如何模拟网络攻击并使用wireshark进行检测？

Question

我正在做一个项目，其中涉及我模拟一个网络攻击和使用wireshark来检测攻击。DOS/MIM等。我发现了以下提供帮助的链接，但在攻击生成中仍然存在一些模糊。有人能提供一个简单的方法来做到这一点吗？

http://www.lidi.info.unlp.edu.ar/WorldComp2011-Mirror/SAM4991.pdf https://www.academia.edu/6009916/DETECTION_和_分析_的_SYN_洪涝_DDOS_攻打_使用_威雷沙克

@pss非常感谢，我已经完成了使用KALI软件和部署虚拟机的任务。对于感兴趣的人，请知道wireshark无法检测到具有相同源地址和目标地址的数据包。您需要一个虚拟机在您的系统上将分配一个单独的ip地址由路由器。

Answer 1

首先，我建议您创建一个测试网络并将其与生产网络隔离开来。

创建测试网络:这取决于您的预算。如果您有一个很大的预算，然后购买两个系统运行Windows和linux，购买一些交换机，并连接到网络电缆。

如果预算不是很大，那么就尝试使用虚拟化工具，如VMware工作站或VirtualBox等。这里是一篇关于创建测试实验室的很好的论文。

为了模拟攻击，了解这些攻击是如何工作的以及如何检测它们是很好的。(我想你应该知道这一点。)此外，大多数这些攻击并不是很常见的这些天，但对模拟和周围玩它将是有趣的。

用于DOS仿真的

：

DOS攻击通常会向受害机器发送大量的通信量来消耗其资源，从而使合法用户无法访问这些服务。一个非常常见的传统例子是平洪水作为DOS攻击。

Ping洪流:尽可能大的发送数据包大小的Ping数据包。在windows中，也可以指定数据/缓冲区大小。命令是ping -l。攻击者将使用最大值。

检测:在Windows情况下，普通ping数据包的默认数据包大小为32字节。所以，如果你看到很多平安包，有着异常大小的缓冲区，比如4000，那么你可以说它可能是平洪水。您可以使用PING命令来模拟此攻击。在wireshark中，为ICMP回声数据包创建一个过滤器，并检查缓冲区大小。

MAC洪泛:在此攻击中，攻击者将发送大量ARP数据包，以填充交换机的CAM表。这将导致交换机在失败打开模式下运行，这意味着交换机将向所有端口广播传入的数据包。

检测:如果您看到很多ARP请求来自随机源MAC地址，那么您可以假设是ARP泛滥。这不是一种理想的检测方法。但是，如果您的网络中只有3-4个设备，而相反，您会看到许多具有不同源地址的ARP请求，那么这可能是ARP泛滥，因为3-4设备不会使用不同的源MAC地址发出巨大的ARP请求。您可以使用一些ARP洪泛工具进行模拟。在wireshark中，为ARP请求创建一个过滤器，以查看ARP请求帧。

ARP欺骗:在这种情况下，您应该通过发送巧尽心思构建的ARP帧将MAC地址与受害者的IP地址相关联！如果攻击成功，那么所有发送到受害者IP的通信现在都将被重定向到您。目前，我不知道你如何才能侦测到这个攻击只是一个wireshark。您可以尝试的是，您可以为所有ARP探测/请求创建一个筛选器，然后检查在ARP探测中更改了哪个源MAC地址。

检测:这不是一种理想的检测方法，因为如果有人仅仅替换了网络中的一台机器，这可能会产生假阳性。但是，如果假设网络中没有任何机器被替换，那么这种方法可以帮助检测攻击。

模拟攻击的工具:我建议使用Kali linux，它包含了很多工具。有一些工具可以帮助您：

平驱工具：嫩平

MAC驱油工具：马可夫

ARP欺骗工具：dSniff

另外，这里是一篇关于工具的好文章！

希望能帮上忙。