Linux系统开发实践-林坤章-105032012127.docxVIP

课 程 名 称： Linux系统开发实践 院 系： 数学与计算机科学学院 专 业： 计算机科学与技术(信息安全方向) 班　 级： 计本六班 姓 名 ： 林坤章 学 号： 105032012127指 导 教 师： 陈志德 开 课 时 间：2014 至 2015 学年第 1 学期主题：Linux网络欺骗与分析目录一网络欺骗1 arp欺骗2 dns欺骗3 网络钓鱼二检测分析1 arp检测2 dns检测3 phishing检测 4 基于web日志数据检测分析 5 基于网络流量数据检测分析一网络欺骗1 arp欺骗1原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。/link?url=GWbE_atXlKBhrmrk6FcerGbCd69dVJCmHwO0BG0GfAcwCa_4NvmvB76obhF8hsRGYEsS4mJroBNOnC0r-mlsPK/link?url=GWbE_atXlKBhrmrk6FcerGbCd69dVJCmHwO0BG0GfAcwCa_4NvmvB76obhF8hsRGYEsS4mJroBNOnC0r-mlsPK2 演示环境：攻击主机kali(53)目标主机xp(41)kalixp用arpspoof欺骗Xp上的arp变为如图欺骗成功！！在这基础之上，黑客可以用wireshark,tcpdump的软件来进行cookies劫持等攻击。2 dns欺骗1原理DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。2演示Arp之后进行dns欺骗Kali运行Xp进行域名解析，指向了kali/Dns欺骗演示完毕！！！3 网络钓鱼1 原理：网络钓鱼（Phishing?，与钓鱼的英语fishing?发音相近，又名钓鱼法或钓鱼式攻击）是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。使用到的工具是set2 演示请参考/?03/hack-2136.htm/?03/hack-2136.htm二检测分析1 arp检测分析 （1）抓包分析 方法——使用抓包软件在局域网内抓ARP的reply包，以windump为 例，使用windump -i 2 -n arp and host （是您的网关地址）抓下来 的包我们只分析包含有reply字符的，格式如下： 18:25:15.706335 arp reply is-at 00:07:ec:e1:c8:c3 如果最后的mac不是您网关的真实mac的话，那就说明有ARP欺骗存在，而这个mac就是那台进行 ARP欺骗主机的mac。（2）三层交换机上查询ARP缓存表 方法——登陆局域网的上联三层交换机，并查看交换机的ARP缓存表（各种品牌的交换机命令有差异） 如果在ARP表中存在一个MAC对应多个端口（请注意是一个MAC对应多个端口，而不是一个端口上存在多个MAC）的情况，那么就表明存在ARP欺骗攻击，而这个MAC就是欺骗主机的MAC。2 DNS欺骗检测分析检测思路：发生dns欺骗时，client端会接受到两个以上的应答报文，且报文中有相同的ID序列号，一个是合法的，一个是非法的》这样我们就可以通过这两个ID来检测。（1）被动监听检测：检测所有DNS的请求和应答报文。通常DNS?Server对一个请求查询仅仅发送一个应答数据报文(即使一个域名和多个IP有映射关系，此时多个关系在一个报文中回答)。因此在限定的时间段内一个请求如果会收到两个或以上的响应数据报文，则被怀疑遭受了DNS欺骗(2)主动试探检测。即主动发送验证包去检查是否有DNS欺骗存在。通常发送验证数据包接收不到应答，然而黑客为了在合