《实习指导一snifferpro模拟arp攻击》由会员分享,可在线阅读,更多相关《实习指导一snifferpro模拟arp攻击(6页珍藏版)》请在金锄头文库上搜索。
1、实习指导一一、实训题目:基于 Sniffer Pro 软件的 ARP 协议分析、模拟攻击测试与流量分析二、实训目的:1.在不影响网络安全可靠运行的前提下,对网络中不同类型的协议数据进行捕获;2.对捕获到的不同类型协议数据进行准确的分析判断,发现异常(这需要有一定的经验积累) ;3.快速有效地定位网络中的故障原因,在不投入新的设备情况下解决问题;4. 熟悉协议封装格式及原理,明确网络协议本身是不安全的。三、实训要求:1.准备协议分析的软件 Sniffer Pro 安装软件;2.准备 ARP攻击器安装软件。四、预习内容:1.网络层次结构与数据封装解封装;2.你要知道两台主机在通信过程中对数据是如何
2、封装的?3. 针对 ARP协议的攻击;4. ARP协议的原理分析。五、实训步骤:1. 网络协议分析软件 sniffer pro 的安装第一步:安装过程也很简单,双击安装程序,下一步,进入安装界面,下一步,出现许可协议,这些是软件安装的通用的步骤了,YES 同意即可。接下来要求名称各公司输入即可。第二步:下一步后,选择并设置安装的目的路径后再下一步。就开始安装了。第三步:接下来要求填写个人信息:姓名、商业、电子邮件等,填写完成后就可以下一步了。接下来还是要求填写个人联联系方式:地址、城市、国家、邮编、电话等,填写完成后就可以下一步了。需要注意的是各项目在填写时注意格式,字母与数字要区分开。 第四
3、步:接下来会问是如何了解本软件的?选择一个。最后的序列号要正确填写。第五步:接下来是通过网络注册的提示。第六步:由于我没有连网所以出现下面的界面,即无法连接,这不防碍软件的使用,只是注册用。第七步:下一步后,出现注册结果,点完成就可以结束 sniffer pro 安装了。出现提示要求 IE5 支持,接受即可,最后点完成,询问是否重启,重启后软件就可以使用了。2.网络协议分析软件 sniffer pro 的配置第一步,启动 sniffer pro 软件,在主窗口的工具栏上点选捕获设置(Define Filter)按钮,可以对要捕获的协议数据设置捕获过滤条件。默认情况下捕获所有从指定网卡接收的全部
4、协议数据。捕获到数据后停止查看按钮会由灰色不可用状态变为彩色的可用状态。第二步,选择停止查看按钮会出现如下图所示对话框,选择最下面的 Decode 选项卡。即可以看捕获后的数据的解码。3. ARP 协议结构分析利用 Sniffer Pro 软件对 ARP 协议进行分析。在工作站 1 上进行,分析步骤如下:第一步:设置 Sniffer Pro 捕获 ARP 通信的数据包(工作站 1 与工作站 4 之间)在工作站 1 上安装并启动 Sniffer Pro 软件,并设置捕获过滤条件( Define Filter) ,选择捕获 ARP协议。第二步:要想工作站 1 发送 ARP 请求给工作站 4,并得到
5、 ARP 回应,首先要确保工作站 1 的 ARP 缓存中没有工作站 4 的记录,所以先在工作站 1 上利用“arp -a”查看一下是否有此记录,如果有,则利用”arp d”清除,为了看到效果在执行完清除命令后可以再执行一下“arp -a”看是否已经清除,这里不再重复了。第三步:确认已经清除工作站 1 的 ARP 缓存中关于工作站 4 的 IP 与 MAC 地址对应关系记录后,就可以启动 Sniffer Pro 进行协议数据捕获了。第四步:在没有互相通信需求下,工作站 1 是不会主动发送 ARP 请求给工作站 4,所以也就捕获不到 ARP 的协议数据,此时要在工作站 1 与工作站 4 之间进行一
6、次通信,如可以在工作站 1 上 ping 工作站 4,即:ping 10.1.103.4。第五步:有 ICMP 数据回应后可以发现, Sniffer Pro 已经捕获到了协议数据。如下图1-1 所示这些内容就是数据帧1(工作站1 发出的ARP请求广播帧)已经解码出来的内部数据。DLC数据链路层以太网封装头部。图 1-1Sniffer Pro 捕获到的 ARP 请求数据解码4.模拟 ARP 攻击方法利用 Sniffer Pro 软件进行基于 ARP 协议的攻击模拟,即让所有主机不能进行外网访问(无法与网关通信) ,下面在工作站 1 上实施攻击模拟,步骤如下:第一步:要进行模拟实施攻击,首先要构造
7、一个数据帧,这很麻烦,这时可以捕获一个 ARP 的数据帧再进行改造(可以捕获一个网关的 ARP 数据帧) 。设置 Sniffer Pro 捕获ARP 通信的数据包(工作站 1 与网关之间)在工作站 1 上再次启动 Sniffer Pro 软件,并设置捕获过滤条件(Define Filter) ,选择捕获 ARP 协议。第二步:要想工作站 1 发送 ARP 请求给网关,并得到 ARP 回应,首先启动Sniffer Pro 捕获,然后利用”arp d”清除 ARP 缓存。第三步:在没有互相通信需求下,工作站 1 是不会主动发送 ARP 请求给网关的,所以也就捕获不到 ARP 的协议数据,此时要在工
8、作站 1 与网关之间进行一次通信,如可以在工作站 1 上 ping 网关,即:ping 10.1.103.254。第四步:有 ICMP 数据回应后可以发现, Sniffer Pro 已经捕获到了协议数据。选择停止并查看,在第 1 帧数据包上点击右键,并选择“Send Current Frame”。如图 1-2 所示。这个序号为1的数据帧是工作站 1发送给工作站 4的ARP查询请求( 是一个广播帧,因为工作站1并不知道工作站4 的MAC,所是目的MAC为:FFFFFFFFFFFFFF)。图 1-2 Sniffer Pro 捕获到的工作站 1 发出去的 ARP 请求数据帧第五步:出现如图 1-3
9、所示对话框,其中的数据( Data)即是工作站 1 发出去查询网关 MAC 地 ARP 请求数据,已经放入发送缓冲区内,此时可以进行修改了。图 1-3 工作站 1 发出去的 ARP 请求数据帧数据第六步:数据(Data)是工作站 1 发出去查询网关 MAC 地 ARP 请求数据。第七步:对工作站 1 发出去查询网关 MAC 地 ARP 请求数据( Data)进行伪造修改,即这个帧是被伪造为网关 IP(10.1.103.254)地址和 MAC 地址(伪造为假的:112233445566)发出去的查询 10.1.103.153(十六进制数为:0a 01 67 99 )的 MAC 地址的ARP 广播
10、帧,这样所有本地网段内的主机都会收到并更新记录,以为网关(IP 为10.1.103.254)的 MAC 地址变为了 112233445566 ,并将这一错误关联加入各自的 ARP 缓存中(包括工作站自身) 。第八步:修改后的帧缓冲区中的数据如图 1-4 所示,修改后在发送(Send)次数下选择连续发送(Continuously) ,发送类型(Send Type)下选择每隔 10 毫秒一次。后点击确定,伪造的数据帧即开始按此间隔时间不断发送了,想停止发送按图 1-5 所示操作即可,这里先不停止。图 1-4 修改后的帧缓冲区中的数据图 1-5 包生成器的启动与停止控制5.ARP 模拟攻击与结果检查
11、第一步:在工作站 1 上通过远程桌面连接到工作站 4,在未发送伪造的数据帧之前工作站 4 是可以和网关 10.1.103.254 进行通信,当启动包生成器发送伪造的数据帧后,还能PING 通网关了,在工作站 4 上用“arp -a”命令查看网关 IP 对应的 MAC 地址已经变为网络中不存在的伪造的 MAC 地址:112233445566。所以无法访问网关也无法进行外网连接了,如图 1-6 所示。图 1-6 工作站 4 在受到攻击后的测试此时在工作站 1 上用“arp -a”命令查看网关 IP 对应的 MAC 地址也已经变为网络中不存在的伪造的 MAC 地址:112233445566。第二步:
12、停止发送伪造帧,即停止攻击,并分别在两台工作站上执行“arp -d”命令,重新 PING 网关后又可以进行连接并访问外网了。至此针对 ARP 协议的分析、捕获与模拟攻击过程结束。6.确定 ARP 攻击流量并加以分析第一步:在工作站 1 上开启 Sniffer Pro 并设置对 ARP 协议进行捕获,启动捕获。第二步:开启 WinArpAttacker 软件,先进行 Scan 扫描本局域网内的存活主机。在要攻击的目标主机前选中,然后选择 Attack-BanGateway。这里选择两台目标主机(10.1.103.4 和 10.1.103.5) 。3、这时发现 Sniffer Pro 已经捕获到数
13、据了,其中有四个数据帧,图中解码的为对10.1.103.4 主攻击过程。4、攻击过程是:工作站 1 以假的源 MAC 地址(010101010101)为源给网关发一个ARP 包,欺骗网关,使网关会误认为工作站 1 的 IP 地址是:10.1.103.4,MAC 地址是:010101010101(同时交换机的 CAM 表也更新) 。工作站 1 以假的源 MAC 地址(010101010101)为源给工作站 4 发一个 ARP 包,欺骗其,使工作站 4 会误认为网关的IP 地址 10.1.103.254,对应的 MAC 地址是:010101010101。5、攻击的结果是:网关发给工作站 4 的数据发到了工作站 1;工作站 4 发给网关的数据也发到了工作站 1(MAC:010101010101) 。6、分析:这种攻击方式与前面的 Sniffer Pro 软件模拟的是一个原理。只是目的不同,这个更为复杂一些。
