[指南]大三网络安全实验考试报告.doc

网络安全技术上机考试总结报告 院系：计算机 姓名： 学号： 班级：11级网络技术 同组人： 成绩： 所抽实验试题名称： 题目十二：arp欺骗攻击 （网络攻防 实验6 练习一） 一、实验目的和要求 通过在交换环境进行ARP欺骗并嗅探用户发送的信息，掌握ARP攻击的基本工作原理，并进一步掌握使用抓包软件进行嗅探分析的方法。 二、实验原理 ARP欺骗的工作过程 三、实验步骤及实验数据记录 将主机A、C、E为一组，B、D、F为一组。实验角色说明如下： 实验主机 实验角色 主机A、B 目标主机一/Windows 主机C、D 黑客主机/Linux 主机E、F 目标主机二/Windows 首先使用“快照X”恢复Windows/Linux系统环境。 一．ARP欺骗攻击 实验需求： （1）本实验使用交换网络结构（参见附录B），组一、二和三间通过交换模块连接（主机A、C、E通过交换模块连接，主机B、D、F也通过交换模块连接）。因此，正常情况下，主机C无法以嗅探方式监听到主机A与主机E间通信数据，同样主机D也无法监听到主机B与主机F间的通信数据。 （2）主机C要监听主机A和主机E间的通信数据；主机D要监听主机B与主机F间的通信数据。 分析： 黑客主机通过对目标主机进行ARP欺骗攻击，获取目标主机间的通信数据。 1．正常通信 （1）目标主机二单击工具栏“UDP工具”按钮，启动UDP连接工具，创建2513/udp服务端。 （2）目标主机一启动UDP连接工具，将“目标机器”IP地址指定为目标主机二的地址，目标端口与服务器一致。在“数据”文本框中输入任意内容，单击“发送”按钮，向服务端发送数据。服务端确定接收到数据。 （3）黑客主机单击工具栏“控制台”按钮，切换至/opt/ExpNIC/NetAD-Lab/Tools/ids/目录（Snort目录） 通过上述命令snort仅会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据（详细的snort使用命令见实验10｜练习一）。 （4）目标主机一再次向目标主机二发送消息，黑客主机停止snort监听（Ctrl+C），观察snort监听结果，是否监听到目标主机间的通信数据。 （5）目标主机一查看ARP缓存表，确定与目标主机二的IP相映射的MAC地址是否正常。 2．ARP攻击 （1）黑客主机单击平台工具栏“控制台”按钮，进入实验目录，运行ARPattack程序攻击目标主机一，将其ARP缓存表中与目标主机二相映射的MAC地址更改为黑客主机的MAC地址 其中第一个参数为被攻击主机IP地址，第二个参数为被攻击主机MAC地址，第三个参数为与被攻击主机进行正常通信的主机IP地址。 通过上述命令在目标主机一的ARP缓存表中，与目标主机二IP相绑定的MAC被更改为黑客主机MAC。 （2）黑客主机启动snort，同样监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据。 （3）目标主机一继续向目标主机二发送数据，目标主机二是否接收到数据？目标主机间的通信是否正常？黑客主机停止snort监听，观察snort监听结果，是否监听到目标主机间的通信数据。 解答：监听到了目标主机间的通信数据。 （4）目标主机一查看ARP缓存表，确定与目标主机二的IP相映射的MAC地址是否正常。 3．单向欺骗 正如步骤2中所示的实验现象，在黑客实施了简单的ARP攻击后，目标主机二会接收不到目标主机一的消息，在接下来的时间里目标主机一、二很容易会对网络状况产生怀疑。他们会去查看并修改ARP缓存表。所以应尽量减少目标主机由于受到ARP攻击而表现出的异常，将黑客主机做为“中间人”，将目标主机一发送的数据转发给目标主机二，是一种很可行的方法。 （1）黑客主机开启路由功能，具体操作如下： 在控制台中输入命令：echo 1 /proc/sys/net/ipv4/ip_forward （2）黑客主机捕获来自目标主机一的数据包，并将其转发给目标主机二，具体操作如下（添加iptables防火墙转发规则）： 上述第一条规则允许将来自网络接口eth0、源IP为目标主机一IP、目的IP为目标主机二IP的数据包进行转发，目的网络接口为eth0；第二条规则允许接收针对第一条规则的应答数据包（iptables具体使用方法见实验9｜练习二）。 （3）黑客主机启动snort，监听源地址为目标主机一IP、协议类型为UDP的数据包。 （4）目标主机一再次向目标主机二发送UDP数据，目标主机二是否接收到数据？为什么？ 解答：目标