网络攻击的常用工具_网络攻击工具的实验

网络安全-TCP-IP攻击

概述

1. SYN-Flooding攻击效果,受害者系统卡死.

2. TCP-RST攻击实现已经建立的TCP连接断开.

3. TCP会话劫持,劫持TCP会话,并实现反向Shell.

实验环境

1. 三台Linux系统主机,一台作为攻击者,一台作为受害者,一台作为观察者.

2. 为了简化TCP序列号和源端口号的“猜测”,实验处于同一局域网内,你可以使用嗅探器来获取受害者信息.

SYN-Flooding攻击

1. SYN-Flooding攻击原理

SYN-Flooding是DoS攻击的一种，攻击者向受害者的TCP端口发送很多SYN请求，但攻击者无意完成三次握手过程.

攻击者要么使用欺骗性的假的IP地址，要么不要继续完成整个三次握手过程.

通过这种攻击，攻击者可以淹没用于半连接的受害者队列，即已完成SYN，SYN-ACK但尚未得到最终ACK的连接.

当这个队列已满时，受害者不能再进行任何连接.

正常三次握手过程:

在Linux中，我们可以使用以下命令检查

我们可以使用命令“netstat -na”来检查队列的使用情况，即与监听端口相关联的半连接的数量.

这种半连接的状态是SYN-RECV。如果三次握手完成，则连接的状态将为ESTABLISHED.

在这个任务中，你需要演示SYN-Flooding攻击:

您可以使用Netwox来执行攻击，然后使用嗅探器捕获攻击性数据包.

在攻击发生时，在受害机器上运行“netstat -na”命令，并将结果与攻击前的结果进行比较.

2. Netwox 76简介

3. SYN Cookie防御机制

如果你的攻击看起来不成功，你可以检查是否启用了SYN cookie机制.

SYN cookie是抵抗SYN-Flooding的防御机制.

防御原理简介:

在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时，不分配一个专门的数据区，

而是根据这个SYN包计算出一个cookie值.

在收到TCP ACK包时，TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性.

如果合法，再分配专门的数据区进行处理未来的TCP连接.

你可以使用sysctl命令打开/关闭SYN cookie机制：

4. 实验结果分析

比较 netstat -na 前后状态如下:

产生大量的TCP半连接,阻塞了队列,导致后续正常TCP连接无法建立!!

TCP-RST攻击

1. FTP协议

2. TELNET协议

3. SSH协议

4. Newox 78简介

5. 实验结果分析

-** FTP**

FTP服务器地址: 192.168.59.146/24

FTP客户端地址: 192.168.59.144/24

攻击者地址: 192.168.59.1/24

攻击者终端对受害者进行TCP-RST打击:

结果显示:已经建立的TCP连接断开.

Telnet服务器地址: 192.168.59.146/24

Telnet客户端地址: 192.168.59.144/24

攻击者地址: 192.168.59.1/24

攻击者终端对受害者进行TCP-RST打击:

结果显示:已经建立的TCP连接断开.

SSH服务器地址: 192.168.59.146/24

SSH客户端地址: 192.168.59.144/24

攻击者地址: 192.168.59.1/24

攻击者终端对受害者进行TCP-RST打击:

结果显示:已经建立的TCP连接断开.

TCP会话劫持

1. 会话劫持简介

TCP会话劫持攻击的目标是通过向该会话中注入恶意内容来劫持两名受害者之间的现有TCP连接（会话）.

如果这个连接是一个telnet会话,攻击者可以在这个会话中注入恶意命令(例如删除重要文件),导致受害者执行恶意命令.

2. Wireshark简介

如果您使用Wireshark观察网络流量,当Wireshark显示TCP序列号时,

默认情况下会显示相对序列号,它等于实际序列号减去初始序列号.

如果想查看包中的实际序列号,则需要右键单击Wireshark输出的TCP部分,

然后选择"Protocol Preference". 在弹出窗口中，取消选"Relative Sequence Number"选项.

3. Netwox 40简介

4. 实验结果分析

Telnet服务器地址: 192.168.59.148/24

Telnet客户端地址: 192.168.59.146/24

攻击者地址: 192.168.59.1/24

攻击者终端对受害者进行TCP会话劫持:

我们要伪造发下一个包:

所以直接采用nextseq作为下一个包的ack,采用ack作为下一个包的seq.

最后一个Telnet数据包内容如下:

我们伪造向服务器 192.168.59.148 发送 ls 命令,

通过netwox构造我们的攻击指令如下:

在wireshark上显示抓包数据如下:

来创建我们的肉鸡~

现在我们来通过NC反弹一个Shell,来控制我们受害者:

首先是构造NC命令:

实验结果如图:

首先看结果:我们成功拿到了服务器上的用户gu的所有权限!

咱们再来看看抓包数据,通过抓包数据,你可以看到最后一条Telnet的TCP数据,通过这些数据,就可以很方便通过Netwox构造攻击语句了!!

ai一秒内干掉网络攻击

AI一秒内干掉网络攻击，近日，英国卡迪夫大学的研究人员开发了一种人工智能新方法，可以在一秒内自动检测并干掉计算机以及其它智能设备上的网络攻击。成功防止计算机上多达百分之92的文件损坏，平均只需要0.3秒即可清除一个恶意软件。

介绍：

该方法利用了人工智能和机器学习方面的最新进展，原理类似于监测和预测恶意软件的行为，而不是像杀毒软件那样去分析恶意软件的构造。

研究作者Pete Burnap教授解释说，传统的杀毒软件会解析恶意软件的代码，但问题是恶意软件的作者会修改代码，所以第二天代码看起来就完全不一样了，因此杀毒软件的作用并不大。

而我们想知道一个恶意软件的行为，这样一旦它开始攻击一个系统，比如打开一个端口，创建一个进程或按特定顺序下载一些数据，它就会留下一个指纹，然后我们可以用它来建立一个行为档案。

APR攻击（Arpspoof）

(这个月的文章还没有写~~emmm好吧，过了12点，已经是新的一月了，害pia被骂，所以现在赶紧写文章（PS：求饶命）

ARP即地址地址解析协议，即ARP协议通过IP地址来查找主机的MAC地址，把IP地址转换为MAC地址。ARP攻击又称为中间人攻击，是一种在局域网中常用的攻击手段。

在实验之前我们首先要知道ARP断网攻击是局域网攻击，我们要保证目标主机必须和自己处于一个局域网内，且自己和目标主机网络应该是通的

在ARP断网攻击之前 ，我们先用fping探测该局域网中的存活地址

探测到的存活地址，就是我们的目标主机

我们在攻击之前先看一下目标机的arp缓存

目标主机能ping通百度，说明目标主机的网络环境没问题，下面我们开始断网攻击，用到的是kali里面的一个工具，arpspoof

在攻击之前，目标主机的网络是通的，攻击成功后，目标主机断网“请求超时”

在攻击结束后，目标主机网络恢复

ARP欺骗，是让目标主机的流量经过主机的网卡，再从网关出去，而网关也会把原本流入目标机的流量经过我。

在进行arp欺骗之前，我们要先开启本机的IP转发功能，如果不开启的话，我们攻击之后会使目标机断网，而不是欺骗。

下面我们开始对目标主机进行欺骗

我们用图片嗅探工具driftnet来捕获目标主机查看的图片

因为我们欺骗目标机，使目标机的流量经过自己的网卡，所以这里我们嗅探自己的网卡，下图成功ARP欺骗

下图是攻击后目标机的arp缓存

emmmmm 就先到这里吧 一晚上没睡好 饭也没吃，肚子咕咕叫，先觅食去~

英国大牛最新研究：AI一秒干掉网络攻击，清除一个恶意软件需要多久？

英国大牛最新研究：AI一秒干掉网络攻击，清除一个恶意软件需要多久？0.3秒非常快了，生活中清除恶意软件是需要看情况的。

我们知道对于安卓应用，与之前PC上的应用最大的不同就是安卓采用Java开发，易于被反编译分析，并且可以被重新打包生成新的相似应用，虽然我们目前做了很多加固、防破解的技术，但道高一尺、魔高一丈，总是有破解的办法。

这也就造成了安卓应用的恶意程序与PC上的病毒、恶意程序最大的不同点：变种特别容易，传播周期更短，危害更高。一、两年前大肆传播的相册病毒，变种不下几十万种，有几次我们团队被半夜叫起来处理问题，因为高级领导的手机中毒了，机密信息被分发的到处都是。

随着移动智能终端的普及、移动互联网业务的蓬勃发展，移动应用软件的数量呈现快速增长趋势。移动智能终端引发的颠覆性变革揭开了移动互联网产业发展的序幕，智能终端改变了人们的工作生活方式，而移动应用软件的安全也面临严峻形势。

移动应用软件的快速增长，带来各种盗版、恶意应用、病毒等应用的大规模泛滥。相对于传统PC终端，移动终端的恶意应用特点更加明显，恶意应用的变种速度非常快，每天都有大量的变种恶意应用出现。

因为Android平台的应用开发模式所决定，相对于传统PC终端，恶意应用的变种多为发布者自行开发并传播，变种周期较长，而因为Android应用很容易进行反向工程，恶意代码很容易被重新编译打包后形成变种再次发布，所以恶意应用的变种更加容易，从而造成变种频繁，周期很短。因此对于移动终端的恶意应用防治，如何有效的解决恶意应用的变种识别显得尤为重要。

最新研究表示AI一秒内干掉网络攻击，这一研究说明了什么？

5月27日，最新消息，根据英国卡迪夫大学的研究表明，他们通过自创一种专门针对网络打击和计算机搜索的Ai进行实验，在面对一般计算机和网络的时候，卡迪夫大学研发的AI可以在一秒钟之内干掉侵入的病毒，并且文件的保持率高达百分之92，平均每0.03秒解决一个病毒，可以说这个研究让我们很多人都感到惊讶，能够如何快速的解决病毒危机是非常难得的，那么这个研究说明了什么问题呢？

第一、说明了AI的研究越来越发达，对于AI的应用越来越普及

我们先来看一下到底什么是AI。

人工智能（Artificial Intelligence），英文缩写为AI。它是研究、开发用于模拟、延伸和扩展人的智能的理论、方法、技术及应用系统的一门新的技术科学。——百度百科

作为一门将人的智能和现在我们的技术结合的科学研究，它的发展之路已经越来越受到重视。从1956年人工智能的开始，最近30年人工智能越来越发展快速，并且被认为是21世纪三大尖端技术。而在20世纪90年代，计算机AI深蓝成功击败国际象棋大师就引起了我们的注意。而现在，AI以及运用到了面对网络攻击的程度。可以说我们对于AI的应用越来越普及了。

第二、这个研究说明了网络攻击是我们越来越强大的敌人，是我们一直要面对的敌人

网络攻击听起来似乎很远，但是实际上却很近，或许还有很多人记得当年的熊猫烧香病毒，我们很多有电脑的人都遭到了这个病毒的入侵，并且承受了大量的损失。而前几年的绑架病毒也是很火热。所以说网络入侵其实一直没有断绝。这次科学家发明的ai面对病毒的技术就是说明我们其实对网络攻击越来越重视，只有用上我们最发达的技术，才能更好的面对网络的攻击。

第三、说明了人的智能的潜力超乎想象，我们要相信我们人类的潜能

AI的实际就是模仿人的智能才得到的效果。之前我们一直是采用计算机的思维来解决计算机的问题。但是这次的研究表明，其实人脑的潜力超出想象。通过模拟人脑的运算可以达到超出我们之前面对攻击的速度，所以说我们要相信自己的潜能，相信自己。

希望网络攻击早日被消灭掉！