IP欺骗和TP会话窃用实验报告.doc

Ui实验器材、环境配置操作及实验数据的产生:00 Ui 实验器材、环境配置操作及实验数据的产生: 0000 01:03:87:a8:eb 一、 实验目的： 了解IP I办议和TCP I办议的漏洞和IP欺骗和TCP会话窃用; 二、 实验内容： 观察TCP会ifi劫持和TCP会话终止数裾。 三、 实验原理： ip欺骗就足指一个伪造的源ip地址发送分组。通过构造源ip和n的ip地址以 及源端口和目的端口相匹配的IP分组，攻击者可以利用IP欺骗向TCP数裾流中发 送数据段。 实验器材：服务器、集线器、客户端主机和攻击者主机。 环境配置：使用连接在网络中的两台台式机，一台作为合法的telnet和FTP服 务器，另一台作为合法的客户端。第三台（攻击者）连接到网络中，对合法主 机进行攻击。实验环境配置如图4-1所示 01 00:c0:29:36:ft8 DHCP龙务冰/免浅眾 00:20:78：tf:9b;e? 客户垴 0300 06:5b:d5:1ee7 图4-1实验配置 实验数裾的产生：用几个合法的客户端到服务器的telnet会话，每一个telnet 会1舌都被第三台机器通过IP欺骗和TCP会话窃川进行攻击。一些会话以FIN或RST 位终止，另一些会话被劫持，攻击者的数据流入到了这些会话的数据流中。 五、实验数据分析及分析步骤: TCP会话劫持数据分析： 官先川Ethereal打开telnetl_hijacked.cap文件。在分组1和分组2十可以看到 SYN和SYNACK标志。分组1是从IP地址为03的客户端发送到IP地 址为01服务器的。打开Ethernet可以看到客户端的MAC地址为 00:06:5b:d5:le:e7,服务器端的 MAC 地址为:00:00:c0:29:36:e8。在 SYNACK 分组中, (0C0000001000200030源地址和bl (0C 0000 0010 0020 0030 telnetl_hijacked.cap - Ethereal File Edit View Go Capture Analyze Statistics Help 齜觀齦叙巴Ox呦a因?令的5殳 ▼ Expression . Clear ApplySource4 0.0252430103DestinationTT^^^BVritTTTt6 0.2109358 0.211153010103030.2112300.21954701010303I id. uatdinProtocol InfoE￡2B ▼ Expression . Clear Apply Source 4 0.025243 01 03 Destination TT^^^BVritTTTt 6 0.210935 8 0.211153 01 01 03 03 0.211230 0.219547 01 01 03 03 I id. uatd in Protocol Info E￡2B TELNET TelHGt DdtH . ? ? TCP telner 1073 [ack] I let UdU d ? telnet Telnet DatH ? el net . internet Protocol ,Src: 03 I 〔192.168」 L.103J I, DSt： 192.168.] L.101 ；192.168. ±)Frame 1 (62 byres on wire, 62 bytes captured) di Ethernet II， Src: Dellcomp_d5:le:e7 (00:06:5b:d5:le:e7), Dst: westernD.29:36:e8 ffl Destination: westernD_29:36:e8 (00:00:c0:29:36:e8) ? Source: Del1Comp_d5:1g:g7 (00:06:5b:d5:le:e7) Type: IP (0x0800) version: 4 Header length: 20 bytes ? Differentiated Services Field: 0x00 (D5CP 0x00: Default; ECN： 0x00) Total Length: 48 nternet Protocol (ip). 20 bytes |P: 98125 D: 98125 M: 0 阁5-1分析分组1和分组2数据 这个TCP连接可用如下显示过滤器分离出来:(ip.addr eq 03 and ip.addr eq 01) and (tep.port eq 1073 and tep.port eq 23)的 TCP连接中总共冇 98125个分组。当使用一下修改过滤规则后只有9