计算机网络安全实验arp欺骗.docx

计算机网络安全实验arp欺骗.docx

《计算机网络安全实验arp欺骗.docx》由会员分享，可在线阅读，更多相关《计算机网络安全实验arp欺骗.docx（23页珍藏版）》请在冰点文库上搜索。

计算机网络安全实验arp欺骗

《计算机网络安全》实验报告

实验名称：

arp欺骗

提交报告时间：

年月日

一、

实验目的

程序实现ARP欺骗，对ARP欺骗进行进一步的认识并提出防范措施。

二、系统环境

主机1windows系统

主机2windows系统

主机3linux操作系统

三、网络环境

同一网段下的网络

四、实验步骤与实验结果

将主机A、C、E为一组，B、D、F为一组。

实验角色说明如下：

实验主机

实验角色

主机A、B

目标主机一/Windows

主机C、D

黑客主机/Linux

主机E、F

目标主机二/Windows

   首先使用“快照X”恢复Windows/Linux系统环境。

一．ARP欺骗攻击

   实验需求：

（1）本实验使用交换网络结构（参见附录B），组一、二和三间通过交换模块连接（主机A、C、E通过交换模块连接，主机B、D、F也通过交换模块连接）。

因此，正常情况下，主机C无法以嗅探方式监听到主机A与主机E间通信数据，同样主机D也无法监听到主机B与主机F间的通信数据。

（2）主机C要监听主机A和主机E间的通信数据；主机D要监听主机B与主机F间的通信数据。

   分析：

   黑客主机通过对目标主机进行ARP欺骗攻击，获取目标主机间的通信数据。

1．正常通信

图6-1-1 目标主机正常通信示意图

（1）目标主机二单击工具栏“UDP工具”按钮，启动UDP连接工具，创建2513/udp服务端。

主机1发送数据

（2）目标主机一启动UDP连接工具，将“目标机器”IP地址指定为目标主机二的地址，目标端口与服务器一致。

在“数据”文本框中输入任意内容，单击“发送”按钮，向服务端发数据。

服务端确定接收到数据。

主机2接收到数据

   （3）黑客主机单击工具栏“控制台”按钮，切换至/opt/ExpNIC/NetAD-Lab/Tools/ids目录（Snort目录），命令如下：

主机3

通过上述命令snort仅会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据（详细的snort使用命令见实验10｜练习一）。

   （4）目标主机一再次向目标主机二发送消息，黑客主机停止snort监听（Ctrl+C），观察snort监听结果，是否监听到目标主机间的通信数据。

为什么？

主机1向主机2发送消息

主机3不能监听到主机1发送到的数据

因为命令snort只会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据，并不能截获数据

（5）目标主机一查看ARP缓存表，确定与目标主机二的IP相映射的MAC地址是否正常。

此时主机1arp缓存正常

2．ARP攻击

图6-1-2 ARP攻击示意图

（1）黑客主机单击平台工具栏“控制台”按钮，进入实验目录，运行ARPattack程序攻击目标主机一，将其ARP缓存表中与目标主机二相映射的MAC地址更改为黑客主机的MAC地址，命令如下：

其中第一个参数为被攻击主机IP地址，第二个参数为被攻击主机MAC地址，第三个参数为与被攻击主机进行正常通信的主机IP地址。

   通过上述命令在目标主机一的ARP缓存表中，与目标主机二IP相绑定的MAC被更改为黑客主机MAC。

（2）黑客主机启动snort，同样监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据。

    （3）目标主机一继续向目标主机二发送数据，目标主机二是否接收到数据？

目标主机间的通信是否正常？

黑客主机停止snort监听，观察snort监听结果，是否监听到目标主机间的通信数据。

为什么？

主机2不能接收到数据，通信不正常

主机1发送数据“ee”

主机三监听到发送的数据“ee”

因为运行ARPattack程序攻击目标主机一，将其ARP缓存表中与目标主机二相映射的MAC地址更改为黑客主机的MAC地址，主机3已经截获了主机1发给主机2的数据；命令snort会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据。

（4）目标主机一查看ARP缓存表，确定与目标主机二的IP相映射的MAC地址是否正常。

Ip为主机2ip，但MAC已经改成黑客主机的MAC地址了

3．单向欺骗

    正如步骤2中所示的实验现象，在黑客实施了简单的ARP攻击后，目标主机二会接收不到目标主机一的消息，在接下来的时间里目标主机一、二很容易会对网络状况产生怀疑。

他们会去查看并修改ARP缓存表。

所以应尽量减少目标主机由于受到ARP攻击而表现出的异常，将黑客主机做为“中间人”，将目标主机一发送的数据转发给目标主机二，是一种很可行的方法。

图6-1-3 ARP单向欺骗示意图

（1）黑客主机开启路由功能，具体操作如下：

    在控制台中输入命令：

echo1>/proc/sys/net/ipv4/ip_forward

主机3

（2）黑客主机捕获来自目标主机一的数据包，并将其转发给目标主机二，具体操作如下（添加iptables防火墙转发规则）：

主机3

上述第一条规则允许将来自网络接口eth0、源IP为目标主机一IP、目的IP为目标主机二IP的数据包进行转发，目的网络接口为eth0；第二条规则允许接收针对第一条规则的应答数据包（iptables具体使用方法见实验9｜练习二）。

   （3）黑客主机启动snort，监听源地址为目标主机一IP、协议类型为UDP的数据包。

主机1发送数据“zailai”

   （4）目标主机一再次向目标主机二发送UDP数据，目标主机二是否接收到数据？

为什么？

主机2能接收到数据

因为黑客主机通过iptables规则允许将来自网络接口eth0、源IP为目标主机一IP、目的IP为目标主机二IP的数据包进行转发，实现了将黑客主机做为“中间人”，将目标主机一发送的数据转发给目标主机二

   （5）黑客主机停止snort监听，会观察到类似如图6-1-4所示信息。

图6-1-4 数据包转发

从上图所示信息中可以知道，由源主机（MAC地址是0:

C:

29:

21:

1A:

7）发往目的主机（MAC地址是0:

C:

29:

B7:

3C:

1）的数据包在网络传输时的路由过程是：

源主机->中间人（MAC地址是0:

C:

29:

F6:

44:

FB）->目标主机。

   （6）黑客主机查看ARP缓存表，确定与目标主机一的IP相映射的MAC地址；确定与目标主机二的IP相映射的MAC地址。

   （7）目标主机二查看ARP缓存表，确定与目标主机一的IP相映射的MAC地址。

   下面来测试目标主机二对一的数据通信情况。

   （8）黑客主机启动snort，仅监听协议类型为ICMP的网络数据包。

   （9）目标主机一对目标主机二进行ping操作，是否能够ping通？

请描述数据包的在网络中的传输路径。

主机1对主机2进行Ping操作，可以ping通，黑客可以监测到数据

由源主机（MAC地址是0:

C:

29:

21:

1A:

7）发往目的主机（MAC地址是0:

C:

29:

B7:

3C:

1）的数据包在网络传输时的路由过程是：

源主机->中间人（MAC地址是0:

C:

29:

F6:

44:

FB）->目标主机。

   （10）黑客主机停止snort监听，观察结果，是否监听到主机一给主机二发出的ICMP回显请求数据包？

是否监听到主机二给主机一发出的ICMP回显应答数据包？

为什么会出现此种现象？

能监听到主机一给主机二发出的ICMP回显请求数据包，不能监听到主机二给主机一发出的ICMP回显应答数据包。

目标主机二的ARP缓冲表中与目标主机一IP相映射的MAC地址仍然是目标主机一的MAC地址。

所以目标主机二会将ICMP回显应答数据包直接发送给目标主机一

4．完全欺骗

   黑客如何才能够做到监听目标主机一、二间的全部通信数据呢？

图6-1-5 ARP完全欺骗示意图

（1）目标主机一访问目标主机二的Web服务。

（2）黑客对目标主机二实施ARP攻击。

   （3）黑客主机启动snort，监听目标主机一、二间的通信数据。

命令如下：

   （4）目标主机一再次访问目标主机二的Web服务。

   （5）黑客主机观察snort监听结果。

此时主机2ping主机1

查看主机2的缓存表，发现主机1的ip对应的MAC已经变成主机3（黑客）的了

黑客主机3能够做到监听目标主机1、2间的全部通信数据

二．防范ARP欺骗

   当发现主机通信异常或通过网关不能够正常上网时，很可能是网关的IP被伪造。

可以使用下列手工方法防范ARP欺骗攻击。

1．清空ARP缓存表

   清空ARP缓存表的命令是   arp-d     ，之后对目标主机进行ping操作。

2．IP/MAC地址绑定

   实现IP/MAC地址绑定，实际上就是向ARP缓存表中添加静态（static）项目，这些项目不会被动态刷新，在机器运行过程中不会失效。

（1）Linux下绑定IP/MAC

   实验使用的Linux系统环境（FC5）中，arp命令提供了-f选项，完成的功能是将/etc/ethers文件中的IP/MAC地址对以静态方式添加到ARP缓存表中。

建立静态IP/MAC捆绑的方法如下：

   首先建立/etc/ethers文件（或其它任意可编辑文件），编辑ethers文件，写入正确的IP/MAC地址对应关系，格式如下：

新建ethers文件，并添加IP/MAC地址

然后让系统在启动后自动加载项目，具体操作：

在/etc/rc.d/rc.local最后添加新行arp-f，重启系统即可生效。

此时输入arp-e查看arp缓存表，静态项目的FlagsMask内容为CM，其中M表示当前项目永久有效。

（2）Windows下绑定IP/MAC

   Windows平台中虽然arp命令没有提供-f选项，但同样可以实现IP/MAC地址静态绑定，方法是首先清除ARP缓存表，然后将IPMAC地址对添加到缓存表中，最后实现开机后自动执行上述功能。

   请根据上述提示，结合arp命令，写出实现172.16.0.15200-0c-29-95-b5-e9地址对静态绑定的操作步骤，并添写下面的脚本文件。

经过如此操作后，进行ARP绑定后，在缓存表中进行主机IP地址和物理地址绑定。

不会再受黑客篡改IP地址和物理地址。

主机正确识别主机IP，达到安全识别并主机之间通信的目的。

3．ARP监听

   由于ARP欺骗是通过伪装其它IP地址向目标主机发送ARP应答报文实现的，所以通过ARP监听可以监视网络中的目标为本机的ARP应答数据包的流向。

   设置监听程序对目标地址为本机地址或子网广播地址或受限广播地址的ARP数据包进行监听。

   以本机IP地址为172.16.0.152，子网掩码为255.255.255.0为例，使用snort监听满足上述条件的数据包，命令如下：

监听到的数据包：