ネットワーク攻撃をシミュレートし、wiresharkを使用してそれらを検出する方法

まず、テストネットワークを作成して、本番ネットワークから分離することをお勧めします。

テストネットワークの作成：予算によって異なります。予算が大きい場合は、WindowsとLinuxを実行しているシステムをいくつか購入し、いくつかのスイッチを購入して、ネットワークケーブルで接続します。

予算がそれほど大きくない場合は、 VMwareワークステーション または VirtualBox などの仮想化ツールを使用してみてください。 ここ は、テストラボの作成に関する素晴らしい論文です。

攻撃をシミュレートするには、これらの攻撃がどのように機能し、どのように検出するかについて知っておくとよいでしょう。 （私はあなたがこれを知っていると思います。）また、最近これらの攻撃のほとんどはあまり一般的ではありませんが、シミュレーションとそれを遊ぶことは楽しいでしょう。

DOSシミュレーションの場合：

DOS攻撃は通常、被害者のマシンに大量のトラフィックを送信してリソースを消費し、正当なユーザーがサービスにアクセスできないようにします。非常に一般的な従来の例は、DOS攻撃としてのPingフラッドです。

Pingフラッド：可能な限り大きいパケットサイズで大量のPingパケットを送信します。ウィンドウでは、データ/バッファサイズも指定できます。コマンドは ping -l です。攻撃者は最大値を使用します。

検出：Windowsの場合、通常のpingパケットのデフォルトのパケットサイズは32バイトです。したがって、たとえば4000のような異常なサイズのバッファを持つ多くのPingパケットが表示される場合、それはPingフラッドであると言えます。 PINGコマンドを使用して、この攻撃をシミュレートできます。 WiresharkでICMPエコーパケットのフィルターを作成し、バッファーサイズを確認します。

MACフラッディング：この攻撃では、攻撃者は大量のARPパケットを送信して、スイッチのCAMテーブルをいっぱいにします。これにより、スイッチはフェールオープンモードで動作します。つまり、スイッチは着信パケットをすべてのポートにブロードキャストします。

検出：ランダムな送信元MACアドレスからのARP要求が多数ある場合は、それがARPフラッディングであると想定できます。これは理想的な検出方法ではありません。ただし、ネットワークに3〜4台のデバイスしかなく、対照的に、異なる送信元アドレスを持つ多くのARP要求が表示されている場合、3〜4台のデバイスは異なる送信元で巨大なARP要求を作成しないため、ARPフラッディングになる可能性があります。 MACアドレス。シミュレーションにはARPフラッディングツールを使用できます。 WiresharkでARPリクエストのフィルターを作成し、ARPリクエストフレームを確認します。

ARPスプーフィング：この場合、特別に細工されたARPフレームを送信して、MACアドレスを被害者のIPアドレスに関連付ける必要があります。攻撃が成功すると、被害者のIP宛てのすべてのトラフィックがリダイレクトされます。現在、私はwiresharkだけでこの攻撃を検出する方法を知りません。試すことができるのは、すべてのARPプローブ/要求に対してフィルターを作成し、ARPプローブで送信元IPアドレスが変更されている送信元MACアドレスを確認できることです。

検出：誰かがネットワーク内のマシンを単に交換しただけの場合、これは誤検出になる可能性があるため、これは理想的な検出方法ではありません。ただし、ネットワーク内でマシンが交換されていないと想定する場合、この方法は攻撃の検出に役立ちます。

攻撃をシミュレートするためのツール：Kali linux を使用することをお勧めします。これには多くのツールが含まれています。あなたを助けることができるいくつかのツールがあります：

Pingフラッディングツール： Nping

MACフラッディングツール： Macof

ARPスプーフィングツール： dSniff

また here はツールに関する優れた記事です！。

お役に立てば幸いです。