20252812 2025-2026-2 《网络攻防实践》实践四报告

20252812 2025-2026-2 《网络攻防实践》实践四报告

1.实践内容

TCP/IP协议栈在设计上的安全缺陷和脆弱性，使协议栈各网络层次上均存在各种网络攻击方法，这对互联网及内部网络的安全性造成了威胁。短期内，基础TCP/IP网络协议不可能被重新设计与部署实施，无法根本改变网络面临严重安全威胁的状况。但是我们仍可以采取措施避免网络嗅探和攻击：

• 在网络接口层，要检测局域网中的监听点，尽可能消除数据广播的情况，要对关键路径上的网关、路由器等进行严格安全防护，进而减少网络嗅探的危害。
• 在网络层，要增强防火墙、路由器和网关设备的安全策略。对关键服务器要静态绑定IP-MAC映射表
• 在传输层，要实现基于面向连接和无连接服务的加密传输和安全控制机制，如身份认证、基于角色的访问控制。
• 在应用层，采用用户级身份认证技术、数字签名技术、主机安全技术等防止非法入侵、身份冒用等。

（1）ARP缓存欺骗攻击

攻击者通过伪造ARP响应报文，向目标主机的ARP缓存表注入虚假数据，实现IP地址与MAC地址的错误对应。ARP协议存在无验证机制的设计缺陷，使得攻击者可向局域网内目标主机注入虚假的IP-MAC地址映射关系，进而实现中间人攻击，以及伪造、篡改、监听、拦截传输数据。

（2）ICMP路由重定向攻击

攻击者主机伪装成网关，向目标主机发送不符合实际的的ICMP重定向报文，结合IP地址欺骗技术，诱导靶机以为网络拓扑变化，从而修改自身路由选择，将所有网络流量发至攻击者所指定的恶意路由。在该攻击基础上，攻击者可实现破坏正常网络通信的DoS攻击，以及中间人攻击。

（3）SYN Flood攻击

SYN Flood攻击是一种典型的DoS攻击。攻击者向目标服务器发送大量源IP地址不存在的TCP SYN连接请求，导致服务器的半开连接队列被快速填满，进而无法正常响应正常用户的连接请求，导致服务器瘫痪。虽然一般的主机对于半开连接都有超时机制和默认重传次数，但由于半开连接队列的长度总是有限的，不计其数的SYN报文最终还是会导致半开连接队列被充满。

（4）TCP RST攻击

TCP RST攻击的核心原理是伪造TCP RST报文（设置RST=1），强制中断目标主机已建立的TCP连接。攻击者实施该攻击时，需准确猜测目标TCP连接的序列号，进而伪装成通信双方中的一方发送RST报文，使目标主机误以为通信出现异常，主动终止TCP会话，导致正常通信过程中断。

（5）TCP会话劫持攻击

在TCP会话劫持攻击中，攻击者监听或主动介入目标主机已建立的TCP会话，获取会话关键信息（如序列号、确认号）后，冒充合法用户参与通信。根据攻击手段，TCP会话劫持攻击分为中间人攻击和注入式攻击──以秘密监控通信过程、窃取通信数据为主的是中间人攻击；注入式攻击可直接接管会话，向靶机执行暴力破解口令、提权等操作。

2.实践过程

（1）ARP缓存欺骗攻击

进行此攻击实践要用到netwox，所以我先在Kali上安装了netwox。

在此实验任务中，我的攻击机是Kali，靶机是Windows XP和Metasploitable_ubuntu。实验正式开始前，我查看各主机的IP、MAC地址。Kali的IP地址和MAC地址分别是192.168.173.68、00:0C:29:4B:AF:A2。

Windows XP的IP地址和MAC地址分别是192.168.173.61、00:0C:29:A0:8C:5F。

Metasploitable_ubuntu的IP地址和MAC地址分别是192.168.173.114、00:0C:29:73:84:A3。

让Metasploitable_ubuntu去ping Windows XP，发现能ping通。

在Metasploitable_ubuntu上执行arp -a，由于刚进行了ping操作，所以缓存中有Windows XP的正确的IP地址与MAC地址的对应关系。

在Kali上执行netwox 80 -e 00:0c:29:4b:af:a2 1 -i 192.168.173.61。其中，00:0c:29:4b:af:a2为Kali的MAC地址，192.168.173.61为Windows XP的IP地址。-e后面跟的是伪造的ARP响应报文中的MAC地址，-i后跟的是要被假冒的IP地址。这条命令的作用是当Kali虚拟机收到任何关于192.168.173.61的ARP询问报文时，都会发送虚假ARP响应报文，声称此IP地址对应的MAC地址为00:0c:29:4b:af:a2。输入命令后回车，光标会在下面闪动，表示正在执行ARP欺骗。

随后在Metasploitable_ubuntu上执行ping 192.168.173.61，得不到ICMP回送回答报文了。

此时再在Metasploitable_ubuntu输入arp -a，发现关于192.168.173.61的缓存被非法篡改为Kali的MAC地址了。这说明刚才执行ping 192.168.173.61时，ICMP报文被发到Kali去了，Kali不回复，因此这次ping操作没有收到任何回答。

在Kali上的Wireshark抓包说明了欺骗的原理。Kali替Windows XP虚拟机发送了ARP响应报文，实现了欺骗。

（2）ICMP重定向攻击

3.学习中遇到的问题及解决

• 问题1：
• 问题1解决方案：
• 问题2：
• 问题2解决方案：

4.实践总结

5.参考资料

• [1] 诸葛建伟.网络攻防技术与实践.北京:电子工业出版社,2011.
• 20252801 2025-2026-2 《网络攻防实践》第四周作业