JZTXT

实训第三天

发布时间 2023-04-21 20:51:45作者: An0ma1

实训第二天 网络层——传输层

网络层

基础知识(补充)

IP分片 实际过程中,要减少IP分片 传输层1460+网络层20+数据链路层20 总共 1500字节

IP头部字段:每32bit一行,第一行:版本 1100 / 1000 首部长度4bit,服务类型4bit,总长度16bit
第二行:标识 16bit 标志 3bit 片偏移 13bit
第三行:生成时间(TTL) 8bit 协议 8bit 首部检验和 16bit
源IP地址: 32bit
目标iP地址 : 32bit
1682073944376

ip配套协议: ARP(还有代理ARP和RARP协议) 和 ICMP(ping 主机存活探测)

arp报文:解析ip和mac地址的对应关系,映射关系会在一定时间后映射超时删除,然后重新询问。不询问,直接接收到响应也会更新自己的MAC地址表。
arp -a

icmp报文: 0-7 Type 7-15 Code 15-31 Checksum
icmp和arp都是请求和回应

网络层安全

smurf攻击:攻击者向受害者的局域网内持续大量的发送ICMP报文,目标地址为广播域。局域网下的所有主机都会相互回应,流量放大。造成DOS攻击

防御:禁止路由器,交换机转发来自外部网络的广播流量。等等

ICMP重定向:攻击者向目标发送伪造的ICMP重定向报文,目标接收到之后会更新自己的路由表,指向新的路由器(攻击者自身),然后实行信息窃取

IP Header: 
Source IP: 192.168.1.5   # 攻击者IP
Destination IP: 192.168.1.1 # 受害主机IP

ICMP Header:
Type: 5 (Redirect Message)
Code: 1 (Redirect for network) 
Checksum: 0x1234  
Gateway IP Address: 192.168.1.5 # 攻击者指定的新"默认路由器"

Original IP Header:
Source IP: 192.168.1.1  # 受害主机IP 
Destination IP: 10.0.0.1

ICMP不可达攻击:攻击者伪造ICMP报文,声称某一主机或网络现在已经不可达。接收者会将此主机或网络在其路由表中标记为不可达,进而停止访问。

IP Header:
Source IP: 192.168.1.5   # 攻击者IP
Destination IP: 192.168.1.1 # 路由器IP

ICMP Header: 
Type: 3 (Destination Unreachable Message)
Code: 0 (Net Unreachable)
Checksum: 0x1234

Original IP Header:
Source IP: 10.0.0.1
Destination IP: 192.168.2.1

IP欺骗攻击

ARP攻击实验

环境搭建

win7 NAT模式 192.168.80.137

kali NAT模式 192.168.80.136

网关 192.168.80.2

设置kali开启路由转发
echo 1 > /proc/sys/net/ipv4/ip_forward

实验过程

nmap探测局域网存活主机

arpspoof -i eth0 -t 192.168.80.136 192.168.80.2 -r

1682051780798

查看win7 arp -a

1682051806814

可以看到,网关的物理地址已经和kali物理地址一样了。

但是试了好多次,图像都出不来........

1682052864539

防御

使用静态ARP表,将网关地址与ip地址绑定。
使用ARP防火墙

传输层

学校的计算机网络课程正好讲玩 传输层 所以传输层和应用层的知识点 都很熟,笔记可能会粗略

基础知识

端口: 通过tcp/udp发送syn或其它的报文到主机的某个端口,看其是否响应来判断端口是否打开

tcp报文格式

1682079750156

udp报文格式更简单

1682079771464

tcp的 三次握手和四次挥手
三次握手 syn=1 syn=1 ack=1 ack=1
四次挥手 C:fin=1 ack=1 S:ack=1 S: fin=1 ack=1 C:ack=1
fin 和 cin 都是控制位里面的标识符

分段和重组

传输层安全

TCP拒绝服务 SYN洪水攻击

UDP拒绝服务

SYN半开连接攻击:攻击者伪造虚假的源ip向目标发送syn包,建立连接,由于是虚假的ip地址,第二次握手的包到达不了,会等待超时然后删除
防御:缩短SYN等待队列超时时间与清空周期,加快释放半开连接的速度,降低占用资源的数量。

DOS攻击,DDOS攻击,CC攻击,都是那么一回事

SYN洪水攻击

环境

kali 192.168.100.128
win7 192.168.100.129

攻击过程

kali运行

hping3 -q -n -a 192.168.100.128 -S -s 80 --keep -p 445 --flood 192.168.100.129

1682066514137