Prima di tutto ti consiglio di creare una rete di test e isolarla dalla rete di produzione.
Creazione di una rete di prova : dipende dal budget. Se si dispone di un budget elevato, acquistare un paio di sistemi che eseguono Windows e Linux, acquistare alcuni switch e collegarli con i cavi di rete.
Se il budget non è così grande, prova a utilizzare strumenti di virtualizzazione come workstation VMware o VirtualBox ecc. Qui è un bel documento su come creare un laboratorio di prova.
Per simulare attacchi è bene sapere come funzionano questi attacchi e come rilevarli. (Suppongo tu sappia questo.) Inoltre molti di questi attacchi non sono molto comuni in questi giorni ma per la simulazione e il gioco sarà divertente.
Per simulazione DOS:
Gli attacchi DOS di solito inviano molto traffico alla macchina vittima per consumare le sue risorse in modo che gli utenti legittimi non siano in grado di accedere ai servizi. Un esempio tradizionale molto comune è Ping flood come attacco DOS.
Ping flood : invia una quantità enorme di pacchetti Ping con dimensioni del pacchetto più grandi possibili. In Windows è possibile specificare anche la dimensione dei dati / buffer. Il comando è ping -l . L'autore dell'attacco utilizzerà il valore massimo.
Rilevamento: il normale pacchetto ping ha una dimensione predefinita del pacchetto di 32 byte in caso di Windows. Quindi se vedi un sacco di pacchetti Ping con dimensioni insolite del buffer per esempio: come 4000, potresti dire che potrebbe essere un ping flood.
Puoi usare il comando PING per simulare questo attacco. In wireshark crea un filtro per i pacchetti ICMP Echo e controlla la dimensione del buffer.
Inondazione MAC : in questo attacco l'attaccante trasmetterà un sacco di pacchetti ARP per riempire la tabella CAM dello switch. Questo fa sì che lo switch operi in modalità fail open, il che significa che lo switch trasmetterà il pacchetto in ingresso a tutte le porte.
Rilevamento: se vedi molte richieste ARP provenienti da indirizzi MAC di origine casuale, allora puoi supporre che si tratti di flooding ARP. Questo non è un metodo di rilevamento ideale. Ma se hai ancora solo 3-4 dispositivi nella tua rete e al contrario vedi molte richieste ARP con diversi indirizzi di origine, potrebbe trattarsi di un flooding ARP perché 3-4 dispositivi non genereranno un'enorme richiesta ARP con origini diverse Indirizzi MAC È possibile utilizzare alcuni strumenti di flooding ARP per la simulazione. In wireshark crea un filtro per la richiesta ARP per vedere i frame di richiesta ARP.
spoofing ARP: in questo caso devi associare il tuo indirizzo MAC all'indirizzo IP della vittima inviando un frame ARP appositamente predisposto! Se l'attacco ha successo, tutto il traffico che è stato destinato all'IP di Victim verrà ora reindirizzato a te. Al momento non ho idea di come sia possibile rilevare questo attacco con solo un filo di ferro. Quello che potresti provare è che puoi creare un filtro per tutte le sonde / richieste ARP e quindi verificare per quale indirizzo MAC di origine l'indirizzo IP di origine è stato modificato nelle sonde ARP.
Rilevazione: questo non è un metodo di rilevamento ideale perché ciò potrebbe rendere falso positivo se qualcuno ha semplicemente sostituito una macchina nella rete. Ma se si presume che nessuna macchina venga sostituita nella rete, questo metodo potrebbe aiutare a rilevare l'attacco.
Strumenti per simulare gli attacchi: ti consiglierei di utilizzare Kali linux che contiene molti strumenti.
Esistono alcuni strumenti che possono aiutarti:
Strumento Ping flooding: Nping
Strumento di flooding MAC: Macof
Strumento di spoofing ARP: dSniff
Anche qui è un buon articolo riguardante gli strumenti!.
Spero che aiuti.