En primer lugar, le recomendaría crear una red de prueba y aislarla de la red de producción.
Creación de una red de prueba : depende de su presupuesto. Si tiene un gran presupuesto, entonces compre un par de sistemas que ejecuten Windows y Linux, compre algunos conmutadores y conéctelos con cables de red.
Si el presupuesto no es tan grande, intente usar herramientas de virtualización como VMware workstation o VirtualBox etc. Aquí hay un buen artículo sobre cómo hacer un laboratorio de pruebas.
Para simular ataques, es bueno saber cómo funcionan estos ataques y cómo detectarlos. (Supongo que sabes esto). Además, la mayoría de estos ataques no son muy comunes en estos días, pero para simular y jugar será divertido.
Para simulación de DOS:
Los ataques de DOS normalmente envían mucho tráfico a la máquina víctima para consumir sus recursos, de modo que los usuarios legítimos no puedan acceder a los servicios. Un ejemplo tradicional muy común es la inundación de ping como ataque de DOS.
Ping flood : envíe una gran cantidad de paquetes Ping con el tamaño de paquete lo más grande posible. En Windows también puede especificar el tamaño de los datos / búfer. El comando es ping -l . El atacante utilizará el valor máximo.
Detección: el paquete de ping normal tiene un tamaño de paquete predeterminado de 32 bytes en el caso de Windows. Entonces, si ves muchos paquetes de Ping con un tamaño inusual de búfer, por ejemplo: como 4000, entonces podrías decir que podría ser una inundación de Ping.
Puedes usar el comando PING para simular este ataque. En wireshark, cree un filtro para los paquetes de eco de ICMP y verifique el tamaño del búfer.
Inundación de MAC : en este ataque, el atacante transmitirá muchos paquetes ARP para completar la tabla CAM del conmutador. Esto hace que el conmutador funcione en modo de apertura de falla, lo que significa que el conmutador transmitirá el paquete entrante a todos los puertos.
Detección: si ve una gran cantidad de solicitudes ARP provenientes de direcciones MAC de origen aleatorias, puede asumir que se trata de una inundación ARP. Este no es un método de detección ideal. Pero aún así, si solo tiene 3-4 dispositivos en su red y en contraste está viendo muchas solicitudes de ARP con diferentes direcciones de origen, entonces podría tratarse de una inundación de ARP porque los dispositivos de 3-4 no van a realizar una gran cantidad de solicitudes de ARP con diferentes fuentes. Direcciones MAC Puede utilizar alguna herramienta de inundación ARP para la simulación. En wireshark, cree un filtro para la solicitud ARP para ver los marcos de solicitud ARP.
Suplantación de ARP: ¡En este caso, deberá asociar su dirección MAC a la dirección IP de la víctima mediante el envío de una trama ARP especialmente diseñada! Si el ataque es exitoso, todo el tráfico que estaba destinado a la IP de la víctima ahora será redirigido a usted. Actualmente no tengo idea de cómo puedes detectar este ataque con solo un wirehark. Lo que podría intentar es que puede hacer un filtro para todas las sondas / solicitudes ARP y luego verificar en qué dirección MAC de origen se ha cambiado la dirección IP de origen en las sondas ARP.
Detección: este no es un método de detección ideal porque podría dar un falso positivo si alguien simplemente ha reemplazado una máquina en la red. Pero si asume que no se reemplaza ninguna máquina en la red, este método podría ayudar a detectar el ataque.
Herramientas para simular los ataques: recomendaría el uso de Kali linux ya que contiene muchas herramientas.
Hay algunas herramientas que pueden ayudarte:
Herramienta de inundación de ping: Nping
Herramienta de inundación de MAC: Macof
Herramienta de suplantación ARP: dSniff
También aquí es un buen artículo sobre herramientas.
Espero que ayude.