Cyber security

Using TCP/IP

任务1：SYN泛滥攻击
SYN flood是一种DoS攻击的形式，攻击者向受害者的TCP端口发送许多SYN请求，但 
攻击者并不打算完成三方握手程序。攻击者要么使用欺骗的IP 
地址或不继续该程序。通过这种攻击，攻击者可以淹没受害者的队列，该队列用于半开放的连接。
攻击者可以淹没受害者的队列，该队列用于半开放的连接，即已经完成SYN、SYN-ACK的连接，但还没有 
得到一个最终的ACK。当这个队列满了，受害者就不能再接受任何连接。下图 
说明了这种攻击。
队列的大小有一个全系统的设置。在Linux中，你可以用以下命令检查系统队列大小的设置 
使用以下命令。
➢ sysctl -q net.ipv4.tcp_max_syn_backlog
您可以使用命令 netstat -na 来检查队列的使用情况，即与监听端口相关的半开连接数 
即与监听端口相关的半开连接数。
使用Netwag工具76来进行攻击，然后使用tshark工具来捕获数据包。
48730-32548, 网络安全实验室5 (第6周)
了解基于TCP/IP的攻击
实验室由Ashish Nanda设计，基于雪城大学的Wenliang Du提供的 "SEED实验室 "文件。
任务2：ARP缓存中毒 
ARP缓存是ARP协议的一个重要部分。一旦一个MAC地址和一个IP地址之间的映射 
IP地址之间的映射被解决，作为执行ARP协议的结果，该映射将被缓存起来。因此。
如果映射已经在缓存中，就没有必要再重复ARP协议。然而，由于 
ARP协议是无状态的，缓存很容易被恶意制作的ARP消息所毒害。这样一种 
攻击被称为ARP缓存中毒攻击。
攻击者可以使用欺骗性的ARP消息来欺骗受害者接受一个无效的MAC到IP的映射，并将该映射存储在其缓存中。
在其缓存中存储该映射。根据攻击者的动机，可能会产生各种类型的后果。
攻击者的动机而产生各种后果。例如，攻击者可以通过将一个不存在的MAC地址与受害者的IP地址联系起来，对受害者发动DoS攻击。
MAC地址与受害者的默认网关的IP地址相关联，对受害者发起DoS攻击；攻击者还可以将往来于受害者的流量重定向到另一台机器上。
攻击者还可以将受害者的流量重定向到另一台机器上，等等。
使用Netwag Tool 80来进行攻击，然后使用wireshark工具来捕获数据包。
提示。在这个任务中，你需要证明ARP缓存中毒攻击是如何工作的。在Linux中，我们可以 
使用命令arp -a来检查IP地址和MAC地址之间的当前映射。
任务3：ICMP重定向攻击 
ICMP重定向消息被路由器用来向主机提供最新的路由信息。
这些主机最初拥有最少的路由信息。当主机收到一个ICMP重定向消息时，它将会 
根据该消息修改其路由表。
由于缺乏验证，如果攻击者想让受害者以一种特定的方式设置其路由信息 
他们可以向受害者发送欺骗性的ICMP重定向消息，并欺骗受害者修改其路由表。
表。
使用Netwag工具86来进行攻击，然后使用wireshark工具来捕获数据包。
提示。在这个任务中，你应该演示ICMP重定向攻击是如何工作的，并描述 
观察到的后果。要检查Linux中的路由信息，你可以使用route命令。
任务4：对telnet连接的TCP RST攻击
TCP RST攻击可以终止两个受害者之间建立的TCP连接。例如，如果 
两个用户A和B之间有一个已建立的telnet连接（TCP），攻击者可以欺骗一个RST 
数据包，破坏这个现有的连接。为了成功地进行这一攻击，攻击者需要正确地 
构建TCP RST数据包。
在这个任务中，你需要发起一个TCP RST攻击，破坏A和B之间现有的telnet连接。
之后，在一个SSH连接上尝试同样的攻击。请记录你的观察结果。
使用Netwag工具78来进行攻击，然后使用wireshark工具来捕获数据包。
任务5：ICMP盲目连接重置和源泉清除攻击

(i) ICMP盲目恢复连接
ICMP消息也可以用来实现连接重置攻击。要做到这一点，攻击者发送一个 
ICMP错误消息，表示一个 "硬错误 "到TCP连接的两个端点中的任何一个。该 
连接可以立即被破坏，因为RFC 1122规定，当主机收到这样的ICMP错误时，应该中止相应的 
当收到这样的ICMP错误消息时，该连接可以立即被切断。RFC 1122将 "硬错误 "定义为ICMP错误 
类型为3（目的地不可达）、代码为2（协议不可达）、3（端口不可达）的ICMP错误消息。
或4（需要分片和DF位设置）。
使用Netwag Tool 82来进行攻击，然后使用wireshark工具来捕获数据包。
(ii) 源淬灭攻击
ICMP源解析消息被拥堵的路由器用来告诉TCP发送者放慢速度。
攻击者可以伪造这种消息，对TCP发送者进行拒绝服务攻击。
在这个任务中，你需要发起ICMP盲目连接复位攻击和ICMP源拒绝攻击。
你需要注意的是，一些系统可能会合理地忽略这种类型的ICMP错误，在某些TCP 
状态。
使用Netwag工具85来进行攻击，然后使用wireshark工具来捕获数据包。
48730-32548, 网络安全实验室6 (第7周)
了解基于TCP/IP的攻击 继续
实验室由Ashish Nanda设计，基于雪城大学Wenliang Du提供的 "SEED实验室 "文件。
任务6：TCP会话劫持
TCP会话劫持攻击的目的是劫持两个受害者之间现有的TCP连接（会话）。
两个受害者之间的现有TCP连接（会话），向该会话注入恶意内容。如果这个连接是一个电话网络会话，攻击者 
可以向该会话注入恶意命令，导致受害者执行恶意命令。
你可以在这个任务中使用telnet。你也可以假设攻击者和受害者是在同一个 
局域网。下图说明了这种攻击。
注意：如果你使用Wireshark来观察网络流量，你应该注意，当Wireshark 
显示TCP序列号时，默认情况下，它显示的是相对序列号，这相当于 
实际序列号减去初始序列号。如果你想看到数据包中的实际序列号 
如果你想看到数据包中的实际序列号，你需要右击Wireshark输出的TCP部分，并选择 "协议 
偏好"。在d出的窗口中，取消选中 "相对序列号和窗口缩放 "选项。
使用Netwag工具36来进行攻击，然后使用wireshark工具来捕获数据包

通过www.DeepL.com/Translator（免费版）翻译