收藏
下载资源

网络安全实训指导

上传人:F****n 文档编号:93501468 上传时间:2019-07-23 格式:DOC 页数:136 大小:16.44MB
返回 下载 相关 举报
网络安全实训指导_第1页
第1页 / 共136页
网络安全实训指导_第2页
第2页 / 共136页
网络安全实训指导_第3页
第3页 / 共136页
网络安全实训指导_第4页
第4页 / 共136页
网络安全实训指导_第5页
第5页 / 共136页
点击查看更多>>
资源描述

《网络安全实训指导》由会员分享,可在线阅读,更多相关《网络安全实训指导(136页珍藏版)》请在金锄头文库上搜索。

1、网络安全实验指导网络安全实训指导 目 录实验一 ARP模拟攻击测试与流量分析1实验二 利用PGP实施非对称加密16实验三 利用数字证书保护通信28实验四 利用隧道技术连接企业与分支38实验五 基于路由器实现VPN连接45实验六 基本防火墙功能配置61实验七 软件防火墙配置保护主机与内部网络79实验八 基于Session wall入侵检测功能配置92实验九 基于Snort入侵检测功能配置105实验十 网络管理技术的SNMP实现120133实验一 ARP模拟攻击测试与流量分析实验目的:1、在不影响网络安全可靠运行的前提下,对网络中不同类型的协议数据进行捕获;2、能对捕获到的不同类型协议数据进行准确

2、的分析判断,发现异常;3、快速有效地定位网络中的故障原因,在不投入新的设备情况下解决问题;4、熟悉协议封装格式及原理,明确网络协议本身是不安全的。实验要求:1、复习网络层次及协议对应关系,协议封装,重点对ARP协议数据结构进行分析;2、工具及软件选用:安装Sniffer Pro软件、捕获前的设置;3、捕获ARP协议数据,并进行分析;4、明确ARP协议的缺陷,制定模拟ARP攻击方法;5、实施ARP协议模拟攻击与攻击结果检查;6、确定ARP攻击流量并加以分析;7、针对此类攻击的防范。实验工具与软件:1、协议分析软件Sniffer pro; 2、ARP攻击器; 3、在实际工作中建议使用笔记本电脑配置

3、一条直通双绞线和一条交换机配置线。实验原理:在以太网同一网段内部,当一个基于TCP/IP的应用程序需要从一台主机发送数据给另一台主机时,它把信息分割并封装成包,附上目的主机的IP地址。然后,寻找IP地址到实际MAC地址的映射,这需要发送ARP广播消息。当ARP找到了目的主机MAC地址后,就可以形成待发送帧的完整以太网帧头(在以太网中,同一局域网内的通信是通过MAC寻址来完成的,所以在IP数据包前要封装以太网数据帧,当然要有明确的目的主机的MAC地址方可正常通信)。最后,协议栈将IP包封装到以太网帧中进行传送。在下图中,当工作站1要和工作站4通信(如工作站1 Ping工作站4 )时。工作站1会先

4、检查其ARP缓存内是否有工作站4的MAC地址。如果没有,工作站1会发送一个ARP请求广播包,此包内包含着其欲与之通信的主机的IP地址,也就是工作站4的IP地址。当工作站4收到此广播后,会将自己的MAC地址利用ARP响应包传给工作站1 ,并更新自己的ARP缓存,也就是同时将工作站1的IP地址/MAC地址对保存起来,以供后面使用。工作站1在得到工作站4的MAC地址后,就可以与工作站4通信了。同时,工作站1也将工作站4的IP地址/MAC地址对保存在自己的ARP缓存内。图1 实验拓扑结构 如果想查看ARP缓存中的所有记录,可以在用命令“arp -a”;如果想清除ARP缓存中的动态记录,可以在用命令“a

5、rp -d”。 ARP攻击的特点是:当同一局域网内的一台或多台计算机感染了ARP攻击程序后,会不断发送伪造的ARP攻击包,如果这个攻击包的源MAC地址伪造为一个假的MAC地址(M1),源IP伪造成网关的IP地址,目的MAC为广播地址。这样所有同一网段内的主机都会收到,误以为网关的MAC地址已经变为M1,于是进行ARP缓存更新,把网关的真实IP与这个假的MAC地址进行关联。当这些被攻击的主机想进行外部网络访问时会把数据送到网关,即封装网关的IP与MAC,主机会先查询本机内的ARP缓存记录,查找网关IP对应的MAC地址,由于这个MAC是假的,所以外发的数据无法送达网关。因此,造成的现象就是被攻击的

6、主机无法访问外网或互联网。实验步骤: 1、网络协议分析软件sniffer pro的安装第一步:安装过程也很简单,双击安装程序,下一步,进入安装界面,下一步,出现许可协议,这些是软件安装的通用的步骤了,YES同意即可。接下来要求名称各公司输入即可。第二步:下一步后,选择并设置安装的目的路径后再下一步。就开始安装了。第三步:接下来要求填写个人信息:姓名、商业、电子邮件等,填写完成后就可以下一步了。接下来还是要求填写个人联联系方式:地址、城市、国家、邮编、电话等,填写完成后就可以下一步了。需要注意的是各项目在填写时注意格式,字母与数字要区分开。 图2 图3第四步:接下来会问是如何了解本软件的?选择一

7、个。最后的序列号要正确填写。SN序列号图4第五步:接下来是通过网络注册的提示。第六步:由于我没有连网所以出现下面的界面,即无法连接,这不防碍软件的使用,只是注册用。 图5 图6第七步:下一步后,出现注册结果,点完成就可以结束 sniffer pro安装了。出现提示要求IE5支持,接受即可,最后点完成,询问是否重启,重启后软件就可以使用了。图72、网络协议分析软件sniffer pro的配置 启动sniffer pro软件,在主窗口的工具栏上点选捕获设置(Define Filter)按钮,可以对要捕获的协议数据设置捕获过滤条件。默认情况下捕获所有从指定网卡接收的全部协议数据。捕获到数据后停止查看

8、按钮会由灰色不可用状态变为彩色的可用状态。停止查看启动捕获捕获设置 图8选择停止查看按钮会出现如下图所示对话框,选择最下面的Decode选项卡。即可以看捕获后的数据的解码。 图9 图103、下面利用SnifferPro软件对ARP协议进行分析。在工作站1上进行,分析步骤如下:1) 设置SnifferPro捕获ARP通信的数据包(工作站1与工作站4之间)在工作站1上安装并启动SnifferPro软件,并设置捕获过滤条件(Define Filter),选择捕获ARP协议。如图11所示:图112) 要想工作站1发送ARP请求给工作站4,并得到ARP回应,首先要确保工作站1的ARP缓存中没有工作站4的

9、记录,所以先在工作站1上利用“arp -a”查看一下是否有此记录,如果有,则利用”arp d”清除,为了看到效果在执行完清除命令后可以再执行一下“arp -a”看是否已经清除,这里不再重复了。3)确认已经清除工作站1的ARP缓存中关于工作站4的IP与MAC地址对应关系记录后,就可以启动SnifferPro进行协议数据捕获了。4)在没有互相通信需求下,工作站1是不会主动发送ARP请求给工作站4,所以也就捕获不到ARP的协议数据,此时要在工作站1与工作站4之间进行一次通信,如可以在工作站1上ping工作站4,即:ping 10.1.103.4。5)命令执行过程结果如图12所示:图126)有ICMP

10、数据回应后可以发现, SnifferPro已经捕获到了协议数据。选择停止并查看,结果如图13所示,工作站1发送给工作站4的ARP查询请求数据帧的具体协议数据:图13 捕获到的ARP请求数据解码 7)工作站4应答工作站1的ARP回应数据帧的具体协议数据格式所图14所示:图14 捕获到的ARP回应数据解码4、ARP协议攻击模拟 下面利用SnifferPro软件进行基于ARP协议的攻击模拟,即让图1中的所有主机不能进行外网访问(无法与网关通信),下面在工作站1上实施攻击模拟,步骤如下:1) 要进行模拟实施攻击,首先要构造一个数据帧,这很麻烦,这时可以捕获一个ARP的数据帧再进行改造(可以捕获一个网关

11、的ARP数据帧)。设置SnifferPro捕获ARP通信的数据包(工作站1与网关之间)在工作站1上再次启动SnifferPro软件,并设置捕获过滤条件(Define Filter),选择捕获ARP协议。2) 要想工作站1发送ARP请求给网关,并得到ARP回应,首先启动SnifferPro捕获,然后利用”arp d”清除ARP缓存。3) 在没有互相通信需求下,工作站1是不会主动发送ARP请求给网关的,所以也就捕获不到ARP的协议数据,此时要在工作站1与网关之间进行一次通信,如可以在工作站1上ping网关,即:ping 10.1.103.254。4) 有ICMP数据回应后可以发现, Sniffer

12、Pro已经捕获到了协议数据。选择停止并查看,在第1帧数据包(具体数据结构参见图17)上点击右键,并选择“Send Current Frame”。如图15所示图15 SnifferPro捕获到的工作站1发出去的ARP请求数据帧5) 出现如图16所示对话框,其中的数据(Data)即是工作站1发出去查询网关MAC地ARP请求数据,已经放入发送缓冲区内,此时可以进行修改了。图16图17 工作站1发出去的ARP请求数据帧数据6) 数据(Data)是工作站1发出去查询网关MAC地ARP请求数据,具体解释参见图18。 图18 图197) 对工作站1发出去查询网关MAC地ARP请求数据(Data)进行如图17

13、所示的伪造修改,即这个帧是被伪造为网关IP(10.1.103.254)地址和MAC地址(伪造为假的:6)发出去的查询10.1.103.153(十六进制数为:0a 01 67 99 )的MAC地址的ARP广播帧,这样所有本地网段内的主机都会收到并更新记录,以为网关(IP为10.1.103.254)的MAC地址变为了6 ,并将这一错误关联加入各自的ARP缓存中(包括工作站自身)。8) 修改后的帧缓冲区中的数据如图19所示,修改后在发送(Send)次数下选择连续发送(Continuously),发送类型(Send Type)下选择每隔10毫秒一次。后点击确定,伪造的数据帧即开始按此间隔时间不断发送了

14、,想停止发送按图11所示操作即可,这里先不停止。5、ARP模拟攻击与结果检查1)在工作站1上通过远程桌面连接到工作站4,在未发送伪造的数据帧之前工作站4是可以和网关10.1.103.254进行通信,当启动包生成器发送伪造的数据帧后,还能PING通网关了,在工作站4上用“arp -a”命令查看网关IP对应的MAC地址已经变为网络中不存在的伪造的MAC地址:6。所以无法访问网关也无法进行外网连接了,如图十九所示。图20此时在工作站1上用“arp -a”命令查看网关IP对应的MAC地址也已经变为网络中不存在的伪造的MAC地址:6。2)此时,停止发送伪造帧,即停止攻击,并分别在两台工作站上执行“arp -d”命令,重新PING网关后又可以进行连接并访问外网了。至此针对ARP协议的分析、捕获与模拟攻击过程结束。6、流量分析1)在工作站1上开启Sniffer Pro并设置对ARP协议进行捕获,启动捕获。2)开启WinArpAttacker软件,先进行Scan扫描本局域网内的存活主机。在要攻击的目标主机前选中,然后选择Attack-BanGateway。这里选择两台目标主机(10.1.103.4和10.1.103.5)。3)这时发现Sniffer Pr

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 事务文书

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号