计算机网络安全实验——arp欺骗详解.doc

《计算机网络安全》实验报告 实验名称： arp欺骗 提交报告时间： 年 月 日 实验目的 程序实现ARP欺骗，对ARP欺骗进行进一步的认识并提出防范措施。 系统环境 主机1 windows系统 主机2 windows系统 主机3 linux操作系统 网络环境 同一网段下的网络 四、实验步骤与实验结果 将主机A、C、E为一组，B、D、F为一组。实验角色说明如下： 实验主机 实验角色 主机A、B 目标主机一/Windows 主机C、D 黑客主机/Linux 主机E、F 目标主机二/Windows ? ??? 首先使用“快照X”恢复Windows/Linux系统环境。一．ARP欺骗攻击??? 实验需求：??? （1）本实验使用交换网络结构（参见附录B），组一、二和三间通过交换模块连接（主机A、C、E通过交换模块连接，主机B、D、F也通过交换模块连接）。因此，正常情况下，主机C无法以嗅探方式监听到主机A与主机E间通信数据，同样主机D也无法监听到主机B与主机F间的通信数据。??? （2）主机C要监听主机A和主机E间的通信数据；主机D要监听主机B与主机F间的通信数据。??? 分析：??? 黑客主机通过对目标主机进行ARP欺骗攻击，获取目标主机间的通信数据。1．正常通信 图6-1-1? 目标主机正常通信示意图 ??? （1）目标主机二单击工具栏“UDP工具”按钮，启动UDP连接工具，创建2513/udp服务端。 主机1发送数据??? （2）目标主机一启动UDP连接工具，将“目标机器”IP地址指定为目标主机二的地址，目标端口与服务器一致。在“数据”文本框中输入任意内容，单击“发送”按钮，向服务端发数据。服务端确定接收到数据。 主机2接收到数据??? （3）黑客主机单击工具栏“控制台”按钮，切换至/opt/ExpNIC/NetAD-Lab/Tools/ids目录（Snort目录），命令如下： 主机3 通过上述命令snort仅会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据（详细的snort使用命令见实验10｜练习一）。??? （4）目标主机一再次向目标主机二发送消息，黑客主机停止snort监听（Ctrl+C），观察snort监听结果，是否监听到目标主机间的通信数据。为什么？ 主机1向主机2发送消息 主机3不能监听到主机1发送到的数据 因为命令snort只会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据并不能截获数据（5）目标主机一查看ARP缓存表，确定与目标主机二的IP相映射的MAC地址是否正常。 此时主机1arp缓存正常 2．ARP攻击 图6-1-2? ARP攻击示意图 ??? （1）黑客主机单击平台工具栏“控制台”按钮，进入实验目录，运行ARPattack程序攻击目标主机一，将其ARP缓存表中与目标主机二相映射的MAC地址更改为黑客主机的MAC地址，命令如下： 其中第一个参数为被攻击主机IP地址，第二个参数为被攻击主机MAC地址，第三个参数为与被攻击主机进行正常通信的主机IP地址。??? 通过上述命令在目标主机一的ARP缓存表中，与目标主机二IP相绑定的MAC被更改为黑客主机MAC。???? （2）黑客主机启动snort，同样监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据。???? （3）目标主机一继续向目标主机二发送数据，目标主机二是否接收到数据？目标主机间的通信是否正常？黑客主机停止snort监听，观察snort监听结果，是否监听到目标主机间的通信数据。为什么？ 主机1发送数据“ee” 主机三监听到发送的数据“ee” 因为运行ARPattack程序攻击目标主机一，将其ARP缓存表中与目标主机二相映射的MAC地址更改为黑客主机的MAC地址，主机3已经截获了主机1发给主机2的数据；命令snort会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据（4）目标主机一查看ARP缓存表，确定与目标主机二的IP相映射的MAC地址是否正常。 Ip为主机2ip，但MAC已经改成黑客主机的MAC地址了 3．单向欺骗???? 正如步骤2中所示的实验现象，在黑客实施了简单的ARP攻击后，目标主机二会接收不到目标主机一的消息，在接下来的时间里目标主机一、二很容易会对网络状况产生怀疑。他们会去查看并修改ARP缓存表。所以应尽量减少目标主机由于受到ARP攻击而表现出的异常，将黑客主机做为“中间人”，将目标主机一发送的数据转发给目标主机二，是一种很可行的方法。 图6-1-3? ARP单向欺骗示意图 （1）黑客主机开启路由功能，具体操作如下：????