計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)驗(yàn)arp欺騙

1、*計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)驗(yàn)報(bào)告實(shí)驗(yàn)名稱(chēng)： arp 欺騙提交報(bào)告時(shí)間:n垂 王帆口4 :n垂 王帆口4 工孫Mtf t 14心 法.實(shí)驗(yàn)?zāi)康某绦驅(qū)崿F(xiàn)ARP欺騙，對(duì)ARP欺騙進(jìn)行進(jìn)一步的認(rèn)識(shí)并提出防范措施。系統(tǒng)環(huán)境tlf IbnRising fahableJ - + + . + + S MnUIW Fe Engirt. *.： Mu OMK Suff in “雀e!i List.,i .i 1i-vsr.HbtiLnbFtlhifrtMrl 4iF 如*E* iu*1 r r . S Iffl*IP 口r2. E 中 , , 1 17J.1&. 1 Subnet Hark B. H5,K?5 .T55

2、,ftDtf ALllt G占trU31r . . r . 3 &MCTm。除 Sef .*. iSae txpirc *.+ + .* +$2例i)聿且U 同?s23sM主機(jī)1 windows系統(tǒng) #針”二用 同。主機(jī)言空 R 0 口片下 H Q tWl 左 不。an?-河長(zhǎng)111 Q4出， 3鼻心17 Q-，除：Qd：。英聊*i-W同軸 |。|芋刑府#1 U41。TtillT。Sill TFMK Evf f lx14。.+ . x F CKnir + NfiUb知加16蓄tt的他匕目歸/匚耳圈耳郎13靖0副濡 心事前孰e.nrerr L*id. 嗔. + yiHjf Ftobj liriH

3、blvdI.i NoGnvwiFf r * 也“ Fl”c if 1 匚 INS luff i Ihs9criX： 1M t Flkyi.Ie.f I iMfhf*. ; B DHCP Enablnd.,*： : AutDrnf irurfit lint Enabl it Hddrste.-. littE Mlik 1hFAll 11 GaKrimjr . v . Mb 箏r . QMS IrruefSi B B A B Lq QLUnM. Lajifi-a IEtaplm-s =(SauziQE LiSMiFU-pp r W | Itfl h:loHlP Wltm m Mtwark Cunn

4、tctlon巴邛w *洋吸RI ;i丁 rtf I主機(jī)2 windows 系統(tǒng)1地址楮定為 依翅，向俳opt Ls：p5ilCk.佳常協(xié)議:三機(jī)停止：口1地址楮定為 依翅，向俳opt Ls：p5ilCk.佳常協(xié)議:三機(jī)停止：口1” I的：1相狀時(shí)的A， l eu LEiipSlC nrpj i fconfiuthO I. ink .neap: 11hemel IEiddr OCi OC: 29 : F6:11 :L.Hill add11: 12 】H1 丁 2段一民建5 “LT BROADCAST RUXNTG MLLTICAST MTC:1500 Metric;1FiX pfHkt l HO

5、 ，*rrnrF 口 rirnp廿 d* 凸 iivoirnn F也通過(guò)交換模塊連接)。因此，正常情況下，主機(jī) C無(wú)法以嗅探方式監(jiān)聽(tīng)到主機(jī)A與主機(jī)E間通信數(shù)據(jù)，同樣主機(jī)D也無(wú)法監(jiān)聽(tīng)到主機(jī) B與主機(jī)F間的通信數(shù)據(jù)。(2)主機(jī)C要監(jiān)聽(tīng)主機(jī) A和主機(jī)E間的通信數(shù)據(jù)； 主機(jī)D要監(jiān)聽(tīng)主機(jī) B與主機(jī)F間的通 信數(shù)據(jù)。分析:黑客主機(jī)通過(guò)對(duì)目標(biāo)主機(jī)進(jìn)行AR黑客主機(jī)通過(guò)對(duì)目標(biāo)主機(jī)進(jìn)行AR哪騙攻擊，獲取目標(biāo)主機(jī)間的通信數(shù)據(jù)。圖6-1-1目標(biāo)主機(jī)正常通信示意圖(1)目標(biāo)主機(jī)二單擊工具欄“ UDP工具”按鈕，啟動(dòng) UDP連接工具，創(chuàng)建 2513/udp服 務(wù)端。主機(jī)1主機(jī)1發(fā)送數(shù)據(jù)(2)目標(biāo)主機(jī)一啟動(dòng) UDP連接工具

6、，將“目標(biāo)機(jī)器” IP 地址指定為目標(biāo)主機(jī)二的地址， 目標(biāo)端口與服務(wù)器一致。在“數(shù)據(jù)”文本框中輸入任意內(nèi)容，單擊“發(fā)送”按鈕， 向服務(wù)端發(fā)數(shù)據(jù)。服務(wù)端確定接收到數(shù)據(jù)。主機(jī)2接收到數(shù)據(jù)（3）黑客主機(jī)單擊工具欄“控制臺(tái)”按鈕，切換至 /opt/ExpNIC/NetAD-Lab/Tools/ids目錄（Snort目錄），命令如下：主機(jī)3通過(guò)上述命令 snort僅會(huì)監(jiān)聽(tīng)源IP地址為目標(biāo)主機(jī)一的、傳輸協(xié)議類(lèi)型為 UDP的網(wǎng)絡(luò)數(shù)據(jù)（詳細(xì)的snort使用命令見(jiàn)實(shí)驗(yàn)10 |練習(xí)一）。（4）目標(biāo)主機(jī)一再次向目標(biāo)主機(jī)二發(fā)送消息，黑客主機(jī)停止 snort監(jiān)聽(tīng)（Ctrl+C ）,觀 察snort監(jiān)聽(tīng)結(jié)果，是否監(jiān)聽(tīng)到目

7、標(biāo)主機(jī)間的通信數(shù)據(jù)。為什么？ uifil JtXARtltomaK本也連簽最F：買(mǎi)小PnJQ理由? * i實(shí)Milkr Rtti?宜I- l瑞丁占由卜I;:根空全后 客M 目驚虬壽：| Lt? E5一譯目 Ml:W 0 x1 BBUF冊(cè)lx*lM 16 *9 oc -a453BB* -2 中一 -Bl州TI-3 注-MT78dviiraic Myn -arilic ilyiidirilcw,選人買(mǎi)窿日晶 運(yùn)行聞pk伏但程月攻擊1 力奉靠主機(jī)的皿總此 -wnTi，城國(guó)相以耳面上翼一3 旨植刎（二擰主機(jī)1向主機(jī)2發(fā)送消息主機(jī)3不能監(jiān)聽(tīng)到主機(jī)1發(fā)送到的數(shù)據(jù)因?yàn)槊顂nort只會(huì)監(jiān)聽(tīng)源IP地址為目標(biāo)主

8、機(jī)一的、傳輸協(xié)議類(lèi)型為UDP的網(wǎng)絡(luò)數(shù)據(jù)，并不能截獲數(shù)據(jù)(5)目標(biāo)主機(jī)一查看 ARP緩存表，確定與目標(biāo)主機(jī)二的IP相映射的MAC地址是否正常。kc?版權(quán)所有 1TK5-ZMB3 tiler*占o(jì)ft Cop*.i CtiimfliiiF -Nt JLdtbI 2t.2&.2GE.0； 173.16.B.153.i Ctntc met ftddrc 31n 172.1G.B.137 172b16.H.14G I ntc met ftddrc 31n 172.1G.B.137 172b16.H.14G T72.16.H-2b3Fhy lea 1 flildrc n F.-ac ST 3*品 2 b7

9、 “ hi 1TZ-HZ-Type dynaviic dymanic dunan-icrljMxuHlOkJljMxuHlOkJui焦客主機(jī)射擊干過(guò)r具欄.檢制古惶i卜世人實(shí)發(fā)目孟，運(yùn)存的mu*迂中攻舌目可主和一，將其akf嘴存市 申與目特主機(jī)二相勝就的映他!匕電E力/吞三機(jī)臚ILU：帆tb筋合如下t/AhJ aA之丸-/后M壬孤一破白卅走舞二O此時(shí)主機(jī)1arp緩存正常. ARP攻擊圖6-1-2ARP攻擊示意圖(1)黑客主機(jī)單擊平臺(tái)工具欄“控制臺(tái)”按鈕，進(jìn)入實(shí)驗(yàn)?zāi)夸?，運(yùn)行 ARPattack程序攻 擊目標(biāo)主機(jī)一，將其 ARP緩存表中與目標(biāo)主機(jī)二相映射的 MACM址更改為黑客主機(jī)的 MAC地址,

10、 命令如下：其中第一個(gè)參數(shù)為被攻擊主機(jī)IP地址，第二個(gè)參數(shù)為被攻擊主機(jī) MACM址，第三個(gè)參數(shù)為與被攻擊主機(jī)進(jìn)行正常通信的主機(jī)IP地址。其中第一個(gè)參數(shù)為被攻擊主機(jī)IP地址，第二個(gè)參數(shù)為被攻擊主機(jī) MACM址，第三個(gè)參數(shù)為與被攻擊主機(jī)進(jìn)行正常通信的主機(jī)IP地址。通過(guò)上述命令在目標(biāo)主機(jī)一的AR存表中，與目標(biāo)主機(jī)二IP相綁定的MACM更改為黑客主機(jī)MAC(2)黑客主機(jī)啟動(dòng)snort,同樣監(jiān)聽(tīng)源IP(2)黑客主機(jī)啟動(dòng)snortP的網(wǎng)絡(luò)數(shù)據(jù)(3)目標(biāo)主機(jī)一繼續(xù)向目標(biāo)主機(jī)二發(fā)送數(shù)據(jù)，目標(biāo)主機(jī)二是否接收到數(shù)據(jù)？目標(biāo)主機(jī)間的通信是否正常？黑客主機(jī)停止snort監(jiān)聽(tīng)，觀察snort監(jiān)聽(tīng)結(jié)果，是否監(jiān)聽(tīng)到目標(biāo)主機(jī)間

11、的通信數(shù)據(jù)。為什么？主機(jī)2不能接收到數(shù)據(jù)，通信不正常nF，0,1*的 -.皿*生什 二。江勝w堂X2初一 Q。二, J弱找T Rn /觸事 二。手攫由P * H招2M -I? *比11 叮* 支its充5J 5雨門(mén)環(huán)11一,和用.廣”,嫌、二# 若卡，WfTAR7*tl , .HTJ? *.( 為R*寶機(jī)的S址，*MFT* 和史* F掄It，/二十春WP市手司Rd*址.福三十專(zhuān)性為H用斤立印，耳色tT壬二ITQ羿漢吟用電k為至海ft E啊*】咄址為口標(biāo)主機(jī)Tt作防幅值為m%內(nèi)* ”，二焦必林昵，自H工科二是百號(hào)(jrpE怛柱主粗??？ 專(zhuān)占部斷到Uk主吼加旅店濁式。扁仆心；，眥t耳目曝主相二胡加

12、提射的LC地*是否正常在黑客士航丁尚顯稔昕或擊后，打桿主機(jī)二臺(tái)接曲不更目 怫聯(lián)Si產(chǎn)生督援，他n.古寵財(cái)評(píng)表，耐IJ*1 *1 3貨或科捺 fi a XM登里早州即n 山中北il曷困u緊，小工事新I，電中間人.離目餐生機(jī)一如件帶烝弼嶼?目驚，主機(jī)1發(fā)送數(shù)據(jù)“ ee”主機(jī)三監(jiān)聽(tīng)到發(fā)送的數(shù)據(jù)“ ee”因?yàn)檫\(yùn)行ARPattack程序攻擊目標(biāo)主機(jī)一，將其 ARP緩存表中與目標(biāo)主機(jī)二相映射的 MAC 地址更改為黑客主機(jī)的 MACM址，主機(jī)3已經(jīng)截獲了主機(jī) 1發(fā)給主機(jī)2的數(shù)據(jù)；命令snort會(huì)監(jiān) 聽(tīng)源IP地址為目標(biāo)主機(jī)一的、傳輸協(xié)議類(lèi)型為UDP的網(wǎng)絡(luò)數(shù)據(jù)。(4)目標(biāo)主機(jī)一查看 ARP緩存表，確定與目標(biāo)主機(jī)

13、二的IP相映射的MAC地址是否正常。)MF3 劃 司。Uhl* M J感睛事; 1 3主心二 H，砒SEP“ g VW u J比H 由。家匕 田3京與* Q旌-ti Q 珈，l L 的1 J4&*1。芭把* * H支-irli xi空 2 12 .1后.AlMAM?1 nto ran t Add a*a-oFhyaAddrsbits. is.am74-*1ri a.-S3d沙n wit172.1&.B.L4(!00Tt -29-h7-3 g T01dirtftnic收了足：皿：程序Im.ts.a.xsa2*51-32-0251 Tt-aIntcrfaGE ： 172.1&a3414?0X100

14、03ntn-inH t: HlridH-sxPhs leal lidid-F-eHGkh.第三個(gè)寺觸m.iG.0/7iBfl Se 29 f6 44 ebdjridiraic.13774-A6 .*.trTiiT3fliynAnlie172.lG.eA46M St 29 b73G 61AjjiAUkic!172/1 瓦.，招 7f H -32 2-5l -7fi滯 yin卜小上1J，TFFD ： xEkpH IOirji -a呂棄em4CF ； 17216 - It-j4T-RkIRMI1 nt o mettPhyu id 41 府 dd* 5仃M雁址是否在注。1 萬(wàn)15.71m-Bc -2W

15、6-44-ehdyfiJinjic172-1& M 13774-46-*B-*c-d*-S3dPAnic-M 0c 25 f6 44 ckdain anlcm.M.S.Hl“ f 1-J2-B2-51 -71rljjn JinlcFS?血事杯第J送的卻也行惠h ： gcyMIG.01lT EIp為主機(jī)2ip ,但MAC已經(jīng)改成黑客主機(jī)的MAC%址了.單向欺騙正如步驟2中所示的實(shí)驗(yàn)現(xiàn)象，在黑客實(shí)施了簡(jiǎn)單的ARP攻擊后，目標(biāo)主機(jī)二會(huì)接收不到目標(biāo)主機(jī)一的消息，在接下來(lái)的時(shí)間里目標(biāo)主機(jī)一、二很容易會(huì)對(duì)網(wǎng)絡(luò)狀況產(chǎn)生懷疑。他們會(huì)去查看并修改 ARP緩存表。所以應(yīng)盡量減少目標(biāo)主機(jī)由于受到ARP攻擊而表現(xiàn)出的

16、異常， 將黑客主機(jī)做為“中間人”，將目標(biāo)主機(jī)一發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)給目標(biāo)主機(jī)二，是一種很可行的方法。圖6-1-3ARP單向欺騙示意圖(1)黑客主機(jī)開(kāi)啟路由功能，具體操作如下:在控制臺(tái)中輸入命令：echo 1 /proc/sys/net/ipv4/ip_forwardLToowr即Nit upj* ecno iTTpnKTsys mn ipwm nvwubaI le mar;七效的苗敢roctVExpIC Brpjtf echo I /proc/Bys/nct/ipT-l/ip forFrrJfC mps 172. Id (X 119 d IT 16.0. 146 -j ACCEPTrootSEjpN

17、lC arpff iptable5 -t FDR4AHD -m Hate -state E5UBLIS1E1). RELl：lf j ： CCEFTLrnc 1. IC ai-pJpI r，- i - Jl- - I ri -主機(jī)3(2)黑客主機(jī)捕獲來(lái)自目標(biāo)主機(jī)一的數(shù)據(jù)包，并將其轉(zhuǎn)發(fā)給目標(biāo)主機(jī)二，具體操作如下(添加iptables 防火墻轉(zhuǎn)發(fā)規(guī)則)：itElpfh 1 C 4Jt J _ ?roottE xpMC nrj . srrnttBipNIC arp；C iptablos - for MR U otbO -o othO r 172B 1& a 119 -d 173. H.0.14 7

18、ACCEPTLronitExpNlC arp . Q. HQ j ACCEPTroof ElbKIC irpa Iptables -t FOKlAKD n 鼠lailf? - - slu l.c 八rAHLl SHliD. MELAtEU - j ALronitExpNlC arp . Q. HQ j ACCEPTn stale tatc ESTABLISHED, R EL UE D.rootUE ipX IC urp ,* ip t ubl cs I F0H I1H D CEPTn stale tatc ESTABLISHED, R EL UE D主機(jī)3上述第一條規(guī)則允許將來(lái)自網(wǎng)絡(luò)接口eth

19、0、源IP為目標(biāo)主機(jī)一 IP、目的IP為目標(biāo)主機(jī)二IP的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)，目的網(wǎng)絡(luò)接口為eth0 ;第二條規(guī)則允許接收針對(duì)第一條規(guī)則的應(yīng)答數(shù)據(jù)包（iptables 具體使用方法見(jiàn)實(shí)驗(yàn) 9 ）練習(xí)二）。（3）黑客主機(jī)啟動(dòng) snort ,監(jiān)聽(tīng)源地址為目標(biāo)主機(jī)一IP、協(xié)議類(lèi)型為 UDP的數(shù)據(jù)包。主機(jī)1發(fā)送數(shù)據(jù)“ zailaii j ； ih i j ； ih ： oxxrijfp;二FR D|ud i!m DlI:3ti6S IpLuh.k Oltr* S喑 a jn 3超 b，耳化ii。身份認(rèn)證 Q.附配“J - .WM Q -(4)目標(biāo)主機(jī)一再次向目標(biāo)主機(jī)二發(fā)送UDP據(jù)，目標(biāo)主機(jī)二是否接收到數(shù)據(jù)？

20、為什么?遽腔昏出拒itIR姿球擊網(wǎng)啤攻擊習(xí)一 ARF收就習(xí)二工匚左童定向網(wǎng)電后門(mén)特洛伊莖馬防火摘人畏喳調(diào)I VP算.苴理重門(mén)（5黑客主機(jī)停止箱。門(mén)監(jiān)聽(tīng)，會(huì)視察到夾似如明:】4所示儲(chǔ)息上 H ：16 0 C：29：2F 4E:出二行 13 LUP TTI-：d! TOS:O：9：253 TTL:61 I OS 0;1-4數(shù)墀包轉(zhuǎn)富:正：即 O.C:29:52:37:15j5+= +- +=+_ +tO；C；：29；32；14;D& *汪目的蕓1A tUC地址是0:C:252F:4E：g（6）黑客主機(jī)查看A1ES存視，璇定耳目如王機(jī)一的17型映泉的岫二蛆址二硼定與佳主機(jī)2能接收到數(shù)據(jù)因?yàn)楹诳椭鳈C(jī)通

21、過(guò)iptables 規(guī)則允許將來(lái)自網(wǎng)絡(luò)接口 eth0、源IP為目標(biāo)主機(jī)一 IP、目的IP為目標(biāo)主機(jī)二IP的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)，實(shí)現(xiàn)了將黑客主機(jī)做為“中間人”，將目標(biāo)主機(jī)一發(fā)送 的數(shù)據(jù)轉(zhuǎn)發(fā)給目標(biāo)主機(jī)二（5）黑客主機(jī)停止 snort監(jiān)聽(tīng)，會(huì)觀察到類(lèi)似如圖6-1-4所示信息。：1：1圖6-1-4數(shù)據(jù)包轉(zhuǎn)發(fā)從上圖所示信息中可以知道，由源主機(jī)（MAC地址是0:C:29:21:1A:7 ）發(fā)往目的主機(jī)（MAC地址是0:C:29:B7:3C:1）的數(shù)據(jù)包在網(wǎng)絡(luò)傳輸時(shí)的路由過(guò)程是：源主機(jī) - 中間人（MACM址是 0:C:29:F6:44:FB ）- 目標(biāo)主機(jī)。(6)黑客主機(jī)查看 ARP緩存表，確定與目標(biāo)主機(jī)一的

22、IP相映射的MACM址；確定與目標(biāo)主機(jī)二的IP相映射的MAC%址。I鎮(zhèn)沖牛L 漏箱L 有看1 的荒1 斤翁U 營(yíng)船11I鎮(zhèn)沖roolliipMC nrpj t aiip :j? C1T2. lfl+ 0. J46) al OQ:OC:29:B7:3C:O1 e-therl on atUCServer,NelLaJb (172. Iti. 0. 253) at 28:32:02:51:78 ether on ethO? (172.Ifl. D. 149)al OOiOC:29:21:1A:O7 ether on tMhOi colLitpSl C sii-pj IF |(7)目標(biāo)主機(jī)二查看 AR

23、P緩存表，確定與目標(biāo)主機(jī)一的IP相映射的MAC%址D - xpNl Ourp a.1nterf ace 172.1&.H.14R172.L&.0.137172.1&.0.149172.L&.U.2S35口卬?Address 74-46 a0 *c-dfl 53 00-0c 29 Zl-1* 0? 2B-S1-32-02-S1-78Type djndFiLc dnanlc dnnLcLM 3.下兩東汨恨同椽*帆二同一的明根情信椿猊GF面來(lái)測(cè)試目標(biāo)主機(jī)二對(duì)一的數(shù)據(jù)通信情況。(8)黑客主機(jī)啟動(dòng) snort ,僅監(jiān)聽(tīng)協(xié)議類(lèi)型為ICMP的網(wǎng)絡(luò)數(shù)據(jù)包.roDtExpNIC ids.sLroDtfExptC

24、 ids 署roDtExplC idsff . /snort -dev src 瓦 H? and 叩Runn i ng in pucfert dunp 1出口Log dj rctciy - Y3T 1 忸1印orlIhitiaHzlna Network Interface ethO11 L I Lil 2 Zl Ll； SlLUJ LInltiaHzina Output Plugins!DaBodLiH Ethernet interface ethOIn i t illiZHtlcci CoN(jlet-* Sunrtl *-Vers i ira 2 C. 0 (Build 72)Hy Mar

25、tin Roesfh (roesrh1 J KE-L-7UDrEK其就0較錢(qián)i工監(jiān)3實(shí)驗(yàn)J實(shí)驗(yàn)口實(shí)驗(yàn)J實(shí)驗(yàn)TVi7Ttr7B77jJZH 1 J KE-L-7UDrEKpNl Oping 172.16.fl.146tPinglny 172.16.0,14h with 32 岫吐室 ofJlrpl y Hp p L V Ke P1 V Ttepl vfpQ Ri f rnn f i*on fen172,16.0,1： bytes-32172.16.M.l： hytex3346； hytes=3217Z=150*14C； bytee_32Ping statistics for 172.16.0,1

26、46;Jackets： Sent = 4, Received =。yntn i ct i nn -1 rp C i ne1nn t inelns t inc,RpiiroxiMte k-ound trip tictes in nil Li-fecDnd$ i H j-D iun - Bns , ftex imuni - Ing , ftvBrAife - BmaI.7買(mǎi)胎】1 VP血？ til -會(huì)出次也沖虱靠?主機(jī)1對(duì)主機(jī)2進(jìn)行Ping操作，可以ping通，黑客可以監(jiān)測(cè)到數(shù)據(jù)文件口編輯查看黑制】標(biāo)釜L 帝助四71 72 73 7J 75 76 77 61 62 6J 61 H3 66 6?

27、tiS 69 qi 5； lutirnbcrielgh i=+= += +=+=+=-= +二 + 二 4- -+ +=+= += 4-= 4二 /= Hk=： += -+1= +=. + =-+= +=+=+= 4-= +=-+ -+= += +=+=+= += += +I：06/12-18;26;38.整20；匚；加/ 1； IA：7 -呷。汕口0 1 用閶)L：二尸，.Hr -r二 Im 山 Un h.即川-3 15ml3卜1 :.- Ji H/rrl .-rni.rjmorft CndorO ):512 Spq:37fi ECHD REPLY& &2 03 64 65 66 67 63

28、 69 dA dH 6。劭 ri 6F 70 abedefshijklniiop71 72 73 74 75 76 77 61 02 33 &1 比 60 67 陌 69 qrshi v jbederghi= +=+=+=+s+s； +s+=+=+=+w+=+=+=+=+=+=-fe +=：+=,+=+=1-=-+= +=+=+=+= +=+=+= +=+=+s+-fs+s +0S/12- 18:26:38, 3248CD 0:C:29;F6: I l:EB 口:ALacya:山口 en:0 xlAL7I. 16. 0. 9172. 10.TQS:0 x0 ID: 571-IpLen: 20

29、Drnl.ei: 130Typo: ft Codo:0 ID: 512 Scq: 537S ECIID REPLY(31 62 情例6566 6T H8 的 dA 0C方D6E t5F 70abedefghijklnnop71 72 73 74737C T7 61 Z a364 mdo07 第 63qrstuvrabed?Tehi由源主機(jī)（MACM址是0:C:29:21:1A:7）發(fā)往目的主機(jī)（MAC地址是0:C:29:B7:3C:1 ）的數(shù)據(jù)包在網(wǎng)絡(luò)傳輸時(shí)的路由過(guò)程是：源主機(jī)- 中間人（MACM址是0:C:29:F6:44:FB ）-目標(biāo)主機(jī)。（10）黑客主機(jī)停止 snort監(jiān)聽(tīng)，觀察結(jié)果，

30、是否監(jiān)聽(tīng)到主機(jī)一給主機(jī)二發(fā)出的ICMP回顯請(qǐng)求數(shù)據(jù)包？是否監(jiān)聽(tīng)到主機(jī)二給主機(jī)一發(fā)出的ICMP回顯應(yīng)答數(shù)據(jù)包？為什么會(huì)出現(xiàn)此種現(xiàn)象？華Snort!yersion 2.0.0 (Build 72)By Mart in Roesch (ropschOsourcrrirc, com, wvr sncrt. nrp) 0fi/J2-U：35:40, igri2 0：匚 M二2】：IMf -type:0j(8D0 1en:0 xl2J72. w,o, us： 1078 - TTzHtLTToTo TTrRrTnwp：bjh puen：zo 口皿4： 5Z DF*樹(shù)*二* SOq： Ox68rD56B0 A

31、ck： 0 x0 Ain: OtIFFF TcpLon; 32ICP Options (ri) = MSS: 1460 XOP *S： 2 KOP NOP SarkCK=+=+= += =+=+= += 4= 4=+=+= += Ite - +=+= 4=+=4= += += 4=+=+=t=4= +=-+=4=4=4= += 4=4=4-06/12-18:35:4O+ 11MO2 04心96- - 0:29所3口1 typa:。都00 lcn:Dxl217)用必 J49: 107N - l?ntxH*TTU!J IIPpl.en:2Q Dsnten:52【中*+*+S* Seq: OxGBl

32、 D56BB Ack: OxD Ain: Oxl KH TepLeti: J2TCP gliuns ( MSS: 1460 ?？?2 NOP NOP SackOKp +二 +- 4= + +- += +: 4=-+十二 十 二 4二-fc += + = + = +-f -+ + +=4二+二 +=+ + * +二 += +二 4二 十二 4二 十二+1二41二 +能監(jiān)聽(tīng)到主機(jī)一給主機(jī)二發(fā)出的ICMP回顯請(qǐng)求數(shù)據(jù)包，不能監(jiān)聽(tīng)到主機(jī)二給主機(jī)一發(fā)出的ICMP回顯應(yīng)答數(shù)據(jù)包。目標(biāo)主機(jī)二的 ARP緩沖表中與目標(biāo)主機(jī)一IP相映射的MACM址仍然是目標(biāo)主機(jī)一的 MACM址。所以目標(biāo)主機(jī)二會(huì)將ICMP回顯應(yīng)答

33、數(shù)據(jù)包直接發(fā)送給目標(biāo)主機(jī)一、,工inE，E dnmicSExpNlOiirpXExpHJOarp平 XExpmC,dynamic d ynamicdfianicFhyfiicl Address 7446-0-ac-da-5J 2H-51-32-02-S1WPhyaical AddressIntepf ace 12.16 .、,工inE，E dnmicSExpNlOiirpXExpHJOarp平 XExpmC,dynamic d ynamicdfianicFhyfiicl Address 7446-0-ac-da-5J 2H-51-32-02-S1WPhyaical AddressIntepf

34、ace 12.16 .1 ntpnet fliddi*車(chē)*Interface s 172.16. Internet Address 172,16.0.137Interface： 172.16. Internet Address 172.16,0,1378x1fia3Ph vs icdil Address 74-46-A0-ac=da_53 80-0C-29-21-la-07 2B-51-32-02-51-76dyna廊 it dynam ic d 叩mmic172,16172,164.完全欺騙黑客如何才能夠做到監(jiān)聽(tīng)目標(biāo)主機(jī)一、二間的全部通信數(shù)據(jù)呢?圖6-1-5 ARP完全欺騙示意圖(1)目標(biāo)主

35、機(jī)一訪問(wèn)目標(biāo)主機(jī)二的Web服務(wù)。(2)黑客對(duì)目標(biāo)主機(jī)二實(shí)施 ARP攻擊。V ll : . i IXp!i .1 L；I i H - r文件k1城第U占旨L終端l1標(biāo)簽b1幫助LIroalOExpNIC arp?F1R?attack 172, Iri, (L Iti OO-0c-29-h7-3 c-0 LZ2. l&Q H9HT1 苜iM、k：rooiPpMC nr口 1 號(hào),RRPaAUwk ki p a I ltk!rDotEspNIC urp耳.ARPa.ltAck 九 口 a t t；ick!raottExpNIC irpl# . /AEtPattack n p d Lidtk：root

36、EcpXIC arp J fl . ARtal tack jrp a i tjirk!rr.nTfjihypKI C arp . .KPat I FifkLrp aurk!.ri idEpMC u田耳 * flRP.i 11, iick u p a t lutk!rootOE3cpNIC arp , Mt*u L tack u p h ”，(血!iC arpl fl1?Z. L6.fi. 140 U0-De Z9-b7-0c-Ol ”I I出 0. H9172. US, 0. 116 DO Oc 29 b7 -3c 01 L73. 16.0. 119L72. lfl.0, Hrt OC-Oc

37、2S-b7-J1 01 172. 1(5. Ol 1+9172, 16. 0.146 OO-Oc-20-b7-3c-Ol L72. Ifl.G. U9172. Iti, 0P 149 00-29-21-I a-07 172, I6.U Lid172. 10.0. 119 00 Qi 29 21 lu 07 Lr2- 16. 0. lid17Z 16l J W (JO-Oc 29 21-1st 07 172. 16.0. Uri(3)黑客主機(jī)啟動(dòng) snort ,監(jiān)聽(tīng)目標(biāo)主機(jī)一、二間的通信數(shù)據(jù)。命令如下:(4)目標(biāo)主機(jī)一再次訪問(wèn)目標(biāo)主機(jī)二的Web服務(wù)(5)黑客主機(jī)觀察 snort監(jiān)聽(tīng)結(jié)果。JrZ.

38、 Jd Q ； JU ItiTH28 Il 0：C r2Dr2l： IA ：7 -： 04-% Fd ：M ：R two; 0 x30 l 的 C172.10. Oi 140:80 TCP TTL: 135 Tos HxO ID 后41槨產(chǎn)匚 7口 lgdU?nJO DF”+工y “r 01 面 口二1口 I -n 2ild： lfi;35 iD J51ld 0 C 29 Fd. 44 E1 0 口普:H7 JC; 1 I H.u. nsfioa 1 喇i;UxJTi7 is. aP J9： 107B nz. ifi, a ”i0二so tcf nt:UT TW D:MI IhLm:30 Df

39、riLm； io urSsq: OkMFINMOJ Aeki ajtl7PC0BI k 4ln: OxFAfO TcuLn! 30W.42-ia：39:lB. 108813 AIP vhcHkai 172. Il11sMp + ,*=* 4* ：4-*4191fl.T Fkl tell 17X JCVlN/L2-IB：30HO. IZr L!4：21： |A172. 10.0. 219 1078 ：. 172. M.O. llE*pMIC日47g*9f ran frfli* FroR fi-anf ran f ron FtMJR172.16172.16172,1617216TTL=1 淄 TT

40、L=12B TTLM28 TTL-128TTL-127TTL-127TIL-127TTL-127NplyWeply 辰ply Replytins1 ms tt iRfrlE t ii*elrt5t Irc lms t ine lmn t incIm口Weply Rcplr heplyhytf r=32 hytes =3Z hytco-32 % Last 0 nilli-ELffcondi： * Avciulf .U .149 Packets： Sent = 4, Keceied vx Lnatt raurtd trip t ities in,IOI XI查看主機(jī)2的緩存表，發(fā)現(xiàn)主機(jī) 1的ip對(duì)

41、應(yīng)的MAC已經(jīng)變成主機(jī) 3 （黑客）的了黑客主機(jī)3能夠做到監(jiān)聽(tīng)目標(biāo)主機(jī)1、2間的全部通信數(shù)據(jù)二.防范ARP欺騙當(dāng)發(fā)現(xiàn)主機(jī)通信異常或通過(guò)網(wǎng)關(guān)不能夠正常上網(wǎng)時(shí)，很可能是網(wǎng)關(guān)的IP被偽造?？梢允褂孟铝惺止し椒ǚ婪禔RP欺騙攻擊。清空ARP緩存表清空ARPHI存表的命令是 arp -d,之后對(duì)目標(biāo)主機(jī)進(jìn)行ping操作。IP/MAC地址綁定實(shí)現(xiàn)IP/MAC地址綁定，實(shí)際上就是向 AR嚓存表中添加靜態(tài)(static) 項(xiàng)目，這些項(xiàng)目不 會(huì)被動(dòng)態(tài)刷新，在機(jī)器運(yùn)行過(guò)程中不會(huì)失效。Linux 下綁定 IP/MAC實(shí)驗(yàn)使用的Linux系統(tǒng)環(huán)境(FC5)中，arp命令提供了 -f選項(xiàng)，完成的功能是將 /etc/ e

42、thers文件中的IP/MAC地址對(duì)以靜態(tài)方式添加到 ARP緩存表中。建立靜態(tài) IP/MAC捆綁的方法 如下：首先建立/etc/ethers文件(或其它任意可編輯文件)，編輯 ethers文件，寫(xiě)入正確的IP/MAC地址對(duì)應(yīng)關(guān)系，格式如下:新建ethers文件，并添加IP/MAC地址/etc/rc.d/rc.local最后添加新行 arp/etc/rc.d/rc.local最后添加新行 arp-f ,重啟系統(tǒng)即可生效此時(shí)輸入arp -e 查看arp緩存表，靜態(tài)項(xiàng)目的Flags Mask內(nèi)容為CM其中M表示當(dāng)前項(xiàng)目永久有效。Windows 下綁定 IP/MACWindows平臺(tái)中雖然arp命令沒(méi)

43、有提供-f選項(xiàng)，但同樣可以實(shí)現(xiàn)IP/MAC地址靜態(tài)綁定,方法是首先清除 ARP緩存表，然后將IP MAC地址對(duì)添加到緩存表中，最后實(shí)現(xiàn)開(kāi)機(jī)后自動(dòng)執(zhí)行 上述功能。，rTnnrn.qjx1 置 L irit -Jlad t intil gt工-j2 t ira lj? I iiii，D：sEhHMIGntrrf cr l iTZ.lS ，rTnnrn.qjx1 置 L irit -Jlad t intil gt工-j2 t ira lj? I iiii，D：sEhHMIGntrrf cr l iTZ.lS S HT WwlfliWiJ71朔扉f”加曲iJivT3 leal AddjR xxIl k

44、I;h ma I. AirvxE173.1A. B.1T7! I xEhimI Orv -*-ExmMICJAKu 鼻 17Z.1IM Ut IT-W-l. Mi國(guó)17,1,U 14f 吊蚪1IwtHiviHl n=m-PhfHi Ik-aI 7dw串 *lTZ.lfa.B-13774*5=A-4T3：AfeflMbLcJ|舞版,事酬如沛-8亨-M-tHJim Milti dLyiG-p .FhiV 9fct ut iei Fn，粒.UUJ4ME6BC -% tefrvl*Ml - *F Lci1 - 4 KHm 1 口 ,MPW寓上eupJ trip tinvs- in 111 一置xure

45、4aIbF，事 kLAuA iNtn But r)JUM翰mliinP-IM1海，|他，* 14VI口.Nfi IF Em上工 WuiJ,與看好工2E 與iUFi，工；三河廣田千1 pit中I IL-11 tjLi3a TIL-121 TTLTR.4 jni w-E,Olt_ltt T串一福士址加心帙建虺聽(tīng)行白，| , Ml ?.%；; 1%，3 座電“小1曲升曷星JJtSRtF肘it iWT-* nM H 曲 nnaitm | 脈m cEpgur |匚 ye*1 同.Km | 比f(wàn)trw1- J 腎上 * m請(qǐng)根據(jù)上述提示，結(jié)合arp命令，寫(xiě)出實(shí)現(xiàn)52 00-0c-29-95-b5-e9地址

46、對(duì)靜態(tài)綁定的操作步驟，并添寫(xiě)下面的腳本文件文件械安 棺或置，世)幫助出屈Wdtici in 11-文件械安 棺或置，世)幫助出告Mp -S 1/2.Ifc. B_1H3L眥一占也。叱-與電一!也Hl*Interface ； 172 *16.6.1670 x10005Internet AddressFhysical flddr-cssType0774-46-a0-a8-ll?8Aynamir172-16-0-183(J0-0C-29 ft 6 _c 4-destatic172.16.B.25328-51-32-02-51-78dynamicC： XDocument nd Sett ings Jl

47、dm in 1st ra.toi*經(jīng)過(guò)如此操作后，進(jìn)行 ARP綁定后，在緩存表中進(jìn)行主機(jī)IP地址和物理地址綁定。不會(huì)再受黑客篡改IP地址和物理地址。主機(jī)正確識(shí)別主機(jī)IP,達(dá)到安全識(shí)別并主機(jī)之間通信的目的。ARP監(jiān)聽(tīng)由于AR哪騙是通過(guò)偽裝其它IP地址向目標(biāo)主機(jī)發(fā)送 ARP應(yīng)答報(bào)文實(shí)現(xiàn)的，所以通過(guò) ARP監(jiān)聽(tīng)可以監(jiān)視網(wǎng)絡(luò)中的目標(biāo)為本機(jī)的ARP應(yīng)答數(shù)據(jù)包的流向。設(shè)置監(jiān)聽(tīng)程序?qū)δ繕?biāo)地址為本機(jī)地址或子網(wǎng)廣播地址或受限廣播地址的ARP數(shù)據(jù)包進(jìn)行監(jiān)聽(tīng)。以本機(jī)IP地址為52 ,子網(wǎng)掩碼為 為例，使用snort監(jiān)聽(tīng)滿 足上述條件的數(shù)據(jù)包，命令如下：tdh 4 /艮 3cp 11 口 d k:工 pdr - f 卜訃 I k- hl 1 Jh,總卜，| nnJ M i 0 第(rltEijiNlC ids V ./mart -dn ar|i nd *dft LT2. 1& H 1 ar dwt 172i 10.0. 2&5 or i 51 255. 255. 255, 255KunFinff LP packet dunp m