计算机网络安全实验arp欺骗

1、-*计算机网络安全实验报告实验名称：arp欺诈提交报告时间：年代日-*一、实验目的程序实现ARP欺诈，对ARP欺诈进前进一步的认识并提出防范举措。二、系统环境主机1windows系统主机2windows系统-*主机3linux操作系统三、网络环境同一网段下的网络四、实验步骤与实验结果将主机A、C、E为一组，B、D、F为一组。实验角色说明如下：实验主机实验角色主机A、B目标主机一/Windows主机C、D黑客主机/Linux主机E、F目标主机二/Windows首先使用“快照X”恢复Windows/Linux系统环境。一ARP欺诈攻击实验需求：1）本实验使用互换网络构造（参见附录B），组一、二和三

2、间经过互换模块连结（主机A、C、E经过互换模块连结，主机B、D、F也经过互换模块连结）。因此，正常情况下，主机C无法以嗅探方式监听到主机A与主机E间通信数据，同样主机D也无法监听到主机B与主机F间的通信数据。（2）主机C要监听主机A和主机E间的通信数据；主机D要监听主机B与主机F间的通信数据。解析：-*黑客主机经过对目标主机进行ARP欺诈攻击，获取目标主机间的通信数据。1正常通信图6-1-1目标主机正常通信示意图（1）目标主机二单击工具栏“UDP工具”按钮，启动UDP连结工具，创立2513/udp服务端。主机1发送数据2）目标主机一启动UDP连结工具，将“目标机器”IP地点指定为目标主机二的地

3、点，目标端口与服务器一致。在“数据”文本框中输入随意内容，单击“发送”按钮，向服务端发数据。服务端确定接收到数据。-*主机2接收到数据（3）黑客主机单击工具栏“控制台”按钮，切换至/opt/ExpNIC/NetAD-Lab/Tools/ids目录（Snort目录），命令如下：-*主机3经过上述命令snort仅会监听源IP地点为目标主机一的、传输协议种类为UDP的网络数据（详尽的snort使用命令见实验10练习一）。（4）目标主机再三次向目标主机二发送消息，黑客主机停止snort监听（Ctrl+C），观察snort监听结果，是否监听到目标主机间的通信数据。为什么？主机1向主机2发送消息-*主机3

4、不能监听到主机1发送到的数据因为命令snort只会监听源IP地点为目标主机一的、传输协议种类为UDP的网络数据，并不能截获数据（5）目标主机一查察ARP缓存表，确定与目标主机二的IP相映射的MAC地点是否正常。此时主机1arp缓存正常-*2ARP攻击图6-1-2ARP攻击示意图（1）黑客主机单击平台工具栏“控制台”按钮，进入实验目录，运行ARPattack程序攻击目标主机一，将其ARP缓存表中与目标主机二相映射的MAC地点更改为黑客主机的MAC地点，命令如下：-*其中第一个参数为被攻击主机为与被攻击主机进行正常通信的主机经过上述命令在目标主机一的IP地点，第二个参数为被攻击主机IP地点。ARP

5、缓存表中，与目标主机二IPMAC地点，第三个参数相绑定的MAC被更改为黑客主机MAC。（2）黑客主机启动snort，同样监听源IP地点为目标主机一的、传输协议种类为UD的网络数据。3）目标主机一持续向目标主机二发送数据，目标主机二是否接收到数据？目标主机间的通信是否正常？黑客主机停止snort监听，察看snort监听结果，是否监听到目标主机间的通信数据。为什么？主机2不能接收到数据，通信不正常-*主机1发送数据“ee”主机三监听到发送的数据“ee”因为运行ARPattack程序攻击目标主机一，将其ARP缓存表中与目标主机二相映射的MAC地点更改为黑客主机的MAC地点，主机3已经截获了主机1发给

6、主机2的数据；命令snort会监听源IP地点为目标主机一的、传输协议种类为UDP的网络数据。（4）目标主机一查察ARP缓存表，确定与目标主机二的IP相映射的MAC地点是否正常。Ip为主机2ip，但MAC已经改成黑客主机的MAC地点了-*3单向欺诈正如步骤2中所示的实验现象，在黑客实施了简单的ARP攻击后，目标主机二会接收不到目标主机一的消息，在接下来的时间里目标主机一、二很容易会对网络状况产生思疑。他们会去查察并改正ARP缓存表。所以应尽量减少目标主机由于受到ARP攻击而表现出的异样，将黑客主机做为“中间人”，将目标主机一发送的数据转发给目标主机二，是一种很可行的方法。图6-1-3ARP单向欺

7、诈示意图1）黑客主机开启路由功能，详尽操作如下：在控制台中输入命令：echo1/proc/sys/net/ipv4/ip_forward主机32）黑客主机捕获来自目标主机一的数据包，并将其转发给目标主机二，详尽操作如下（增添iptables防火墙转发规则）：-*主机3上述第一条规则允许将来自网络接口eth0、源IP为目标主机一IP、目的IP为目标主机二IP的数据包进行转发，目的网络接口为eth0；第二条规则允许接收针对第一条规则的应答数据包（iptables详尽使用方法见实验9练习二）。（3）黑客主机启动snort，监听源地点为目标主机一IP、协议种类为UDP的数据包。-*主机1发送数据“za

8、ilai”（4）目标主机再三次向目标主机二发送UDP数据，目标主机二是否接收到数据？为什么？-*主机2能接收到数据因为黑客主机经过iptables规则允许将来自网络接口eth0、源IP为目标主机一IP、目的IP为目标主机二IP的数据包进行转发，实现了将黑客主机做为“中间人”，将目标主机一发送的数据转发给目标主机二（5）黑客主机停止snort监听，会察看到近似如图6-1-4所示信息。图6-1-4数据包转发从上图所示信息中能够知道，由源主机（MAC地点是0:C:29:21:1A:7）发往目的主机（MAC地点是0:C:29:B7:3C:1）的数据包在网络传输时的路由过程是：源主机-中间人（MAC地点

9、是0:C:29:F6:44:FB）-目标主机。-*（6）黑客主机查察ARP缓存表，确定与目标主机一的IP相映射的MAC地点；确定与目标主机二的IP相映射的MAC地点。（7）目标主机二查察ARP缓存表，确定与目标主机一的IP相映射的MAC地点。下面来测试目标主机二对一的数据通信情况。（8）黑客主机启动snort，仅监听协议种类为ICMP的网络数据包。9）目标主机一对目标主机二进行ping操作，是否能够ping通？请描绘数据包的在网络中的传输路径。-*主机1对主机2进行Ping操作，能够ping通，黑客能够监测到数据由源主机（MAC地点是0:C:29:21:1A:7在网络传输时的路由过程是：源主机

10、）发往目的主机（MAC地点是0:C:29:B7:3C:1）的数据包-中间人（MAC地点是0:C:29:F6:44:FB）-目标主机。（10）黑客主机停止snort监听，察看结果，是否监听到主机一给主机二发出的ICMP回显恳求数据包？是否监听到主机二给主机一发出的ICMP回显应答数据包？为什么会出现此种现象？-*能监听到主机一给主机二发出的ICMP回显恳求数据包，不能监听到主机二给主机一发出的ICMP回显应答数据包。目标主机二的ARP缓冲表中与目标主机一IP相映射的MAC地点仍旧是目标主机一的MAC地点。所以目标主机二会将ICMP回显应答数据包直接发送给目标主机一4完全欺诈黑客怎样才能够做到监听

11、目标主机一、二间的全部通信数据呢？-*图6-1-5ARP完全欺诈示意图1）目标主机一接见目标主机二的Web服务。（2）黑客对目标主机二实施ARP攻击。-*（3）黑客主机启动snort，监听目标主机一、二间的通信数据。命令如下：4）目标主机再三次接见目标主机二的Web服务。5）黑客主机察看snort监听结果。-*此时主机2ping主机1查察主机2的缓存表，发现主机1的ip对应的MAC已经变成主机3（黑客）的了-*黑客主机3能够做到监听目标主机1、2间的全部通信数据二防范ARP欺诈当发现主机通信异样或经过网关不能够正常上网时，很可能是网关的IP被假造。能够使用下列手工方法防范ARP欺诈攻击。1清空

12、ARP缓存表清空ARP缓存表的命令是arp-d，之后对目标主机进行ping操作。2IP/MAC地点绑定实现IP/MAC地点绑定，实际上就是向ARP缓存表中增添静态(static)项目，这些项目不会被动向刷新，在机器运行过程中不会无效。1）Linux下绑定IP/MAC实验使用的Linux系统环境（FC5）中，arp命令提供了-f选项，达成的功能是将/etc/ethers文件中的IP/MAC地点对以静态方式增添到ARP缓存表中。成立静态IP/MAC捆绑的方法如下：首先成立/etc/ethers文件（或其余随意可编写文件），编写ethers文件，写入正确的IP/MAC地点对应关系，格式如下：-*新建

13、ethers文件，并增添IP/MAC地点然后让系统在启动后自动加载项目，详尽操作：在/etc/rc.d/rc.local最后增添新行arp-f，重启系统即可生效。-*此时输入arp-e查察arp缓存表，静态项目的FlagsMask内容为CM，其中M表示目前项目永远有效。-*2）Windows下绑定IP/MACWindows方法是首先除掉平台中虽然arp命令没有提供ARP缓存表，然后将IPMAC-f选项，但同样能够实现IP/MAC地点静态绑定，地点对增添到缓存表中，最后实现开机后自动履行上述功能。请根据上述提示，联合arp命令，写出实现172.16.0.15200-0c-29-95-b5-e9地点对静态绑定的操作步骤，并添写下面的脚本文件。-*经过如此操作后，进行ARP绑定后，在缓存表中进行主机IP地点和物理地点绑定。不会再受黑客窜改IP地点和物理地点。主机正确鉴识主机IP，达到安