擊(TCP Sequence Numb

3、er Spoofing and Attack)?！緦?shí)驗(yàn)?zāi)康摹?基于TCP/IP協(xié)議進(jìn)行攻擊實(shí)驗(yàn),了解TCP/IP協(xié)議的具體機(jī)制。2.實(shí)驗(yàn)步驟 2.1 環(huán)境搭建這里我使用三臺(tái)虛擬機(jī)做實(shí)驗(yàn)，其中一個(gè)用于攻擊；另一個(gè)用于被攻擊；第三個(gè)作為觀察者使用；把三臺(tái)主機(jī)放在同一個(gè)LAN中，其配置信息參照如下所示（實(shí)際在實(shí)驗(yàn)過程中有所改動(dòng)）：這里我使用的是SEED實(shí)驗(yàn)室已經(jīng)搭建好，并且已經(jīng)安裝好相關(guān)的netwox工具箱和Wireshark工具箱的Ubuntu系統(tǒng)，與此同時(shí)三臺(tái)虛擬機(jī)都需要打開FTP和Telnet服務(wù)：使用如下命令來完成上述任務(wù)Start the ftp server # servicevsftp

4、d start Start the telnet server # serviceopenbsd-inetd start2.2 實(shí)驗(yàn)1：ARP緩存中毒【實(shí)驗(yàn)背景】ARP緩存是ARP協(xié)議的重要的一部分。作為一個(gè)ARP協(xié)議執(zhí)行結(jié)果，一旦一個(gè)在MAC地址和IP地址之間的映射被決定，這個(gè)映射就被緩存。因此，如果影射已經(jīng)存在在緩存中，就沒有必要再重復(fù)ARP協(xié)議。然而，因?yàn)锳RP協(xié)議是無狀態(tài)的，緩存可以被輕易的通過惡意的ARP信息修改。這樣的一種攻擊叫做ARP欺騙。在這樣一個(gè)攻擊中，攻擊者使用欺騙ARP信息來哄騙受害者接受一個(gè)無效的MAC-IP映射，并且在緩存中保存這個(gè)映射。取決于攻擊者的目的不同，這里可

5、能出現(xiàn)各種類型的后果。例如，攻擊者將一個(gè)不存在的MAC地址關(guān)聯(lián)受害者的默認(rèn)網(wǎng)關(guān)的IP地址，通過此來啟動(dòng)一個(gè)Dos攻擊?！緦?shí)驗(yàn)內(nèi)容】當(dāng)發(fā)送方B需要向接收方C發(fā)送一個(gè)數(shù)據(jù)時(shí)，B會(huì)從自己的ARP表中通過C的IP地址來查找相應(yīng)的C的MAC地址。如果C的MAC地址不在B的ARP表中，B就向全網(wǎng)發(fā)廣播包，要求C主機(jī)返回它的MAC地址。當(dāng)B接收到C返回的MAC地址時(shí)，B就將更新它的ARP表。同時(shí)，C主機(jī)也將B主機(jī)和它對(duì)應(yīng)的MAC地址記錄到C的ARP表中。ARP表的更新采用牛奶原則，也就是說，ARP表將無條件接受最后一次收到的ARP包作為ARP更新的數(shù)據(jù)。鑒于此，攻擊者A可以利用一些工具偽造一個(gè)ARP包，將C

6、的IP對(duì)應(yīng)的MAC地址修改為自己的MAC地址，并將這個(gè)數(shù)據(jù)包發(fā)送給B。B在更新了ARP表之后，新的發(fā)往C的數(shù)據(jù)包就會(huì)被發(fā)送到B。查詢netwox說明后得知，33號(hào)工具用于偽造ARP包。使用命令查看該工具的詳細(xì)使用方法。netwox 33 -help2在進(jìn)行攻擊之前，先在三臺(tái)主機(jī)上互相ping。然后使用arp a命令查看ARP表之后，在三臺(tái)主機(jī)全部開啟的情況下，攻擊機(jī)A發(fā)動(dòng)攻擊Netwox 80 -e “mac地址” -i “ip地址”之后，使用同樣的方法，給C主機(jī)發(fā)送ARP欺騙包。2.3 實(shí)驗(yàn)2：ICMP重定向攻擊【實(shí)驗(yàn)背景】ICMP重定向被路由器用來向更新主機(jī)的路由信息，最開始只有最少的路由

7、信息。當(dāng)一臺(tái)主機(jī)接收到一個(gè)ICMP重定向信息，他將會(huì)根據(jù)接收到的信息來修改路由表。因?yàn)槿鄙俅_認(rèn)，如果攻擊者希望受害者設(shè)置它的路由信息為一個(gè)特別形式，他們可以發(fā)送欺騙ICMP重定向信息給受害者，并且欺騙受害者修改它的路由表。【實(shí)驗(yàn)內(nèi)容】ICMP重定向信息是路由器向主機(jī)提供實(shí)時(shí)的路由信息，當(dāng)一個(gè)主機(jī)收到ICMP重定向信息時(shí)，它就會(huì)根據(jù)這個(gè)信息來更新自己的路由表。由于缺乏必要的合法性檢查，如果一個(gè)黑客想要被攻擊的主機(jī)修改它的路由表，黑客就會(huì)發(fā)送ICMP重定向信息給被攻擊的主機(jī)，讓該主機(jī)按照黑客的要求來修改路由表。在三臺(tái)機(jī)器上搭建的路由指令A(yù)的路由配置指令sudo ifconfig eth0 *.*.

8、220.128 netmask sudo ifconfig eth1 *.*.205.129 netmask sudo route add -net *.*.220.0/24 gw *.*.220.128sudo route add -net *.*.205.0/24 gw *.*.205.129sudo sysctl -w net.ipv4,ip_forward=1B的路由配置指令sudo ifconfig eth0 *.*.205.128 netmask sudo route add default gw *.*

9、.220.128sudo sysctl -w net.ipv4.ip_forward=1C的路由配置指令sudo ifconfig eth0 *.*.205.128 netmask sudo route add default gw *.*.205.129sudo sysctl -w net.ipv4.ip_forward=1使用netwox86號(hào)工具可以完成這個(gè)攻擊。攻擊機(jī)A指令sudo netwox 86 -f "host *.*.220.129" -g *.*.220.130 -c 1 -i *.*.220.131-f “host 被攻擊機(jī)的

10、IP” g 希望對(duì)方網(wǎng)關(guān)修改后的IP c 類型 i 源IP這個(gè)指令只有在按下ctrl+c時(shí)才會(huì)結(jié)束，否則一直發(fā)送ICMP包。此時(shí)，在被攻擊機(jī)B中使用WIRESHRK監(jiān)聽eth0，發(fā)現(xiàn)不斷收到ICMP包，2.4 實(shí)驗(yàn)3：SYN洪流攻擊【實(shí)驗(yàn)背景】SYN洪流攻擊是Dos攻擊的一種形式，攻擊者發(fā)送許多SYN請(qǐng)求給受害者的TCP端口，但是攻擊者沒有完成三次握手的意向。攻擊者或者使用虛假的IP地址，或者不繼續(xù)過程。在這個(gè)攻擊中，攻擊者可以使受害者的用于半開連接的隊(duì)列溢出，例如，一個(gè)完成SYN，SYN-ACK但沒有收到最后的ACK回復(fù)的連接。當(dāng)這個(gè)隊(duì)列滿了的時(shí)候，受害者不能夠在進(jìn)行更多的連接。SYN 緩存

11、策略：SYN緩存是是對(duì)抗SYN洪流攻擊的一種防御機(jī)制。如果機(jī)器檢測(cè)到它正在被SYN洪流攻擊，這種機(jī)制將會(huì)kick in。【實(shí)驗(yàn)內(nèi)容】如果一個(gè)TCP連接沒有完成三次握手，它將被放入半開連接隊(duì)列，而半開連接隊(duì)列有最大長(zhǎng)度，如果連接數(shù)量達(dá)到最大容量時(shí)，新的連接就不能夠被建立。SYN洪泛攻擊就是通過未完成的TCP請(qǐng)求來試圖充滿半開連接隊(duì)列，使得正常的連接不能夠被建立，達(dá)到攻擊的效果。在這個(gè)實(shí)驗(yàn)中，使用telnet服務(wù)作為攻擊目標(biāo)，在23號(hào)端口發(fā)起SYN洪泛攻擊。首先，嘗試在主機(jī)B和C之間建立telnet連接，說明網(wǎng)絡(luò)聯(lián)通。主機(jī)B遠(yuǎn)程登錄主機(jī)C的賬戶在主機(jī)C上，通過命令netstat na | grep

12、 tcp 命令查看當(dāng)前的TCP相關(guān)端口的狀態(tài)，發(fā)現(xiàn)23號(hào)端口處于聯(lián)通狀態(tài)在主機(jī)C上查看C的半開連接隊(duì)列的最大長(zhǎng)度為128，緩沖保護(hù)開啟。在主機(jī)B中使用exit命令斷開與C的telnet連接。之后在主機(jī)A中使用netwox76號(hào)工具發(fā)動(dòng)針對(duì)主機(jī)C23號(hào)端口的SYN攻擊?；氐街鳈C(jī)B中，嘗試與主機(jī)C進(jìn)行telnet遠(yuǎn)程連接，從上圖及實(shí)驗(yàn)過程可以看出，雖然連接的速度很慢，但是是可以連接上的。我在主機(jī)B上開啟了兩個(gè)終端，同時(shí)試圖進(jìn)行telnet連接。到主機(jī)C中查看端口連接情況，如圖4.3.5和圖4.3.6。發(fā)現(xiàn)，隊(duì)列中充斥著大量半開連接，目的端口號(hào)都是C機(jī)的23號(hào)端口，但是源主機(jī)IP和端口卻不一致，而且

13、端口號(hào)都是不常用端口，可以判斷出，這極有可能是一次SYN攻擊。2.5 實(shí)驗(yàn)4：在telnet和ssh連接上的TCP RST攻擊【實(shí)驗(yàn)背景】TCP RST攻擊可以終止一個(gè)在兩個(gè)受害者之間已經(jīng)建立的TCP連接。例如，如果這里有一個(gè)在A和B之間已經(jīng)建立的telnet連接，攻擊者可以偽造一個(gè)A發(fā)向B的RST包，打破這個(gè)存在的連接。【實(shí)驗(yàn)內(nèi)容】首先完成主機(jī)B與主機(jī)C的telnet連接，在C上查看端口連接情況，如圖4.4.2，已經(jīng)完成主機(jī)B與主機(jī)C23端口的連接。這時(shí)，在主機(jī)A中通過netwox78號(hào)工具發(fā)起針對(duì)B主機(jī)的RST攻擊?；氐紹主機(jī)中，發(fā)現(xiàn)沒有什么變化，但是當(dāng)回車之后，出現(xiàn)連接已經(jīng)被其他主機(jī)斷開

14、，并退回到主機(jī)B的賬戶下在主機(jī)C中查看此時(shí)的連接情況，如圖4.4.4。可以看出BC主機(jī)的23端口的連接已經(jīng)被斷開，處于監(jiān)聽狀態(tài)。注意，此時(shí)主機(jī)A的攻擊并沒有停止?；氐街鳈C(jī)B中，再次嘗試連接主機(jī)C，發(fā)現(xiàn)最開始是連接上了，但是還沒來得及顯示后續(xù)內(nèi)容，連接就被中斷。2.6 實(shí)驗(yàn)5：對(duì)視頻流應(yīng)用程序的TCP RST攻擊【實(shí)驗(yàn)背景】同實(shí)驗(yàn)4。【實(shí)驗(yàn)內(nèi)容】由于SEED實(shí)驗(yàn)室中配置的Ubuntu沒有視頻流應(yīng)用，故此沒有完成此實(shí)驗(yàn)，但其實(shí)與實(shí)驗(yàn)4是相同的原理。2.7 實(shí)驗(yàn)6：ICMP盲目連接重置和源端關(guān)閉攻擊【實(shí)驗(yàn)背景】ICMP信息同樣可以被用于達(dá)成連接重置攻擊。為了達(dá)到這個(gè)目的，攻擊者發(fā)送一條顯示“硬錯(cuò)誤”

15、的ICMP的錯(cuò)誤信息給TCP連接兩端的任意一方。連接將會(huì)被立即中斷，因?yàn)樵赗FC1122中主機(jī)在接收到這樣一個(gè)TCMP錯(cuò)誤包時(shí)，應(yīng)當(dāng)立即中斷相關(guān)的連接。RFC1122定義“硬錯(cuò)誤”為一個(gè)目的不可達(dá)且協(xié)議無效、端口無效、標(biāo)志位缺失和DF位設(shè)置的ICMP錯(cuò)誤信息ICMP源端關(guān)閉信息被擁塞路由器用于告知TCP發(fā)送者減緩發(fā)送包的速度。攻擊者可以制定這樣的信息來實(shí)施對(duì)TCP發(fā)送者的拒絕服務(wù)攻擊。【實(shí)驗(yàn)內(nèi)容】實(shí)驗(yàn)中使用的是實(shí)驗(yàn)2中的拓?fù)浣Y(jié)構(gòu)及IP地址。首先在B和C見建立telnet連接：A是攻擊機(jī)，A試圖偽造一個(gè)ICMP錯(cuò)誤信息的包，發(fā)送給B或C（實(shí)驗(yàn)中發(fā)送給了B），來終止BC見的連接。 接下來，在C主機(jī)

16、中查看端口連接信息，如圖4.5.1，發(fā)現(xiàn)連接并沒有終止 在B機(jī)中查看wireshark抓取的eth0的流量，如圖4.5.2，發(fā)現(xiàn)ICMP錯(cuò)誤信息包B收到了。 出現(xiàn)這種情況的原因可能是在高版本的ubuntu中已經(jīng)制訂了一些策略來防止這些攻擊。2.8 實(shí)驗(yàn)7：TCP報(bào)文劫持【實(shí)驗(yàn)背景】會(huì)話劫持利用了TCP/IP工作原理來設(shè)計(jì)攻擊。TCP使用端到端的連接，即TCP用（源IP，源TCP端口號(hào)，目的IP，目的TCP端號(hào)）來唯一標(biāo)識(shí)每一條已經(jīng)建立連接的TCP鏈路。另外，TCP在進(jìn)行數(shù)據(jù)傳輸時(shí)，TCP報(bào)文首部的兩個(gè)字段序號(hào)（seq）和確認(rèn)序號(hào)（ackseq）非常重要。序號(hào)（seq）和確認(rèn)序號(hào)（ackseq）

17、是與所攜帶TCP數(shù)據(jù)凈荷（payload）的多少有數(shù)值上的關(guān)系：序號(hào)字段（seq）指出了本報(bào)文中傳送的數(shù)據(jù)在發(fā)送主機(jī)所要傳送的整個(gè)數(shù)據(jù)流中的順序號(hào)，而確認(rèn)序號(hào)字段（ackseq）指出了發(fā)送本報(bào)文的主機(jī)希望接收的對(duì)方主機(jī)中下一個(gè)八位組的順序號(hào)。因此，對(duì)于一臺(tái)主機(jī)來說，其收發(fā)的兩個(gè)相臨TCP報(bào)文之間的序號(hào)和確認(rèn)序號(hào)的關(guān)系為：它所要發(fā)出的報(bào)文中的seq值應(yīng)等于它所剛收到的報(bào)文中的ackseq的值，而它所要發(fā)送報(bào)文中ackseq的值應(yīng)為它所收到報(bào)文中seq的值加上該報(bào)文中所發(fā)送的TCP凈荷的長(zhǎng)度?！緦?shí)驗(yàn)內(nèi)容】 2號(hào)機(jī) Telnet到3號(hào)機(jī)，實(shí)驗(yàn)在1號(hào)機(jī)上劫持2號(hào)機(jī)到3號(hào)機(jī)上的Telnet報(bào)文。3.總結(jié)通過這一次內(nèi)