信息安全實驗報告

信息安全基礎(chǔ)實驗報告姓名：田廷魁學(xué)號：201227920316班級：網(wǎng)工1201班ARP欺騙工具及原理分析（Sniffer網(wǎng)絡(luò)嗅探器）實驗?zāi)康暮鸵髮嶒災(zāi)康模?.熟悉ARP欺騙攻擊有哪些方法。

2.了解ARP欺騙防范工具的使用。

3.掌握ARP欺騙攻擊的實驗原理。實驗要求：下載相關(guān)工具和軟件包(ARP攻擊檢測工具，局域網(wǎng)終結(jié)者，網(wǎng)絡(luò)執(zhí)法官，ARPsniffer嗅探工具)。二．實驗環(huán)境（實驗所用的軟硬件）ARP攻擊檢測工具

局域網(wǎng)終結(jié)者

網(wǎng)絡(luò)執(zhí)法官

ARPsniffer嗅探工具三．實驗原理ARP（AddressResolutionProtocol）即地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。不管網(wǎng)絡(luò)層使用什么協(xié)議，在網(wǎng)絡(luò)鏈路上傳送數(shù)據(jù)幀時，最終還是必須使用硬件地址的。而每臺機(jī)器的MAC地址都是不一樣的，具有全球唯一性，因此可以作為一臺主機(jī)或網(wǎng)絡(luò)設(shè)備的標(biāo)識。目標(biāo)主機(jī)的MAC地址就是通過ARP協(xié)議獲得的。2、使用局域網(wǎng)終結(jié)者進(jìn)行ARP欺騙同樣的，實驗須先安裝winpcap.exe，安裝后運(yùn)行局域網(wǎng)終結(jié)者軟件（運(yùn)行該軟件須先退出某些安全防范軟件如：360安全衛(wèi)士，瑞星等。）步驟一：運(yùn)行軟件后，將目標(biāo)主機(jī)的IP地址加入欺騙列表，如下圖：步驟二：目標(biāo)主機(jī)被欺騙，顯示IP沖突，導(dǎo)致斷網(wǎng)，在命令提示符窗口無法ping通網(wǎng)關(guān)。Ping網(wǎng)關(guān)截圖步驟三：將目標(biāo)主機(jī)的IP從阻斷列表中移除后目標(biāo)主機(jī)便會恢復(fù)正常工作。此時再次在命令提示符窗口ping網(wǎng)關(guān)IP便能通過了?；謴?fù)之后：3、網(wǎng)絡(luò)執(zhí)法官的使用原理：使用網(wǎng)絡(luò)執(zhí)法官，將所在的局域網(wǎng)中的用戶列入管理列表，限制某用戶權(quán)限，使其無法上網(wǎng)。步驟一：雙擊安裝“網(wǎng)絡(luò)執(zhí)法官”，（安裝后提示的winpcap也須安裝），安裝后即可進(jìn)入網(wǎng)絡(luò)執(zhí)法官界面。步驟二：在右上角的“設(shè)置”選項中選擇“監(jiān)控范圍”，彈出監(jiān)控范圍設(shè)置窗口，然后對監(jiān)控范圍進(jìn)行設(shè)置：在“指定監(jiān)控范圍”欄中設(shè)置監(jiān)控IP段，然后單擊“添加/修改”按鈕即將所選IP段加入監(jiān)控列表，單擊確定。步驟三：接著進(jìn)入受監(jiān)控IP列表（這里沒有單獨(dú)截圖），在列表中右擊某IP網(wǎng)卡信息所在行，選擇“設(shè)定權(quán)限”，這里選擇“發(fā)現(xiàn)該用戶與網(wǎng)絡(luò)連接即進(jìn)行管理”，在該選項下面的選項中選擇管理方式，然后再單擊“確定”。步驟四：被設(shè)置權(quán)限主機(jī)無法上網(wǎng)，出現(xiàn)IP沖突提示，無法ping通網(wǎng)關(guān)。步驟五：關(guān)閉網(wǎng)絡(luò)執(zhí)法官或者將目標(biāo)IP從管理列表中移除，目標(biāo)主機(jī)即可恢復(fù)正常工作，可以ping通網(wǎng)關(guān)。ping網(wǎng)關(guān)截圖：五.實驗總結(jié)做實驗主要是要掌握其原理，就像看問題，我們要看本質(zhì)是一樣的，那么對于這次實驗，我們來思考這樣幾個問題。第一：實驗中的工具軟件是利用什么實現(xiàn)其功能的?arpshiffer會將網(wǎng)絡(luò)接口設(shè)置為混雜模式，該模式下工具可以監(jiān)聽到網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)幀，而不管數(shù)據(jù)幀的目的地是自己還是其他網(wǎng)絡(luò)接口的地址。嗅探器會對探測到的每一個數(shù)據(jù)幀產(chǎn)生硬件數(shù)據(jù)中斷，交由操作系統(tǒng)處理，這樣就實現(xiàn)了數(shù)據(jù)截獲。局域網(wǎng)終結(jié)者可以偽造任一臺主機(jī)的IP向局域網(wǎng)不停地發(fā)送ARP請求，同時自已的MAC也是偽造的，那么被偽造IP的主機(jī)便會不停地收到IP沖突提示，致使該主機(jī)無法上網(wǎng).

網(wǎng)絡(luò)執(zhí)法官是通過ARP欺騙發(fā)給某臺電腦有關(guān)假的網(wǎng)關(guān)IP地址所對應(yīng)的MAC地址，使其找不到網(wǎng)關(guān)真正的MAC地址。我們做信息安全實驗?zāi)康牟⒉皇窍窈诳鸵粯尤ス粝到y(tǒng)，而是通過我們的研究怎樣才能使我們的計算機(jī)網(wǎng)絡(luò)更安全那么我們該如何防范呢？

第二：如何防范此類攻擊?一、利用軟件，例如：①“AntiARPSniffer”（使用AntiARPSniffer可以防止利用ARP技術(shù)進(jìn)行數(shù)據(jù)包截取以及防止利用ARP技術(shù)發(fā)送地址沖突數(shù)據(jù)包，并能查找攻擊主機(jī)的IP及MAC地址）。②“NBTSCAN”（NBTSCAN可以取到PC的真實IP地址和MAC地址，利用它可以知道局域網(wǎng)內(nèi)每臺IP對應(yīng)的MAC地址③“網(wǎng)絡(luò)執(zhí)法官”（采用網(wǎng)絡(luò)底層協(xié)議，能穿透各客戶端防火墻對網(wǎng)絡(luò)中的每一臺主機(jī)、交換機(jī)等配有IP的網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控；采用MAC識別用戶，主要功能是依據(jù)管理員為各主機(jī)限定的權(quán)限，實時監(jiān)控整個局域網(wǎng)，并自動對非法用戶進(jìn)行管理，可將非法用戶與網(wǎng)絡(luò)中某些主機(jī)或整個網(wǎng)絡(luò)隔離，而且無論局域網(wǎng)中的主機(jī)運(yùn)行何種防火墻，都不能逃避監(jiān)控，也不會引發(fā)防火墻警告，提高了網(wǎng)絡(luò)安全性）二、定時檢查局域網(wǎng)病毒，對機(jī)器進(jìn)行病毒掃描，平時給系統(tǒng)安裝好補(bǔ)丁程序，最好是局域網(wǎng)內(nèi)每臺電腦保證有殺毒軟件（可升級）三、指導(dǎo)好網(wǎng)絡(luò)內(nèi)使用者不要隨便點(diǎn)擊打開QQ、MSN等聊天工具上發(fā)來的鏈接信息，不要隨便打開或運(yùn)行陌生、可疑文件和程序，如郵件中的陌生附件，外掛程序等。四、建議對局域網(wǎng)的每一臺電腦盡量作用固定IP，路由器不啟用DHCP，對給網(wǎng)內(nèi)的每一臺電腦編一個號，每一個號對應(yīng)一個唯一的IP，這樣有利于以后故障的查詢也方便管理。并利用“NBTSCAN”軟件查出每一IP對應(yīng)的MAC地址，建立一個“電腦編號-IP地址-MAC地址”一一對應(yīng)的數(shù)據(jù)庫。備注：本次實驗是參考