20199106 2019-2020-2 "práctica ataque a la red y la defensa", la quinta semana de trabajo

Others 2020-04-01 23:01:50 views: null

20199106 2019-2020-2 "práctica ataque a la red y la defensa", la quinta semana de trabajo

Descripción del empleo

Esta obra pertenece cursos ataque a la red y la práctica de defensa
Cuando este requisito en el trabajo trabajo quinta semana: sniffer de red y analizador de protocolos
Mi objetivo para el curso Hay una comprensión más completa de ataque a la red y la tecnología de defensa para dominar las operaciones ofensivas y defensivas básicas.
En aspectos particulares de la tarea que me ayudó a alcanzar las metas Ejercicios prácticos los ataques de un protocolo de red TCP / IP Principios y Práctica

Texto del trabajo

practicar lo

El quinto capítulo se describen los diversos ataques de protocolo de red TCP / IP.

Descripción general :

  • Cinco atributos de seguridad de la seguridad de la red: la confidencialidad, integridad, disponibilidad, autenticidad y no repudio.
    • Red atacar cuatro modos básicos: la interceptación, interrupción, alteración, falsificación.
    • TCP / IP fallos de seguridad de red protocolo de pila:
      • Capa de interfaz de red: un protocolo de Ethernet, cuando la interfaz de red en modo promiscuo puede ser interceptada y olfatear paquetes directamente, mientras que la falta de mecanismos de autenticación de la dirección MAC fuente, spoofing logra dirección MAC.
      • capa de Internet: el protocolo IP sólo en la dirección de destino de reenvío, no comprobar si la dirección IP de origen sea real y efectiva, vulnerables a la suplantación de IP. También incluye una fuente de enrutamiento abuso, el ataque de fragmentación IP spoofing y redirección ARP, ICMP, los ataques Smurf.
      • Capa de transporte: Después de que el proceso de conexión para establecer una sesión TCP, es muy vulnerable a la falsificación y ataques de suplantación, un atacante puede realizar directa TCP RST ataque sesión interrumpida. TCP simultánea de tres vías proceso de enlace defecto de diseño, un atacante puede realizar un ataque de inundación SYN.
      • Capa de aplicación: Algunos protocolos populares a nivel de aplicación HTTP, FTP, POP3 / SMTP, DNS, etc. falta de diseño de seguridad.

ataques y contramedidas capa de red

  • dirección de origen IP spoofing
    • Principio: Usar sólo en la dirección de destino de la ruta de reenvío de paquetes sin la dirección de origen para verificar la autenticidad.
    • proceso de ataque:
    • herramientas de ataque: netwox, Wireshark, nmap
    • Precauciones: El uso de la primera secuencia de pruebas al azar, utilizando el protocolo de transferencia de seguridad de la capa de red, basado en la confianza política de evitar el uso de direcciones IP, routers y gateways en la aplicación de filtrado de paquetes.
  • ataque ARP Spoofing
    • Principio: protocolo ARP cree que todos los usuarios de la LAN interna se confía en el diseño, lo que hace que sea muy fácil de inyectar en la caché ARP de la dirección IP falsa a la correspondencia entre las direcciones MAC.
    • proceso de ataque:
    • herramientas de ataque: DSniff en arpspoof, arpison, Ettercap, Netwox.
    • Precauciones: unión de la dirección IP y la dirección MAC de la relación clave de host de mapeo, utilizando las correspondientes herramientas de prevención de ARP, la topología de red utilizando segmentos de subred virtuales, transmisión cifrada estática.
  • Redirección ICMP Router atacar
    • Principio: el uso de ICMP paquete de redireccionamiento de enrutamiento cambio de enrutamiento de host Tabla, enviar una redirección al host de destino, disfrazado como un router, para que los paquetes de datos de destino máquina para aviones de ataque para reforzar la vigilancia.
    • proceso de ataque:
    • Herramientas: netwox
    • Precauciones: Algunos tipos de paquetes ICMP filtrado basado en, el establecimiento de filtrado de cortafuegos, los mensajes ICMP de redireccionamiento de la resolución no desde el router local
  • ataques de protocolo de capa de transporte y medidas preventivas
    • ataque TCP RST
      • Principio: cabecera del protocolo TCP tiene un RESET, el indicador es 1, el anfitrión recibe el paquete de datos que está a punto de desconectar la conexión de sesión TCP. paquete de restablecimiento de TCP se cierra directamente una conexión de sesión TCP.
      • proceso de ataque:
      • Herramientas: netwox
    • ataques de secuestro de sesión TCP
      • Principio: Secuestro de sesión TCP secuestro de partes que se comunican ya establecidos conexión de sesión TCP, la identidad falsa de una de las partes para su posterior comunicación con la otra parte. El núcleo de las cuales es la validación del comunicante de la sesión TCP.
      • proceso de ataque:
      • Precauciones: fuente Disable encaminamiento en el host, la IP estática y tabla de asignación de IP-MAC para evitar ARP spoofing, cita y filtros de mensajes ICMP de redireccionamiento
    • TCP SYN Flood denegación de servicio
      • Principio: TCP defectos de enlace de tres vías basados ​​en el host de destino para enviar un gran número de direcciones de origen forjado de la solicitud de conexión SYN, los consume recursos de cola de conexión del host de destino, que no pueden servir adecuadamente.
      • proceso de ataque:
      • Precauciones: la tecnología SYN-Cookie (no asignar recursos antes de que la información de conexión no acaba de llegar); monitoreo del estado de la tecnología de dirección de servidor de seguridad (la conexión TCP con el estado del servidor de destino se divide en NUEVO, bueno, malo).
    • Inundación UDP denegación de servicio
      • Principio: el envío de un gran número de paquetes UDP al host de destino y la red, resultando en significativa computacional polipasto carga del host de destino, o por congestión de la red, de modo que el host de destino y de la red en un estado inutilizable, ataques de denegación de servicio.
      • Precauciones: Desactivar o servicios de supervisión y respuesta del filtro, deshabilitar, u otros servicios de filtrado UDP.

experimento

tarea experimental

ataque a la red y la defensa en el entorno experimental (a SEED_VM como avión de ataque, Linux Metasploitable / Windows Metasploitable como blancos teledirigidos) para TCP / IP completo de pila de protocolo puntos de ataque experimental del acuerdo, incluyendo la caché ARP spoofing ataques, ICMP ataques de redirección, ataques SYN Flood, ataques TCP RST y ataques de secuestro de sesión TCP (bono).

ambiente experimental

ambiente experimental direcciones IP marca de dirección
Un avión no tripulado: WinXP 192.168.200.3 00: 0C: 29: 03: 4F: 2D
Drone B: Linux Metasploitable 192.168.200.125 00: 0C: 29: 0C: 64: 32
Ataque avión C: kali 192.168.200.2 00: 0C: 29: 7e: 33: d5

1, caché ARP ataque de suplantación

En primer lugar, introduzca el comando en el kali apt-get install netwoxinstalación netwox.
El comando de entrada dispositivo de ataque netwox, seleccione 5-> "33" ->netwox 33 -b 00:0C:29:03:4F:2D -g 192.168.200.125 -h 00:0C:29:03:4F:2D -i 192.168.200.2

Nota:
33 puede construirse de cualquier dato herramienta de paquetes Ethernet ARP, la herramienta 80 puede enviar periódicamente paquete de respuesta ARP, las dos herramientas pueden ser arp ataque;
netwox 33 -b (A的mac地址) -g (B的ip地址) -h (A的mac地址) -i (A的ip地址)en el que, protocolo de red -b módulo de visualización asociado; módulo de visualización -g asociado con un cliente; módulo de visualización -H asociado con el servidor; módulo de visualización -i relacionados con el huésped de comunicación detectado;

resultados de la ejecución de comandos son los siguientes:

Un avión no tripulado en la entrada arp -aver el host de destino A arp caché almacenada en el IP (B) / MAC (C ) tal mapeo a fin de lograr el propósito de engañar.

B de la misma manera para engañar; wirshark abierta en kali, podemos ver la comunicación entre A y B ha sido capturado en el host C, se ha logrado con éxito puede verse ARP spoofing.

2, ICMP rutas de ataque de redirección

tecnología de falsificación de direcciones IP fuente general y la combina con la práctica, los aviones de ataque usando las herramientas Netwox No. 86, la ejecución de comandos de ataque netwox 86 -f "host 192.168.200.3" -g 192.168.200.2 -i 192.168.200.1 , la identidad forjada -f dirección representantes avión no tripulado, representantes dirección del siguiente salto -g aviones no tripulados, que representa -i.

Deje que el acceso a cualquier página avión no tripulado, comparativo anfitrión víctima tabla de enrutamiento antes y después del ataque de redirección ICMP, aviones de ataque encontró la dirección IP cambia como se muestra a continuación:

aviones de ataque visible posando con éxito como la dirección IP de la pasarela.

3, ataques TCP RST

• Antes del ataque, el primer registro en el host de un host B: telnet 192.168.200.125; C para su uso en Netwoxla 78号función "Restablecer todos los paquetes TCP" para lograr TCP RST ataque netwox 78 -i 192.168.200.125, ver el host A, libre para introducir un comando, a continuación, Intro, se encontró que A y B desconectados:

Vista abierta C situación captura de Wireshark posando encontrar información B C RST se transmite a la A, desconecte el A, B están conectados:

4, ataque SYN Flood

En primer lugar, en la A telnetaterrizaje B, se establece la conexión,
la selección de la herramienta número 76 "synflood" en C, e introducir la dirección de destino: 192.168.200.125;

Open C, Wireshark, unidad C envía una visible objetivo de ataque drone B ip de un gran número de solicitud de conexión falsa SYN.

Una vista de sólo la página de inicio de sesión, no encontró ninguna conexión y desconexión, probablemente porque el avión no tripulado B objetivo más potente?

5, sesión TCP ataques de secuestro

En primer lugar, el uso de telnetaterrizaje B en A; Wireshark abierta, el filtro de entrada en C telnet, A, y a continuación, introduzca pwdun comando. Ver en Wireshark C, la segunda ventana, telnetmenor será ver p, w, dpaquetes.

Seleccione el último paquete, vista abierta de los siguientes valores del Protocolo de TransmissionControl, puerto de origen, puerto de destino, Siguiente seq_num y valores ACK.

Después de obtener la información, el ataque máquina herramienta netwox C usando un tcp Un paquete forjado enviado a B. Después de enviado con éxito, la A original se pierde la conexión mientras que B se Kali como visitante, por lo que para lograr un secuestro de sesión.
Las instrucciones son como sigue:
netwox 40 --ip4-dontfrag --ip4-offsetfrag 0 --ip4-ttl 64 --ip4-protocol 6 --ip4-src 192.168.200.3 --ip4-dst 192.168.200.125 --tcp-src 1069 --tcp-dst 23 --tcp-seqnum 1387 --tcp-acknum 104 --tcp-ack --tcp-psh --tcp-window 64 --tcp-data "6D6B646972206161"
entrada de la src-después de la dirección A, IP4, introduzca su dirección de B después de ip4-dst, tcp-src denotar el número de puerto (esta es una variación) y tcp-SEQNUM de entrada marcado tcp-acknum arriba y valor, TCP-C de datos se envía a los datos de valor hexadecimal, aquí están mkdir aahexadecimal. El mismo se puede observar en el valor de Wireshark transmitida.

aviones de ataque visible que representa un C ip Un éxito transmite un paquete a B.

Aprender problemas encontrados y las soluciones

Un problema: la máquina de inicio virtual siempre hay memoria suficiente.

Solución: intente un par de veces muy bien, también trató de cambiar la memoria de la máquina virtual un poco, el efecto no es evidente.

Pregunta dos: Instalar netwox éxito.

Resuelve: aviones de ataque kali no conectado en red.

Sentimientos y experiencias de aprendizaje

Además del inicio del experimento y la máquina de la red virtual está activada hay algunas dudas, volver a hacer bastante bien, gracias a los estudiantes por su ayuda.

material de referencia

"Ataque y defensa tecnología de red y la práctica" Jianwei Zhuge

"¿Cómo WinXP vista de la dirección MAC"

"Arp Enciclopedia de Baidu"

Supongo que te gusta

Origin www.cnblogs.com/wyrr/p/12616557.html
Recomendado
Clasificación
Diario
Más
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)
2024-05-03(8)

Code World

© 2018 codetd.com