《计算机网络安全系统实验——arp欺骗》由会员分享,可在线阅读,更多相关《计算机网络安全系统实验——arp欺骗(22页珍藏版)》请在金锄头文库上搜索。
1、word计算机网络安全实验报告实验名称: arp欺骗 提交报告时间: 年 月 日一、 实验目的程序实现ARP欺骗,对ARP欺骗进展进一步的认识并提出防X措施。二、 系统环境主机1 windows系统主机2 windows系统主机3 linux操作系统三、 网络环境同一网段下的网络四、实验步骤与实验结果将主机A、C、E为一组,B、D、F为一组。实验角色说明如下:实验主机实验角色主机A、B目标主机一/Windows主机C、D黑客主机/Linux主机E、F目标主机二/Windows 首先使用“快照X恢复Windows/Linux系统环境。一ARP欺骗攻击 实验需求: 1本实验使用交换网络结构参见附录
2、B,组一、二和三间通过交换模块连接主机A、C、E通过交换模块连接,主机B、D、F也通过交换模块连接。因此,正常情况下,主机C无法以嗅探方式监听到主机A与主机E间通信数据,同样主机D也无法监听到主机B与主机F间的通信数据。 2主机C要监听主机A和主机E间的通信数据;主机D要监听主机B与主机F间的通信数据。 分析: 黑客主机通过对目标主机进展ARP欺骗攻击,获取目标主机间的通信数据。1正常通信图6-1-1 目标主机正常通信示意图 1目标主机二单击工具栏“UDP工具按钮,启动UDP连接工具,创建2513/udp服务端。主机1发送数据 2目标主机一启动UDP连接工具,将“目标机器IP地址指定为目标主机
3、二的地址,目标端口与服务器一致。在“数据文本框中输入任意内容,单击“发送按钮,向服务端发数据。服务端确定接收到数据。主机2接收到数据 3黑客主机单击工具栏“控制台按钮,切换至/opt/ExpNIC/NetAD-Lab/Tools/ids目录Snort目录,命令如下:主机3通过上述命令snort仅会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据详细的snort使用命令见实验10练习一。 4目标主机一再次向目标主机二发送消息,黑客主机停止snort监听Ctrl+C,观察snort监听结果,是否监听到目标主机间的通信数据。为什么?主机1向主机2发送消息主机3不能监听到主机1发送到的数据
4、因为命令snort只会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据,并不能截获数据5目标主机一查看ARP缓存表,确定与目标主机二的IP相映射的MAC地址是否正常。此时主机1arp缓存正常2ARP攻击图6-1-2 ARP攻击示意图 1黑客主机单击平台工具栏“控制台按钮,进入实验目录,运行ARPattack程序攻击目标主机一,将其ARP缓存表中与目标主机二相映射的MAC地址更改为黑客主机的MAC地址,命令如下:其中第一个参数为被攻击主机IP地址,第二个参数为被攻击主机MAC地址,第三个参数为与被攻击主机进展正常通信的主机IP地址。 通过上述命令在目标主机一的ARP缓存表中,与目标主
5、机二IP相绑定的MAC被更改为黑客主机MAC。 2黑客主机启动snort,同样监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据。 3目标主机一继续向目标主机二发送数据,目标主机二是否接收到数据?目标主机间的通信是否正常?黑客主机停止snort监听,观察snort监听结果,是否监听到目标主机间的通信数据。为什么?主机2不能接收到数据,通信不正常主机1发送数据“ee主机三监听到发送的数据“ee因为运行ARPattack程序攻击目标主机一,将其ARP缓存表中与目标主机二相映射的MAC地址更改为黑客主机的MAC地址,主机3已经截获了主机1发给主机2的数据;命令snort会监听源IP地址为目
6、标主机一的、传输协议类型为UDP的网络数据。4目标主机一查看ARP缓存表,确定与目标主机二的IP相映射的MAC地址是否正常。Ip为主机2ip,但MAC已经改成黑客主机的MAC地址了3单向欺骗 正如步骤2中所示的实验现象,在黑客实施了简单的ARP攻击后,目标主机二会接收不到目标主机一的消息,在接下来的时间里目标主机一、二很容易会对网络状况产生怀疑。他们会去查看并修改ARP缓存表。所以应尽量减少目标主机由于受到ARP攻击而表现出的异常,将黑客主机做为“中间人,将目标主机一发送的数据转发给目标主机二,是一种很可行的方法。图6-1-3 ARP单向欺骗示意图1黑客主机开启路由功能,具体操作如下: 在控制
7、台中输入命令:echo 1 /proc/sys/net/ipv4/ip_forward主机3 2黑客主机捕获来自目标主机一的数据包,并将其转发给目标主机二,具体操作如下添加iptables防火墙转发规如此:主机3上述第一条规如此允许将来自网络接口eth0、源IP为目标主机一IP、目的IP为目标主机二IP的数据包进展转发,目的网络接口为eth0;第二条规如此允许接收针对第一条规如此的应答数据包iptables具体使用方法见实验9练习二。 3黑客主机启动snort,监听源地址为目标主机一IP、协议类型为UDP的数据包。主机1发送数据“zailai 4目标主机一再次向目标主机二发送UDP数据,目标主
8、机二是否接收到数据?为什么?主机2能接收到数据因为黑客主机通过iptables规如此允许将来自网络接口eth0、源IP为目标主机一IP、目的IP为目标主机二IP的数据包进展转发,实现了将黑客主机做为“中间人,将目标主机一发送的数据转发给目标主机二 5黑客主机停止snort监听,会观察到类似如图6-1-4所示信息。图6-1-4 数据包转发从上图所示信息中可以知道,由源主机MAC地址是0:C:29:21:1A:7发往目的主机MAC地址是0:C:29:B7:3C:1的数据包在网络传输时的路由过程是:源主机-中间人MAC地址是0:C:29:F6:44:FB-目标主机。 6黑客主机查看ARP缓存表,确定
9、与目标主机一的IP相映射的MAC地址;确定与目标主机二的IP相映射的MAC地址。 7目标主机二查看ARP缓存表,确定与目标主机一的IP相映射的MAC地址。 下面来测试目标主机二对一的数据通信情况。 8黑客主机启动snort,仅监听协议类型为ICMP的网络数据包。 9目标主机一对目标主机二进展ping操作,是否能够ping通?请描述数据包的在网络中的传输路径。主机1对主机2进展 Ping操作,可以ping通,黑客可以监测到数据由源主机MAC地址是0:C:29:21:1A:7发往目的主机MAC地址是0:C:29:B7:3C:1的数据包在网络传输时的路由过程是:源主机-中间人MAC地址是0:C:29
10、:F6:44:FB-目标主机。 10黑客主机停止snort监听,观察结果,是否监听到主机一给主机二发出的ICMP回显请求数据包?是否监听到主机二给主机一发出的ICMP回显应答数据包?为什么会出现此种现象?能监听到主机一给主机二发出的ICMP回显请求数据包,不能监听到主机二给主机一发出的ICMP回显应答数据包。目标主机二的ARP缓冲表中与目标主机一IP相映射的MAC地址仍然是目标主机一的MAC地址。所以目标主机二会将ICMP回显应答数据包直接发送给目标主机一4完全欺骗 黑客如何才能够做到监听目标主机一、二间的全部通信数据呢?图6-1-5 ARP完全欺骗示意图1目标主机一访问目标主机二的Web服务
11、。 2黑客对目标主机二实施ARP攻击。 3黑客主机启动snort,监听目标主机一、二间的通信数据。命令如下: 4目标主机一再次访问目标主机二的Web服务。 5黑客主机观察snort监听结果。此时主机2 ping主机1查看主机2的缓存表,发现主机1的ip对应的MAC已经变成主机3黑客的了黑客主机3能够做到监听目标主机1、2间的全部通信数据二防XARP欺骗 当发现主机通信异常或通过网关不能够正常上网时,很可能是网关的IP被伪造。可以使用如下手工方法防XARP欺骗攻击。1清空ARP缓存表 清空ARP缓存表的命令是arp -d,之后对目标主机进展ping操作。2IP/MAC地址绑定 实现IP/MAC地
12、址绑定,实际上就是向ARP缓存表中添加静态(static)项目,这些项目不会被动态刷新,在机器运行过程中不会失效。 1Linux下绑定IP/MAC 实验使用的Linux系统环境FC5中,arp命令提供了-f选项,完成的功能是将/etc/ethers文件中的IP/MAC地址对以静态方式添加到ARP缓存表中。建立静态IP/MAC捆绑的方法如下: 首先建立/etc/ethers文件或其它任意可编辑文件,编辑ethers文件,写入正确的IP/MAC地址对应关系,格式如下:新建ethers文件,并添加IP/MAC地址然后让系统在启动后自动加载项目,具体操作:在/etc/rc.d/rc.local最后添加
13、新行arp -f,重启系统即可生效。此时输入arp -e查看arp缓存表,静态项目的Flags Mask内容为CM,其中M表示当前项目永久有效。 2Windows下绑定IP/MAC Windows平台中虽然arp命令没有提供-f选项,但同样可以实现IP/MAC地址静态绑定,方法是首先去除ARP缓存表,然后将IP MAC地址对添加到缓存表中,最后实现开机后自动执行上述功能。 请根据上述提示,结合arp命令,写出实现172.16.0.152 00-0c-29-95-b5-e9地址对静态绑定的操作步骤,并添写下面的脚本文件。经过如此操作后,进展ARP绑定后,在缓存表中进展主机IP地址和物理地址绑定。不会再受黑客篡改IP地址和物理地址。主机正确识别主机IP,达到安全识别并主机之间通信的目的。3ARP监听 由于ARP欺骗是通过伪装其它IP地址向目标主机发送ARP应答报文实现的,所以通过ARP监听可以监视网络中的目标为本机的ARP应答数据包的流向。 设置监听程序对目标地址为本机地址或子网广播地址或受限广播地址的ARP数据包进展监听。 以本机IP地址为172.16.0.152,子网掩码为255.255.255.0为例,使用snort监听满足上述条件的数据包,命令如下:监听到的数据包: /
