实训第二天 网络层——传输层
网络层
基础知识(补充)
IP分片 实际过程中,要减少IP分片 传输层1460+网络层20+数据链路层20 总共 1500字节
IP头部字段:每32bit一行,第一行:版本 1100 / 1000 首部长度4bit,服务类型4bit,总长度16bit
第二行:标识 16bit 标志 3bit 片偏移 13bit
第三行:生成时间(TTL) 8bit 协议 8bit 首部检验和 16bit
源IP地址: 32bit
目标iP地址 : 32bit
ip配套协议: ARP(还有代理ARP和RARP协议) 和 ICMP(ping 主机存活探测)
arp报文:解析ip和mac地址的对应关系,映射关系会在一定时间后映射超时删除,然后重新询问。不询问,直接接收到响应也会更新自己的MAC地址表。
arp -a
icmp报文: 0-7 Type 7-15 Code 15-31 Checksum
icmp和arp都是请求和回应
网络层安全
smurf攻击:攻击者向受害者的局域网内持续大量的发送ICMP报文,目标地址为广播域。局域网下的所有主机都会相互回应,流量放大。造成DOS攻击
防御:禁止路由器,交换机转发来自外部网络的广播流量。等等
ICMP重定向:攻击者向目标发送伪造的ICMP重定向报文,目标接收到之后会更新自己的路由表,指向新的路由器(攻击者自身),然后实行信息窃取
IP Header:
Source IP: 192.168.1.5 # 攻击者IP
Destination IP: 192.168.1.1 # 受害主机IP
ICMP Header:
Type: 5 (Redirect Message)
Code: 1 (Redirect for network)
Checksum: 0x1234
Gateway IP Address: 192.168.1.5 # 攻击者指定的新"默认路由器"
Original IP Header:
Source IP: 192.168.1.1 # 受害主机IP
Destination IP: 10.0.0.1
ICMP不可达攻击:攻击者伪造ICMP报文,声称某一主机或网络现在已经不可达。接收者会将此主机或网络在其路由表中标记为不可达,进而停止访问。
IP Header:
Source IP: 192.168.1.5 # 攻击者IP
Destination IP: 192.168.1.1 # 路由器IP
ICMP Header:
Type: 3 (Destination Unreachable Message)
Code: 0 (Net Unreachable)
Checksum: 0x1234
Original IP Header:
Source IP: 10.0.0.1
Destination IP: 192.168.2.1
IP欺骗攻击
ARP攻击实验
环境搭建
win7 NAT模式 192.168.80.137
kali NAT模式 192.168.80.136
网关 192.168.80.2
设置kali开启路由转发
echo 1 > /proc/sys/net/ipv4/ip_forward
实验过程
nmap探测局域网存活主机
arpspoof -i eth0 -t 192.168.80.136 192.168.80.2 -r
查看win7 arp -a
可以看到,网关的物理地址已经和kali物理地址一样了。
但是试了好多次,图像都出不来........
防御
使用静态ARP表,将网关地址与ip地址绑定。
使用ARP防火墙
传输层
学校的计算机网络课程正好讲玩 传输层 所以传输层和应用层的知识点 都很熟,笔记可能会粗略
基础知识
端口: 通过tcp/udp发送syn或其它的报文到主机的某个端口,看其是否响应来判断端口是否打开
tcp报文格式
udp报文格式更简单
tcp的 三次握手和四次挥手
三次握手 syn=1 syn=1 ack=1 ack=1
四次挥手 C:fin=1 ack=1 S:ack=1 S: fin=1 ack=1 C:ack=1
fin 和 cin 都是控制位里面的标识符
分段和重组
传输层安全
TCP拒绝服务 SYN洪水攻击
UDP拒绝服务
SYN半开连接攻击:攻击者伪造虚假的源ip向目标发送syn包,建立连接,由于是虚假的ip地址,第二次握手的包到达不了,会等待超时然后删除
防御:缩短SYN等待队列超时时间与清空周期,加快释放半开连接的速度,降低占用资源的数量。
DOS攻击,DDOS攻击,CC攻击,都是那么一回事
SYN洪水攻击
环境
kali 192.168.100.128
win7 192.168.100.129
攻击过程
kali运行
hping3 -q -n -a 192.168.100.128 -S -s 80 --keep -p 445 --flood 192.168.100.129
标签:攻击,IP,第三天,192.168,传输层,实训,攻击者,ICMP
From: https://www.cnblogs.com/An0ma1/p/17341773.html