基于netwox/netwag 工具的网络协议攻防实验

实验目的:

理解基于网络协议的攻击原理, 掌握一些基于网络协议攻击的方法, 掌握 netwox/netwag 的使用方法。 实验环境: netwox/netwag 工具, wireshark 工具, Telnet 服务器, Telnet 客户端

实验准备:

1. 安装 netwox/netwag 工具:先安装 ActiveTcl,再解压安装

2. 安装配置 Telnet 服务器, Telnet 客户端

实验内容:

  1. 使用 netwox/netwag 工具伪造 TCP 包并进行抓包分析

2. 使用 netwox/netwag 工具对 Telnet 服务器进行 SYN flood 攻击,并进行抓包分析

3. 使用 netwox/netwag 工具对 Telnet 服务器进行 TCP RST 攻击,并进行抓包分析。

实验步骤记录:

实验准备:安装 Activetcl 和Netwox/Netwag工具

实验正式进行:

  1. 使用 netwox/netwag 工具的方法38伪造 TCP 包并进行抓包分析

2.使用 netwox/netwag 工具对 Telnet 服务器进行 SYN flood 攻击,并进行抓包分析

(1)在本地机器上配置激活 Telnet 服务器与 Telnet 客户端,以自己的学号创建新的用户;

1.1) 打开 Telnet 功能:控制面板-程序-程序和功能-打开或关闭 Windows 功能,勾选 Telnet 服务器, Telnet 客户端。

1.2)启动本地 Telnet 服务器,搜索-服务,点击服务,选择 Telnet,更改启动类型为 手动

1.3)增加 Win7 用户1515300024并将其加入 到Telnet 群组

1.4)手动启动 Telnet 服务器:net start Telnet

(2)启动本地 Wireshark;

(3)在第二台机器上登录有自己学号帐户的 Telnet 服务器,截屏及捕获登录踪迹;

从客户端命令行上输入 telnet IP 地址,之后输入帐号/口令字,登入 Telnet 服务器。同时在客户端开启Wireshark抓包工具,抓取客户端 192.168.1.130 登录到Telnet 服务器192.168.1.131 的数据包

下图为客户端登陆并执行一次dir命令的截图:

下图为客户端Wireshark抓取的Telnet流量包截图截图:

使用Wireshark的流追踪功能还原出本次明文传输的Telnet通信过程,可以看出这些信息和客户端上的过程基本一致

(4)退出登录,从第三台机器上利用 netwox/netwag 工具对Telnet服务器进行 SYN flood 攻击。捕获 DDOS 攻击踪迹。尝试再次登录 Telnet 服务器,解释现象。

构造SYN flood攻击包如下:

启动攻击:

抓取的DDOS 攻击踪迹如下,可以发现这些攻击包高度相似,目的地址都是Telnet服务器的IP:192.168.1.131,类型都是SYN请求包,但是源地址没有任何规律

此时在第二台机器上再次连接Telnet服务器,会出现以下无法连接的情况,因为在服务器的 23 端口积累了大量的SYN请求包需要服务器来处理,服务器向SYN包的源地址发送SYN/ACK 包并等待源地址的ACK包回复,但是由于源地址是伪造的,无法回复 ACK 包,服务器因此陷入等待状态,从而导致无法接收正常主机发起的 TCP 连接,造成拒绝服务现象。

3.使用 netwox/netwag 工具对 Telnet 服务器进行 TCP RST 攻击,并进行抓包分析。

(1) 以你的学号创建一个 Telnet 账户,以这个账户为基础进行后继的实验。

这一步只需使用之前配置好的账户即可

(2) 验证 TCP RESET 理论上的可行性

A 先在二主机之间建立一个 TCP 连接,通过抓包程序获得当前二主机的 ip 地址,端口号,序列号。 B 通过获得的信息伪造 TCP RESET 报文并发送。

C 观察原有 TCP 连接是否断开。

建立TCP 连接:Telnet 192.168.1.131

抓包获得当前二主机的 ip 地址,端口号,序列号如下:

源ip地址: 192.168.1.137, 目的ip地址: 192.168.1.131

源端口: 1056,  目的端口: 23,

序列号(Seq): 563773297, 确认号(Ack): 2245100282

伪造的数据包发送完成后,Telnet客户端立即断开了连接,同时wireshark上也抓到了对应的伪造的RST数据包,结果截图如下:

实验至此可以证明 TCP RESET 是可行的

(3) 验证窗口对 TCP RESET 攻击的影响

A 先在二主机之间建立一个 TCP 连接,通过抓包程序获得当前二主机的 ip 地址,端口号,序列号,另外就是记录下窗口的大小。

B 通过获得的信息伪造 TCP RESET,填写伪造的序列号时,使伪造序号大于准确的序列号但是与准确序列号的差小于窗口大小,发送 TCP RESET 报文。

C 观察原有 TCP 连接是否断开。 改动伪造的序列号,使其刚与准确的序列号之差刚好为窗口大小,重复以上实验。

3.1)伪造序号大于准确的序列号但是与准确序列号的差小于窗口大小

建立TCP 连接:Telnet 192.168.1.131

构造欺骗客户端的RST包:

抓取客户端发往服务器的TCP包获得当前二主机的 ip 地址,端口号,序列号,窗口大小如下:

源ip地址: 192.168.1.137, 目的ip地址: 192.168.1.131

源端口: 1146,  目的端口: 23,

序列号(Seq): 2649478470, 确认号(Ack): 3142715117,窗口的大小(win):62847

伪造欺骗客户端的TCP RESET 报文并发送:

使用确认号(Ack): 3142715117+10=3142715127作为伪造数据包的序列号(Seq),构造如下RST数据包:

连接没有断开,而且可以看到,在RST包发出去以后,客户端立刻发了一个重传包给服务器,该重传包的数据和105号包是一致的,现在客户端仍然可以正常发送数据.

实验没有达到预期效果顺利断开,接着我尝试减少确认号(Ack)增加的值,结果发现+10,+5,+2,+1都不能断开连接,由此推测这样简单地构造RST包是不可行的,或许需要辅以其他手段。

3.2)改动伪造的序列号,使其刚与准确的序列号之差刚好为窗口大小

RST包发送后,客户端重传958号数据包,连接没有断开

结果和3.1一样,无法中断telnet连接。

原文地址:https://www.cnblogs.com/chuanzi/p/10525343.html

时间: 2024-11-10 20:53:05

基于netwox/netwag 工具的网络协议攻防实验的相关文章

五个好用的网络协议分析工具(附下载)

Network Packet Analyzer,是一种网络分析程序,可以帮助网络管理员捕获.交互式浏览网络中传输的数据包和分析数据包信息等.这里给出了5个最好的网络数据包分析工具,具体如下: 1. Wireshark 相信大家都很熟悉,就不多介绍了.Wireshark网络嗅探器是最受欢迎的免费网络嗅探器之一,它能够在Unix系统和Win系统下运行. 下载:http://www.wireshark.org/download.html 2. Microsoft Network Monitor Mic

网络协议图形化分析工具EtherApe

网络协议图形化分析工具EtherApe 在对网络数据分析的时候,渗透测试人员往往只关心数据流向以及协议类型,而不关心具体数据包的内容.因为这样可以快速找到网络的关键节点或者重要的协议类型. Kali Linux提供的EtherApe可以满足这个需求.该工具需要用户使用命令apt-get install etherape手动安装.它支持导入数据包和实时抓包两种方式,来获取网络数据.根据获取的数据,它可以实时显示数据流向,并通过颜色标识对应的协议类型. 本期作业: (1)使用以下命令安装软件Ethe

(转) HTTP & HTTPS网络协议重点总结(基于SSL/TLS的握手、TCP/IP协议基础、加密学)

HTTP & HTTPS网络协议重点总结(基于SSL/TLS的握手.TCP/IP协议基础.加密学) 原文:http://blog.csdn.net/itermeng/article/details/78517364 原文地址:https://www.cnblogs.com/liujiacai/p/8325931.html

基于位图索引的无线传感器网络可靠传输协议_爱学术

[摘要]根据无线传感器网络中大量上行数据流实时传输的需求,提出一种基于位图索引的可靠传输协议(BRDT).该协议使用迭代方式完成一组大量数据的传输.每次迭代的上行数据流采用无重传传输以减少延迟,并采用可靠后项传输传送带有错误标识的位图索引以恢复丢失数据.在已有低功耗无线图像传感器网络Z-EYE系统中实现并进行验证,结果表明,与RMST协议相比,BRDT对下层的服务需求少,在网络质量较差的情况下,BRDT的性能明显优于NACK重传方法,在同等测试条件下,BRDT的传输效率优于PSFQ协议. [作者

Wireshark(二):应用Wireshark观察基本网络协议

原文出处: EMC中文支持论坛 TCP: TCP/IP通过三次握手建立一个连接.这一过程中的三种报文是:SYN,SYN/ACK,ACK. 第一步是找到PC发送到网络服务器的第一个SYN报文,这标识了TCP三次握手的开始. 如果你找不到第一个SYN报文,选择Edit -> Find Packet菜单选项.选择Display Filter,输入过滤条件:tcp.flags,这时会看到一个flag列表用于选择.选择合适的flag,tcp.flags.syn并且加上==1.点击Find,之后trace中

基于 HTTP/2 的全新 APNs 协议

https://developer.apple.com/library/content/documentation/NetworkingInternet/Conceptual/RemoteNotificationsPG/CommunicatingwithAPNs.html#//apple_ref/doc/uid/TP40008194-CH11-SW1 前言: APNs 协议在近两年的 WWDC 上改过两次,2015年12月17日更是推出了革命性的新特性.但在国内传播的博客.面试题里关于APNs的

如何成为一名黑客(网络安全从业者)——网络攻击技术篇(3/8 网络协议欺骗)

2016-09-16 Mr.Quark Quark网络安全 这篇是今天的.上一节中我们学习了网络嗅探的相关知识.在这一节我们将一起学习4种网络欺骗的方式:IP地址欺骗.ARP欺骗.TCP欺骗.DNS欺骗. 1.IP地址欺骗 IP地址欺骗是指攻击者伪装假冒第三方的IP地址给目标主机发送包含伪造IP地址的数据包.导致IP地址欺骗的原因是由于TCP/IP协议中的IP协议缺乏对发送方的认证手段,所以攻击者可以轻易构造虚假的IP地址实施网络欺骗行为. 由于攻击者发送给目标地址的IP地址是伪造的第三方IP地

TFTP网络协议分析

TFTP网络协议分析 周学伟 文档说明:所有函数都依托与两个出口,发送和接收. 1:作为发送时,要完成基于TFTP协议下的文件传输,但前提是知道木的PC机的MAC地址,因为当发送TFTP请求包时必须提供目的主机的MAC地址.则提供串口srcureCRT控制台,首先进行ARP请求包的发送,收到来自客户端的ARP应答包时,提取出目的主机的MAC地址,然后在发送TFTP请求包,等到目的主机返回数据报文后,文件传输即可开始,此过程,可用wireshark抓包工具进行检测. 2:作为接收时,可在DM900

网络协议详解

目录:::::: 一.网络协议 二.TCP(Transmission Control Protocol,传输控制协议) TCP头格式      TCP协议中的三次握手和四次挥手      TCP报文抓取工具三.HTTP(HyperText Transfer Protocol,超文本传输协议) 请求报文结构      请求报文样例      请求报文参数详解      响应报文结构      响应报文样例      响应报文参数详解      HTTP报文抓取工具      Session和Coo