项目3网络协议与分析.ppt

从上图可看到通信双方的IP地址和开启的端口号等信息，数据包1、2、3是主机A和主机B的TCP的“三次握手”。 数据包1显示主机A向服务器B发出了FTP连接请求，数据中包含了SYN(建立联机)， 数据包2是服务器B向主机A发送的应答，数据中包含了SYN和ACK(确认)，此时，TCP已经完成了两次握手。 数据包3显示了第三次握手，数据中包含了ACK，从而完成了TCP连接。 数据包6是主机A向服务器B发送的账号数据，其中的“USER abc”代表此用户名为“abc”。 数据包9是主机A向服务器B发送的密码数据，其中的“PASS 123456”代表该用户的密码为“123456”。这正说明了FTP中的数据是以明文形式传输的。 3.4.2 任务2：ARP欺骗攻击与防范 1. 任务目标 (1) 理解ARP欺骗攻击的原理。 (2) 掌握Sniffer软件的使用方法。 (3) 了解ARP欺骗攻击的防范方法。 2. 任务内容 (1) 配置捕获数据过滤器。 (2) 模拟ARP欺骗攻击。 (3) ARP数据包解码。 (4) ARP欺骗攻击的防范。 3. 完成任务所需的设备和软件 (1) 装有Windows XP/2003操作系统的PC机3台，至少其中一台已安装Sniffer软件。 (2) 路由器一台，作为访问外网的网关(54)。 (3) 集线器HUB一台，作为网络连接设备，直通线若干根。 (4) ARP欺骗攻击软件WinArpAttacker 1套。 (5) 图络拓扑如图3-12所示。 4. 任务实施步骤 在主机A(1)上运行WinArpAttacker程序，模拟ARP欺骗攻击，人为制造网络故障，致使局域网中的主机B(2)和主机C(3)不能进行外网访问(无法与网关通信)。 (1) 配置捕获数据过滤器 在默认情况下，Sniffer Pro会接收网络中传输的所有数据包，但在分析网络协议查找网络故障时，有许多数据包不是我们所需要的，这就要对捕获的数据包进行过滤，只接收与分析问题或事件有关的数据包，Sniffer Pro提供了捕获数据包前的过滤规则和定义，过滤规则包括二、三层地址的定义和几百种协议的定义。 步骤1：在主机C(或主机B)中运行Sniffer Pro程序，在打开的Sniffer Pro主窗口中，选择菜单“捕获”→“定义过滤器”命令，打开“定义过滤器-捕获”对话框，单击“配置文件”按钮，打开“捕获配置文件”对话框，单击“新建”按钮，打开“新建捕获配置文件”对话框，在“新配置文件名”文本框中输入“arp_test”。 步骤2：单击“好”按钮，返回“捕获配置文件”对话框，再单击“完成”按钮，返回“定义过滤器-捕获”对话框，在“高级”选项卡中，选中“ARP”复选框，如图3-25所示，单击“确定”按钮。然后单击工具栏中的捕获“开始”按钮，开始捕获ARP数据包。 (2) 模拟ARP欺骗攻击 步骤1：在主机A上先关闭防病毒软件，然后安装并运行WinArpAttacker程序，打开“WinArpAttacker”窗口，选择菜单“Scan”→“Advanced”命令，然后在打开的“Scan”对话框中对IP地址范围～54进行扫描，如图3-26所示，扫描结果如图3-27所示。 步骤2：选中要进行欺骗攻击的目的主机，这里选择主机B(2)和主机C(3)，然后选择“Attack”→“BanGateway”命令，开始对主机B和主机C进行ARP欺骗攻击。 (3) ARP数据包解码 步骤1：在主机C(或主机B)中，发现Sniffer Pro已经捕获到ARP数据包了(“停止和显示”按钮的颜色由灰色变成黑色)，单击“停止和显示”按钮，停止捕获并显示捕获到的数据包，如图3-28和图3-29所示，其中有4个ARP数据包，序号为1和2的数据包显示了对2(主机B)的欺骗攻击过程，序号为3和4的数据包显示了对3(主机C)的欺骗攻击过程。下面介绍对主机C的ARP欺骗攻击过程和结果。 步骤2：在主机C(或主机B)中，执行“arp -a”命令，结果如图3-30所示，可见，网关的MAC地址确实被欺骗为010101010101，类型为“动态(dynamic)”，“动态”说明这个MAC地址是通过ARP协议数据包获取的动态信息。 (4) ARP欺骗攻击的防范 针对ARP的欺骗攻击，比较有效的防范方法就是将IP地址与MAC地址进行静态绑定。 步骤1：在主机C(或主机B)中，执行以下命令： arp –d * arp –s 54 00-23-CD-76-FE-B0 arp –a 步骤2：在主机A中停止ARP欺骗攻击，再重新开始一次相同的欺骗攻击。在主机C(或主机B)中再次执行“arp –a”命令，查看54的MAC地址是否再次受到ARP欺骗攻击而改变。 如图3-32所