Kali-linux系统自身集成Scapy、hping3、netwox等工具，用于渗透测试及网络攻击

Scapy

Scapy是一个Python程序，Scapy是一个功能强大的交互式数据包操作程序，能够发送，嗅探和剖析并伪造网络数据包，是一个可以探测，扫描或攻击网络的工具。Scapy主要定义一组数据包，发送请求，并返回数据包对（请求，应答）列表和不匹配数据包列表。这是比Nmap或hping工具有一个很大的优势。

Hping3

hping3是一款面向TCP/IP协议的免费的数据包生成和分析工具。Hping是用于对防火墙和网络安全审计的测试工具。

Netwox

netwox是由lauconstantin开发的一款网络工具集，是一款非常强大和易用的开源工具包，它可以创造任意的 TCP、UDP 和 IP 数据报文，以实现网络欺骗，并且可以在 Linux 和 Windows 系统中运行。netwox 包含了超过 200 个不同的功能，这里被称为模块。每个模块都有一个特定的编号，使用不同的编号模块来实现不同的功能。

1、SYN洪水攻击

SYN洪水攻击属于DoS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送SYN包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN 请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。

hping3 -S -U --flood -V --rand-source X.X.X.X（目标主机IP）

2、ICMP洪水攻击

短时间内向特定目标不断请求ICMP回应，致使目标系统负担过重而不能处理合法的传输任务，就发生了ICMp Flood

hping3 -1 -U --flood -V --rand-source X.X.X.X

3、UDP洪水攻击

UDP Flood是日渐猖厥的流量型DoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius服务器、流媒体视频服务器。 造成整个网段的瘫痪。由于UDP协议是一种无连接的服务，在UDP FLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击。

方式一：hping3 -2 -U --flood -V --rand-source X.X.X.X

方式二：hping3 -2 --flood -V -a 192.168.111.3 -s 1000 -p 10000-60000 192.168.111.60

方式三：hping3 -2 –i u10 -V -a 192.168.111.3 -s 1000 192.168.111.60

4、端口扫描

hping3 172.16.11.120(目标IP) --scan 1-100 –flood –S

5、Smurf攻击

源地址设置成受害网络地址，目的地址设置成受害网络的广播地址，导致网络内收到广播地址都会单播回应该源地址，最终导致系统崩溃

hping3 -I eth0 -a192.168.10.99(源地址) -S 192.168.10.255(目标广播地址) -p 80 -i u1000

6、IP欺骗

这种攻击利用TCP协议栈的RST位来实现，使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。假设有一个合法用户（100.100.100.100）已经同服务器建了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为100.100.100.100，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从100.100.100.100发送的连接有错误，就会清空缓冲区中已建立好的连接。这时，合法用户100.100.100.100再发送合法数据，服务器就已经没有这样的连接了，该用户就被拒绝服务而只能重新开始建立新的连接。

hping3 -R –U –a X.X.X.X（伪装源IP）

7、Fraggle攻击

实际上就是对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP，利用UDP 7和19两个端口，回应大量无用报文，占满网络带宽。

hping3 -2 -I eth0 -a192.168.10.99(源地址) -S 192.168.10.255(目标地址) -p 7 -i u1000

8、Ping of Death

IP分片的理解 IP协议在传输数据包时，将数据报文分为若干分片进行传输，并在目标系统中进行重组。这一过程称为分片（ fragmentation）。 IP 分片（Fragmentation）发生在要传输的IP报文大小超过最大传输单位MTU的情况。比如说，在以太网环境中可传输最大IP报文大小为1500字节。如果要传输的报文大小超过1500字节，则需要分片之后进行传输。由此可以看出，IP分片在网络环境中是经常发生的事件。但是，如果经过人为的恶意操作的分片，将会导致拒绝服务攻击或者迂回路由器、防火墙或者网络入侵检测系统（NIDS）的一种攻击手段。 为到达目标主机之后能够正常重组，各分片报文具有如下信息：各IP分片基于IP分片识别号进行重组，识别号相同的重组为相同的IP报文。IP分片识别号长度为16位，叫做“IP identification number”或者“fragment ID”。各分片具有从原始报文进行分片之前的分片偏移量以确定其位置。 各分片具有分片数据长度，其中20字节IP包头不包含在该数据长度中。当每个分片之后还存在后续的分片时，该分片的ME(More Fragment)标志位为1，这种攻击通过发送大于65536字节的ICMP包使操作系统崩溃；通常不可能发送大于65536个字节的ICMP包，但可以把报文分割成片段，然后在目标主机上重组；最终会导致被攻击目标缓冲区溢出，引起拒绝服务攻击，那么去除IP首部的20个字节和ICMP首部的8个字节，实际数据部分长度最大为：65535-20-8=65507个字节

hping3 -d 65495 X.X.X.X（目标IP） kali限制为65495

ping –l 65535 X.X.X.X –t（windows操作命令 限制为 65500）

9、Land攻击

Land Attack是将发送源地址设置为与目标地址相同，诱使目标机与自己不停地建立连接，致使缺乏相应防护机制的目标设备瘫痪。

hping3 -S -c 1000000 -a 10.10.10.10 -p 21 10.10.10.10

10、TearDrop

碎片数据包发送到目标机器。由于接收这些数据包的机器由于TCP / IP碎片重组错误而无法重新组装，因此数据包相互重叠，导致目标网络设备崩溃。

-g来设置段偏移 -x 设置更多的分段标志 –d数据包大小 –N id随机值

hping3 –icmp 192.168.1.1 –x –d 1000 –N 100

hping3 –icmp 192.168.1.1 –d 200 –g 400 –N 100

构造了两个ICMP请求ip包分片，第一个载荷量1000，标识100，第二个载荷量200标识100，但本应偏移量为1008，实际却设置了400，这样在分片重组时就会重叠。

11、IP flood

通过伪造大量的IP实现对目标主机的攻击

hping3 -U --flood -V --rand-source X.X.X.X（目标主机IP）

12、IP选项攻击 ？？

13、TCP异常攻击

TCP报文标志位包括URG、ACK、PSH、RST、SYN、FIN六位，攻击者通过发送非法TCP flag组合的报文，对主机造成危害

hping3 -U –A –P –R -S –F X.X.X.X（目标主机IP）

14、IP分片

IP协议在传输数据包时，将数据报文分为若干分片进行传输，并在目标系统中进行重组。这一过程称为分片（ fragmentation）。 IP分片发生在要传输的IP报文大小超过最大传输单位MTU(Maximum Transmission Unit)的情况。

IP Fragment攻击是一种基于数据碎片的攻击手段，攻击者通过恶意操作，发送极小的分片来绕过包过滤系统或者入侵检测系统，可将TCP报头(通常为20字节)分布在2个分片中，这样一来，目的端口号可以包含在第二个分片中。IP报文中，与报文分片有关的几个字段是：DF（Don’t Fragmentate）位、MF 位，Fragment Offset、Length。DF和MF就是前面提到3位标识位中的第二和第三位，Fragment Offset就是“13位分片偏移”字段，Length就是“16位报文总长度”字段。如果上述字段的值出现矛盾，而设备处理不当，会对设备造成一定的影响，甚至瘫痪。Ip-fragment就是故意制造这种存在字段上相互矛盾的报文进行攻击的

netwox 74 -i 192.168.59.135

15、ICMP Fragment

hping3 --icmp-iplen 1800 -U --flood -V --rand-source X.X.X.X（目标主机IP）

16、ICMP Oversize

ICMP大包：超过指定长度的ICMP报文，会被丢弃

hping3 -1 –U –d 5000 X.X.X.X（目标主机）5000指的是阈值

17、ICMP Unreachable

目标不可达包是指路由器无法将 IP 数据包发送给目标地址时，会给发送端主机返回一个目标不可达的 ICMP 消息。在目标不可达报文中，类型值为 3，代码值为 1。

使用netwox 工具中编号为 82 的模块

伪造目标不可达ICMP数据包，设置源IP地址为192.168.59.135不可达

netwox 82 -i 192.168.59.135

【实例】已知主机 A 的 IP 地址为 192.168.59.134，主机 B 的 IP 地址为 192.168.59.135，在主机 C 上伪造目标不可达 ICMP 数据包。

1) 在主机 C 上伪造目标不可达 ICMP 数据包，设置源 IP 地址为 192.168.59.135，执行命令如下：

root@daxueba:~# netwox 82 -i 192.168.59.135

执行命令后没有任何输出信息，说明成功伪造了目标主机不可达 ICMP 数据包。

2) 在主机 A 上 ping 主机 B，执行命令如下：

root@daxueba:~# ping 192.168.59.135

输出信息如下：

PING 192.168.59.135 (192.168.59.135) 56(84) bytes of data.
64 bytes from 192.168.59.135: icmp_seq=1 ttl=64 time=3.95 ms
From 192.168.59.135 icmp_seq=1 Destination Host Unreachable
64 bytes from 192.168.59.135: icmp_seq=2 ttl=64 time=0.608 ms
From 192.168.59.135 icmp_seq=2 Destination Host Unreachable
64 bytes from 192.168.59.135: icmp_seq=3 ttl=64 time=0.341 ms
From 192.168.59.135 icmp_seq=3 Destination Host Unreachable
64 bytes from 192.168.59.135: icmp_seq=4 ttl=64 time=0.499 ms
From 192.168.59.135 icmp_seq=4 Destination Host Unreachable

18、ICMP Redirection

icmp redirect过程：A希望访问B的服务,当数据包发送到A网关,gateway_A发现到B的路由应该走和A同网段的C,因此就会发送一个icmp redirect信息,告诉你要访问B的路由应该是走C,因此A就临时修改路由表,将访问B的路由指向C

A-----sw----网关A

|路由器C-----serverB

伪造重定向ICMP数据包需要使用netwox工具中编号为86的模块

netwox 86 -g 192.168.59.131 -c 1 -i 192.168.59.136

192.168.59.131----需要重定向到的地址

192.168.59.136----为了不让发现攻击源，需要伪造攻击者的IP为该地址

19、使用TCP/UDP进行端口扫描

TCP 端口扫描也是构造的是 TCP 连接中的第 1 次握手包 [SYN] 包。如果端口开放，将返回第二次握手包 [SYN，ACK]；如果端口未开放，将返回 [RST，ACK] 包。

用户可以借助netwox工具中编号为 67 的模块构造 TCP 端口扫描包。

netwox 67 -i 192.168.59.156 -p 20-25

netwox 70 -i 192.168.59.135 -p 75-80 -E 10:20:30:40:50:60 -I 192.168.59.150 （为了避免被发现，可以伪造TCP包实施扫描，使用伪造的mac和源地址）

netwox工具提供了编号为69和70的模块，用来构造UDP端口扫描包，进行批量扫描。判断端口20-25的开放情况，执行命令如下：

netwox 69 -i X.X.X.X -p 20-25 （X.X.X.X为目标主机）

netwox 70 -i 192.168.59.135 -p 75-80 -E 10:20:30:40:50:60 -I 192.168.59.150 （为了避免被发现，可以伪造UDP包实施扫描，使用伪造的mac和源地址）

20、NTP放大攻击

网络时间协议NTP（Network Time Protocol）是用于互联网中时间同步的标准互联网协议。NTP服务器通过NTP服务向网络上的计算机或其他设备提供标准的授时服务，以保证这些服务系统的时钟能够同步。通常NTP服务使用UDP 123端口提供标准服务。

标准NTP 服务提供了一个 monlist查询功能，也被称为MON_GETLIST，该功能主要用于监控 NTP 服务器的服务状况，当用户端向NTP服务提交monlist查询时，NTP 服务器会向查询端返回与NTP 服务器进行过时间同步的最后 600 个客户端的 IP，响应包按照每 6 个 IP 进行分割，最多有 100 个响应包。由于NTP服务使用UDP协议，攻击者可以伪造源发地址向NTP服务进行monlist查询，这将导致NTP服务器向被伪造的目标发送大量的UDP数据包，理论上这种恶意导向的攻击流量可以放大到伪造查询流量的100倍。

nmap -sU -p 123 -sV 10.10.10.138 //扫描发现ntp服务器

ntpdc -n -c monlist 10.10.10.138 //扫描漏洞

21、DNS放大攻击

伪造DNS数据包，向DNS服务器发送域名查询报文了，而DNS服务器返回的应答报文则会发送给被攻击主机。放大体现在请求DNS回复的类型为ANY，攻击者向服务器请求的包长度为69个字节，而服务器向被攻击主机回复的ANY类型DNS包长度为535字节，大约放大了7倍。

dig any baidu.com @114.114.114.114

22、SNMP放大攻击

SNMP主要工作原理：通过一台客户端机器向一个被管理的设备发出查询请求获取这台设备当前运行状态的检测等情况，网络监控一般是基于SNMP与Agent。即：向管理的目标发送指令进行配置设置。

在SNMP的服务中，(被监控设备)端口UDP 161为主动查询请求；162端口为监控方在固定时间内受监控端向监控端自动发送查询请求。同时管理信息数据库（MIB）是一个信息存储库，包含管理代理中的有关配置和性能的数据，按照不同分类（类似树形图），包含分属不同组的多个数据对象。

22、SNMP放大攻击

SNMP主要工作原理：通过一台客户端机器向一个被管理的设备发出查询请求获取这台设备当前运行状态的检测等情况，网络监控一般是基于SNMP与Agent。即：向管理的目标发送指令进行配置设置。

在SNMP的服务中，(被监控设备)端口UDP 161为主动查询请求；162端口为监控方在固定时间内受监控端向监控端自动发送查询请求。同时管理信息数据库（MIB）是一个信息存储库，包含管理代理中的有关配置和性能的数据，按照不同分类（类似树形图），包含分属不同组的多个数据对象。

23、ARP欺骗

攻击者为了改变网关设备上的ARP表项，会向网关设备发送虚假ARP请求报文。如果设备将该报文中的IP地址与MAC地址对应关系学习至ARP表项，则会误将其他主机的报文转发给攻击源。

防御方式：

启用ARP欺骗攻击防范后，只在自己主动向其他主机发起ARP请求并得到回应的情况下才更改ARP表项，而不会学习主机主动发来的ARP请求报文。

参考：

http://c.biancheng.net/view/6378.html

https://blog.csdn.net/kernel_1984/article/details/88632230