原理
ICMP (Internet Control Message Protocol) :Internet 控制报文协议,用于在 IP 主机和 路由器之间传递控制消息(控制消息指网络是否通、主机是否可达、路由器是否可用等)
ICMP 重定向
在某些特定情况下,路由器在检测到主机使用非优化路由时,会向主机发送一个ICMP重定向报文,使主机的路由改变
攻击模型
网络信息
win10 ip:192.168.137.133
kali ip:192.168.137.130
网关ip:192.168.137.1
测试kali和 windows10 连通性:
win10 ping kali:
kali ping win10:
攻击
正常指定 -i 和 -g
- kali 使用
netwox 86 -g 192.168.137.130 -i 192.168.137.1将win10网关重定向到kali 的ip 地址
-g: 重定向到的新网关的IP地址(Kali攻击机的IP地址)-i:受攻击主机的网关的IP地址
- Win10 抓取流量如下:可以看到win10 收到来自网关 192.168.137.1 的重定向报文
分析上面的 ICMP 重定向报文:
- ICMP 报文的
Type =5, code = 1,表示为主机重定向报文 Gateway Address = 192.168.137.130字段值为 kali ip ,即将 win10 网关重定向到 kali 的ip地址
此时win 10 ping 不通 baidu,无法上网
可以看到此时网关的下一跳被设置为 kali ip:(即网关被重定向到 kali ip)
不指定 -i 选项
如果把netwox里面的命令中-i 及后面的内容删除,观察此时是否能上网?
从抓取的报文可知,攻击机 kali (192.168.137.130) 直接将重定向报文发送给受攻击主机 win10(192.168.137.133)
此时win10可以上网,,这说明没有指定被攻击主机的网关 IP 地址时,攻击无法生效,Windows 10 仍然按照正常的路由将数据包发送给其默认网关,从而能够正常访问 Internet。
将 -g 指定为虚假 ip
如果把netwox命令中的-g指定的ip地址改为一个不在该网段中的虚假ip地址,观察此时能否上网,说明了什么?
可以看到网关的下一跳被设置为虚假ip地址
win10 上网情况:部分数据包正常传输(ping通的部分),部分数据包不可达(无法访问目标主机),表明攻击并没有完全阻止数据包的正常传输,部分数据包遵循正常的路由。
识别出ICMP重定向攻击报文
在Kali Linux能够攻击成功时,观察Wireshark抓取的ICMP重定向报文,思考理论上有没有办法识别出ICMP重定向攻击报文
- 检查源 IP 地址:正常的 ICMP 重定向报文应该来自当前主机的网关。如果源 IP 地址不是网关地址或者来自一个不可信的地址,可能是攻击报文。
- 比较多个重定向报文:如果短时间内收到大量来自不同源地址或针对不同目标的重定向报文,可能是攻击行为。
防御 ICMP 重定向攻击
防御 ICMP 重定向攻击的方法包括:
- 禁用 ICMP 重定向:在 Windows 10 中,可以通过修改注册表或使用组策略编辑器来禁用 ICMP 重定向。这样,即使收到伪造的重定向报文,系统也不会更改路由表。
- 使用防火墙:配置防火墙来过滤掉可疑的 ICMP 重定向报文。可以设置规则只允许来自可信网关的重定向报文通过。
打开防火墙后,win10虚拟机可以正常上网
文章标题:逍遥安全网络攻防实验-ICMP 重定向攻击
文章链接:https://xiaoyaoaq.com/?post=39
本站文章均为原创,未经授权请勿用于任何商业用途
文件名称:逍遥安全网络攻防实验-ICMP 重定向攻击
更新日期:2025-9-12 23:57
文件大小:未知
提示:如有问题、侵权或者下载链接失效请联系站长!邮箱:1978512375@qq.com
文章标题:逍遥安全网络攻防实验-ICMP 重定向攻击
文章链接:https://xiaoyaoaq.com/?post=39
本站所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议,转载请注明来自逍遥子 !
如果觉得文章对您有用,请随意打赏。
您的支持是我们继续创作的动力!
微信扫一扫
支付宝扫一扫
版权声明:未标注转载均为本站原创,转载时请以链接形式注明文章出处。如有侵权、不妥之处,请联系站长删除。敬请谅解!
