《計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)（第二版）》課件 （秦?zé)觯┑?章 局域網(wǎng)安全技術(shù)

第5章局域網(wǎng)安全技術(shù)任務(wù)5.1搭建局域網(wǎng)安全基本環(huán)境

A公司通過VPN技術(shù)實(shí)現(xiàn)了總公司和各分公司之間的網(wǎng)絡(luò)的安全互連，也使在家辦工的員工以和出差的員工可以安全的連接到公司內(nèi)網(wǎng)。防火墻技術(shù)則將公司內(nèi)部網(wǎng)絡(luò)的可信任區(qū)域與公司外部網(wǎng)絡(luò)的不可信任區(qū)域隔離開來，通過安全策略有效的阻止了黑客從外網(wǎng)的入侵。然而，小張發(fā)現(xiàn)，A公司內(nèi)部的局域網(wǎng)仍然有攻擊存在。攻擊者可能就是內(nèi)部人員，也可能是內(nèi)部的某臺(tái)電腦中了木馬病毒，還可能是黑客利用某種漏洞繞過了防火墻的防護(hù)，控制了內(nèi)網(wǎng)的某臺(tái)主機(jī)，并以此為跳板，對內(nèi)部實(shí)施了攻擊。因此，進(jìn)一步加強(qiáng)局域網(wǎng)內(nèi)部的安全是很必要的。任務(wù)5.1搭建局域網(wǎng)安全基本環(huán)境1.打開VMwareWorkstaton，分別啟動(dòng)EVE-NG、三臺(tái)Windowsserver（用作DHCP服務(wù)器、惡意DHCP服務(wù)器、客戶機(jī)）和KaliLinux（攻擊者）。其中，EVE-NG上的虛擬網(wǎng)卡需要5塊，按順序分別是Vmnet8、Vmnet1、Vmnet2、Vmnet3、Vmnet4，第一塊網(wǎng)卡Vmnet8用于供瀏覽器連接打開EVE平臺(tái)，也用于連接Internet上網(wǎng)，其它四塊網(wǎng)卡用于連接windows或Linux主機(jī)。2.DHCP服務(wù)器連接到Vmnet1、惡意DHCP服務(wù)器連接到Vmnet2、客戶機(jī)連接到Vmnet3、攻擊者KaliLinux連接到Vmnet4。5.1.1基本配置3.圖5-1-1提示，輸入00，可連接到EVE-NG。4.打開firefox瀏覽器，輸入EVE-NG第一塊網(wǎng)卡Vmnet8的IP地址00，連接到EVE-NG。5.新建EVE項(xiàng)目，添加兩個(gè)Node，類型選CiscovIOSL2交換機(jī)和CiscovIOS路由器；添加5個(gè)NETWORK，Type分別選為Cloud0、Cloud1、Cloud2、Cloud3、Cloud4，對應(yīng)于VMware虛擬機(jī)的網(wǎng)卡分別是Vmnet8（NAT模式）、Vmnet1、Vmnet2、Vmnet3、Vmnet4，分別連接到NAT模式的VMnet8、DHCP服務(wù)器、惡意DHCP服務(wù)器、客戶機(jī)和攻擊者的KaliLinux。圖5-1-1EVE-NG啟動(dòng)后的界面6.按圖5-1-2的規(guī)劃，完成拓?fù)涞倪B接。圖5-1-2實(shí)驗(yàn)拓?fù)?.DHCP服務(wù)器的IP地址設(shè)置為0、惡意DHCP服務(wù)器的IP地址設(shè)置為0、客戶機(jī)的IP地址設(shè)置為自動(dòng)獲取、攻擊者KaliLinux的IP地址設(shè)置為1，它們的網(wǎng)關(guān)為54。8.配置路由器R1(config)#intg0/0R1(config-if)#ipadd54R1(config-if)#noshuR1(config)#intg0/1R1(config-if)#ipadd0R1(config-if)#noshuR1(config)#iproute一、規(guī)劃MAC地址設(shè)備出廠后，其MAC地址是固定不變的，但為了便于實(shí)驗(yàn)測試，我們將各虛擬機(jī)和路由器接口的MAC地址重新規(guī)劃如下：1.DHCP服務(wù)器的MAC地址：1010.1010.1010；2.惡意DHCP服務(wù)器的MAC地址：2020.2020.2020；3.客戶機(jī)的MAC地址：3030.3030.30304.KaliLinux的MAC地址：6060.6060.60605.路由器Gi0/0接口的MAC地址：8080.8080.80805.1.2規(guī)劃MAC地址二、設(shè)置兩臺(tái)DHCP服務(wù)器和一臺(tái)客戶機(jī)的MAC地址DHCP服務(wù)器和客戶機(jī)選用win2003，若真機(jī)內(nèi)存足夠大，也可選用win2008操作系統(tǒng)。為win2003設(shè)置MAC地址的方法如下：1.如圖5-1-3所示，在“開始”菜單的“管理工具”中，打開“計(jì)算機(jī)管理”。圖5-1-3計(jì)算機(jī)管理2.如圖5-1-4所示，在左側(cè)點(diǎn)擊“設(shè)備管理器”，在右側(cè)找到“網(wǎng)絡(luò)適配器”下的具體網(wǎng)卡，在其上點(diǎn)擊右鍵，選擇“屬性”。圖5-1-4網(wǎng)絡(luò)適配器屬性3.如圖5-1-5所示，選擇“高級(jí)”選項(xiàng)卡，在“屬性”欄中，點(diǎn)擊“LocallyAdministeredAddress”，在⑥的位置為其值輸入規(guī)劃的MAC地址，請注意是連續(xù)的12位數(shù)字，中間沒有任何連接符號(hào)隔開，如DHCP服務(wù)器的MAC地址設(shè)置為：101010101010。圖5-1-5修改MAC地址4.查看修改好的MAC地址C:\DocumentsandSettings\Administrator>ipconfig/allEthernetadapter本地連接:Connection-specificDNSSuffix.:Description...........:Intel(R)PRO/1000MTNetworkConnectionPhysicalAddress.........:10-10-10-10-10-10DHCPEnabled...........:NoIPAddress............:0SubnetMask...........:DefaultGateway.........:54DNSServers...........:8二、設(shè)置kaliLinux的MAC地址KailLinux是基于Debian的操作系統(tǒng)，網(wǎng)絡(luò)接口的配置位于/etc/network/interfaces文件中。1．用vim打開網(wǎng)絡(luò)接口配置文件：#vim/etc/network/interfaces2．在文件中添加一行腳本，設(shè)置新的MAC地址：pre-upifconfigeth0hwether60:60:60:60:60:60然后按ESC鍵并輸入:wq命令，存盤退出；3．重啟網(wǎng)卡，使新設(shè)置的MAC地址生效：root@kali:~#/etc/init.d/networkingrestart4.查看修改好的MAC地址：root@kali:~#ifconfigeth0:flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>mtu1500inet1netmaskbroadcast55inet6fe80::6260:60ff:fe60:6060prefixlen64scopeid0x20<link>ether60:60:60:60:60:60txqueuelen1000(Ethernet)RXpackets432674bytes497743648(474.6MiB)RXerrors0dropped24986overruns0frame0TXpackets6189093bytes371862889(354.6MiB)TXerrors0dropped0overruns0carrier0collisions0三、設(shè)置路由器的MAC地址1．為路由器的g0/0接口設(shè)置新的MAC地址。R1(config)#intg0/0R1(config-if)#mac-address8080.8080.80802．查看修改好的MAC地址。R1#showintg0/0GigabitEthernet0/0isup,lineprotocolisupHardwareisiGbE,addressis8080.8080.8080(bia5000.0002.0000)Internetaddressis54/24MTU1500bytes,BW1000000Kbit/sec,DLY10usec5.1.3配置DHCP服務(wù)及NAT一、配置DHCP服務(wù)器1.如圖5-1-6所示，在DHCP服務(wù)器上，打開DHCP服務(wù)，將DHCP服務(wù)器的作用域設(shè)為0-0。2.如圖5-1-7所示，在DHCP服務(wù)器的作用域選項(xiàng)中，設(shè)置003路由器指向54，設(shè)置006DNS服務(wù)器指向14。圖5-1-6DHCP服務(wù)圖5-1-7DCHP作用域選項(xiàng)

二、測試客戶機(jī)

為了避免真機(jī)上VMwareDHCP服務(wù)的干擾，首先要將真機(jī)上的VMwareDHCPService停用。方法是在真機(jī)上，右擊桌面上的“此電腦”圖標(biāo)，選擇“管理”選項(xiàng)，展開“服務(wù)和應(yīng)用程序”中的“服務(wù)”選項(xiàng)，找到“VMwareDHCPService”項(xiàng)，將其停用。然后，再測試客戶機(jī)能否正常分配到IP地址和網(wǎng)關(guān)，方法如下：

1.如圖5-1-8所示，在win3客戶機(jī)上，設(shè)置自動(dòng)獲取IP地址及DNS服務(wù)器地址。圖5-1-8win3客戶機(jī)自動(dòng)獲取IP地址2.如圖5-1-9所示，查看IP地址獲取結(jié)果。圖5-1-9查看IP地址獲取結(jié)果三、將VMnet8的NAT網(wǎng)關(guān)地址設(shè)置為。1.如圖5-1-10所示，點(diǎn)擊VMwarer的菜單項(xiàng)“編輯”，選擇“虛擬網(wǎng)絡(luò)編輯器”。圖5-1-10打開虛擬網(wǎng)絡(luò)編輯器2.在彈出的“虛擬網(wǎng)絡(luò)編輯器”中，選中“VMnet8”，將子網(wǎng)設(shè)置成，接著點(diǎn)擊“NAT設(shè)置”按鈕。圖5-1-11虛擬網(wǎng)絡(luò)編輯器3.設(shè)置NAT網(wǎng)關(guān)為“”。圖5-1-12設(shè)置NAT網(wǎng)關(guān)四、測試各主機(jī)能否正常上網(wǎng)。如圖5-1-13所示，以客戶機(jī)win3為例，在命令提示符窗口中，輸入ipconfig可查到客戶機(jī)已自動(dòng)獲取到ip地址等屬性，輸入ping，可以看到能正常解釋域名，并能ping通百度服務(wù)器。圖5-1-13測試主機(jī)能否正常上網(wǎng)謝謝欣賞第5章局域網(wǎng)安全技術(shù)任務(wù)5.2MAC泛洪攻擊與防御任務(wù)5.2MAC泛洪攻擊與防御

數(shù)據(jù)幀到達(dá)交換機(jī)時(shí)，交換機(jī)會(huì)根據(jù)數(shù)據(jù)幀的目的MAC地址，查找MAC地址表，找到對應(yīng)的出接口，進(jìn)行單播轉(zhuǎn)發(fā)。如果數(shù)據(jù)幀的目的MAC地址在MAC地址表中不存在，交換機(jī)會(huì)把這個(gè)數(shù)據(jù)幀從除入接口之外的所有接口廣播出去，收到這個(gè)數(shù)據(jù)幀的設(shè)備或主機(jī)如果發(fā)現(xiàn)數(shù)據(jù)不是發(fā)送給自己的，會(huì)將其丟棄，如果是發(fā)給自己的，就接收。剛開機(jī)時(shí)，MAC地址表是空的。當(dāng)有數(shù)據(jù)到達(dá)交換機(jī)時(shí)，交換機(jī)會(huì)將獲取該數(shù)據(jù)的源MAC地址與入接口的對應(yīng)關(guān)系，并存入自己的MAC地址表中，以后一旦有數(shù)據(jù)去往這些MAC地址，就可以從MAC地址表中查到對應(yīng)的接口并轉(zhuǎn)發(fā)出去。

然而，MAC地址表的存儲(chǔ)空間是有限的，如果攻擊者將大量虛構(gòu)源MAC地址的數(shù)據(jù)發(fā)送到交換機(jī)，會(huì)導(dǎo)致交換機(jī)的MAC地址表爆滿，無法接收和存儲(chǔ)新的MAC地址與接口的對應(yīng)關(guān)系。之后再有數(shù)據(jù)需要交換機(jī)轉(zhuǎn)發(fā)時(shí)，交換機(jī)只能象集線器一樣，廣播出去了。如果是這樣，那么網(wǎng)絡(luò)上傳送的信息同時(shí)會(huì)廣播到攻擊者的主機(jī)上，攻擊者可通過抓包獲取和分析這些信息，同時(shí)還會(huì)造成網(wǎng)絡(luò)擁塞，網(wǎng)速變慢。5.2.1交換機(jī)的工作原理及MAC地址表5.2.2觀察MAC地址表一、通過在DHCP服務(wù)器上ping其它主機(jī)和網(wǎng)關(guān)，讓交換機(jī)學(xué)習(xí)到各主機(jī)以及網(wǎng)關(guān)的MAC地址。二、查看交換機(jī)的MAC地址表：Switch#showmacaddress-tableMacAddressTable-------------------------------------------VlanMacAddressTypePorts----------------------------10050.56c0.0001DYNAMICGi0/010050.56c0.0002DYNAMICGi0/110050.56c0.0003DYNAMICGi0/210050.56c0.0005DYNAMICGi1/011010.1010.1010DYNAMICGi0/012020.2020.2020DYNAMICGi0/113030.3030.3030DYNAMICGi0/216060.6060.6060DYNAMICGi1/018080.8080.8080DYNAMICGi0/3TotalMacAddressesforthiscriterion:9對照實(shí)驗(yàn)拓?fù)鋱D，可以看到各主機(jī)及網(wǎng)關(guān)的MAC地址與連接的交換機(jī)接口是一致的。三、查看MAC地址表的統(tǒng)計(jì)信息：Switch#showmacaddress-tablecountMacEntriesforVlan1:---------------------------DynamicAddressCount:9StaticAddressCount:0TotalMacAddresses:9TotalMacAddressSpaceAvailable:70013688可以看到，MAC地址表的總?cè)萘渴?0013688，已經(jīng)用去9條。5.2.3MAC地址泛洪攻擊一、如圖5-2-1所示，攻擊者在kalilinux上，打開多個(gè)命令行窗口，各窗口同時(shí)運(yùn)行macof命令，發(fā)起攻擊，開的窗口越多，攻擊的頻率越快，也就能更快的占滿交換機(jī)的MAC地址空間。命令如下：root@kali:~#macof圖5-2-1KaliLinux運(yùn)行macof命令經(jīng)過一段時(shí)間的攻擊后，查看交換機(jī)上的MAC地址表統(tǒng)計(jì)信息：Switch#showmacaddress-tablecountMacEntriesforVlan1:---------------------------DynamicAddressCount:45176StaticAddressCount:0TotalMacAddresses:45176TotalMacAddressSpaceAvailable:70013688可以看到，MAC地址表的總?cè)萘渴?0013688，已經(jīng)被占用了45176條。這臺(tái)交換機(jī)的MAC地址表總?cè)萘勘容^大，要占滿還需要一點(diǎn)時(shí)間，有些交換機(jī)的容量較小，只有8192條，很快就能占滿了。MAC表的空間一旦被占滿，攻擊者就可以抓包獲取FTP密碼、TELNET密碼等相關(guān)信息了。5.2.4防御MAC泛洪攻擊如何進(jìn)行MAC地址泛洪攻擊的防御呢？可以為接口配置port-security屬性，限制接口連接的MAC地址數(shù)量，限制同一MAC地址不能同時(shí)連接到兩個(gè)接口中。一旦出現(xiàn)違規(guī)，則按配置關(guān)閉接口或丟棄違規(guī)幀，從而杜絕MAC地址泛洪的出現(xiàn)。具體做法如下：一、為接口配置port-security。Switch#configterminalSwitch(config)#intg1/0Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-security//switchportport-security用于開啟接口的port-security，阻止接口的泛洪攻擊。開啟port-security后，接口連接的MAC地址數(shù)受到限制，默認(rèn)一個(gè)接口只能連接一個(gè)MAC地址，可以用命令修改成其它數(shù)值；另外，同一個(gè)MAC地址不能出現(xiàn)在不同的接口上，如果同一個(gè)MAC地址在第二個(gè)接口上出現(xiàn)，將視為違規(guī)。Switch(config-if)#switchportport-securityviolation?protectSecurityviolationprotectmoderestrictSecurityviolationrestrictmodeshutdownSecurityviolationshutdownmode//此處列舉了違規(guī)幀的三種處理方式。第一種是protect，表示將違規(guī)幀丟棄，不發(fā)告警；第二種是restrict，表示將違規(guī)幀丟棄的同時(shí)，發(fā)告警；第三種是shutdown，表示關(guān)閉出現(xiàn)違規(guī)幀的接口，將接口狀態(tài)變成errordisable，同時(shí)發(fā)告警。Switch(config-if)#switchportport-securityviolationshutdownSwitch(config-if)#switchportport-securitymaximum2//switchportport-securitymaximum2表示接口允許的MAC地址數(shù)量是2，超出將按違規(guī)處理。二、攻擊者在kaliLinux上運(yùn)行macof命令，發(fā)起攻擊。三、查看port-security狀態(tài)。1．查看接口的port-security狀態(tài)Switch#showport-securityinterfaceg1/0PortSecurity:EnabledPortStatus:Secure-shutdownViolationMode:ShutdownAgingTime:0minsAgingType:AbsoluteSecureStaticAddressAging:DisabledMaximumMACAddresses:2TotalMACAddresses:0ConfiguredMACAddresses:0StickyMACAddresses:0LastSourceAddress:Vlan:000c.29db.2497:1SecurityViolationCount:1可以看到，PortSecurity是Enable，表示已經(jīng)啟用PortSecurity；PortStatus狀態(tài)是Secure-shutdown，表示因違規(guī)，接口被關(guān)閉了；ViolationMode是Shutdown，表示遇到違規(guī)，采取的措施是關(guān)閉接口；MaximumMACAddresses為2，表示該接口能連接的MAC地址數(shù)量最大是2。2．查看port-security地址Switch#showport-securityaddressSecureMacAddressTable-----------------------------------------------------------------------------VlanMacAddressTypePortsRemainingAge(mins)-------------------------------------16060.6060.6060SecureDynamicGi1/0------------------------------------------------------------------------------TotalAddressesinSystem(excludingonemacperport):0MaxAddresseslimitinSystem(excludingonemacperport):4096可以看到，與目前G0/1接口連接的主機(jī)或設(shè)備的MAC地址有一個(gè)，是6060.6060.6060。3.如果接口因違規(guī)被關(guān)閉了，恢復(fù)的方法是：先關(guān)閉該接口的port-security屬性，再運(yùn)行關(guān)閉接口命令和啟動(dòng)接口命令。Switch(config)#intg1/0Switch(config-if)#noswitchportport-securitySwitch(config-if)#shutdownSwitch(config-if)#noshutdown謝謝欣賞第5章局域網(wǎng)安全技術(shù)任務(wù)5.3Dhcp攻擊與Dhcp

snooping防護(hù)任務(wù)5.3Dhcp攻擊與Dhcp

snooping防護(hù)

DHCP服務(wù)器的主要任務(wù)是接受客戶機(jī)的請求，為客戶機(jī)分配IP地址、網(wǎng)關(guān)地址、DNS服務(wù)器地址等信息。不考慮DHCP中繼代理的情況，DHCP服務(wù)的具體過程是：客戶機(jī)通過廣播的方式發(fā)送DHCPDiscover請求，在局域網(wǎng)中查找DHCP服務(wù)器，向服務(wù)器申請IP地址等信息，如果局域網(wǎng)中存在多臺(tái)DHCP服務(wù)器，則每臺(tái)服務(wù)器都會(huì)從自己的地址池中取出一個(gè)IP地址，向客戶機(jī)回應(yīng)。

局域網(wǎng)中DHCP攻擊的做法是：攻擊者先不斷向DHCP服務(wù)器申請IP地址，等DHCP服務(wù)器所有可分配的IP地址被耗盡后，再啟用惡意DHCP服務(wù)器，給客戶機(jī)分配惡意網(wǎng)關(guān)或惡意DNS服務(wù)器地址等惡意地址。若客戶機(jī)獲取到的網(wǎng)關(guān)是由攻擊者控制的惡意網(wǎng)關(guān)，攻擊者就可以以中間人的身份進(jìn)行抓包截獲受害者通過網(wǎng)絡(luò)傳輸?shù)男畔ⅲ蝗艨蛻魴C(jī)獲取到的是DNS指向攻擊者控制的惡意DNS服務(wù)器，則攻擊者可通過惡意DNS服務(wù)器引導(dǎo)客戶訪問釣魚網(wǎng)站，竊取客戶的帳號(hào)密碼等信息。5.3.1DHCP攻擊一、發(fā)動(dòng)攻擊，耗盡服務(wù)器的可分配地址攻擊者通過kalilinux發(fā)動(dòng)攻擊，不斷發(fā)送申請地址的請求，耗盡服務(wù)器能分配的所有IP地址，導(dǎo)致正?？蛻魴C(jī)無法獲取地址。1.客戶機(jī)釋放IP地址C:\DocumentsandSettings\Administrator>ipconfig/releaseWindowsIPConfigurationEthernetadapter本地連接:Connection-specificDNSSuffix.:IPAddress............:SubnetMask...........:DefaultGateway.........:C:\DocumentsandSettings\Administrator>2.如圖5-3-1所示，在DHCP服務(wù)器上，查看作用域的統(tǒng)計(jì)信息。3.kalilinux發(fā)動(dòng)攻擊，耗盡服務(wù)器能分配的所有地址。root@kali:~#pig.pyeth04.如圖5-3-2所示，在DHCP服務(wù)器上，再次查看作用域的統(tǒng)計(jì)信息。圖5-3-1作用域的統(tǒng)計(jì)信息圖5-3-2再次查看作用域的統(tǒng)計(jì)信息二、啟用惡意DHCP服務(wù)器，該服務(wù)器將分配給客戶的網(wǎng)關(guān)指向kalilinux。1.如圖5-3-3所示，分配的地址范圍是0-0。圖5-3-3惡意DHCP服務(wù)器的地址池2.如圖5-3-4所示，分配的網(wǎng)關(guān)指向攻擊的的KaliLinux，地址是1。圖5-3-4DNS作用域選項(xiàng)三、kalilinux暫時(shí)打開路由功能root@kali:~#echo1>/proc/sys/net/ipv4/ip_forward四、將默認(rèn)路由指向541.查看路由表。root@kali:~#route-nKernelIProutingtableDestinationGatewayGenmaskFlagsMetricRefUseIface54UG000eth0U000eth02.若默認(rèn)路由不是54，則將默認(rèn)路由指向54。root@kali:~#vim/etc/network/interfacesgateway54root@kali:~#/etc/init.d/networkingrestart五、在客戶機(jī)上，重新獲取IP地址。C:\DocumentsandSettings\Administrator>ipconfig/renewWindowsIPConfigurationEthernetadapter本地連接:Connection-specificDNSSuffix.:IPAddress............:0SubnetMask...........:DefaultGateway.........:1六、在kalilinux上抓包，當(dāng)客戶機(jī)從惡意DHCP服務(wù)器獲取地址后，ping時(shí)，由于數(shù)據(jù)經(jīng)假冒網(wǎng)關(guān)轉(zhuǎn)發(fā)，所以在KaliLinux上可以抓包看到。1.在KaliLinux上運(yùn)行Wireshark，開始抓包。若運(yùn)行Wireshark時(shí)，出現(xiàn)錯(cuò)誤提示：Lua:Errorduringloading:[string"/usr/share/wireshark/init.lua"]:44:dofilehasbeendisabledduetorunningWiresharkassuperuser.1）可修改/usr/share/wireshark/init.lua文件：root@kali:~#vim/usr/share/wireshark/init.lua將倒數(shù)第二行：dofile(DATA_DIR.."console.lua")改為：--dofile(DATA_DIR.."console.lua")2）重新運(yùn)行Wireshark。2.在客戶機(jī)win3上，ping，由于數(shù)據(jù)經(jīng)攻擊者控制的假冒網(wǎng)關(guān)（KaliLinux）轉(zhuǎn)發(fā)，所以如圖5-3-5所示，在KaliLinux上可以抓包看到。圖5-3-5KaliLinux抓包結(jié)果5.3.2DHCPSnooping技術(shù)通過DHCPSnooping技術(shù)，可實(shí)現(xiàn)對DHCP攻擊的防御。一、因?yàn)樯婕癉HCP的租用時(shí)間，所以要先設(shè)置好時(shí)間：Switch>enSwitch#conftSwitch(config)#clocktimezoneGMT+8Switch(config)#exitSwitch#clockset9:40:0023aug2018Switch#showclock09:40:34.205GMTThuAug232018二、DHCPSnooping技術(shù)將交換機(jī)端口分為兩類：信任端口和非信任端口。端口被指派為信任端口后，可發(fā)送所有的DHCP包，對外分配IP地址。正規(guī)的DHCP服務(wù)器所連接的端口，應(yīng)指派為信任端口。非信任端口，只能發(fā)送DHCP的請求包，如DHCPDiscover和DHCPRequest包；不能發(fā)送用于分配IP地址的DHCP包，如DHCPOFFER和DHCPACK包。因此，非信任端口就算連接了DHCP服務(wù)器，也無法對外提供分配IP地址的DHCP服務(wù)。除了連接正規(guī)DHCP服務(wù)器的端口應(yīng)指派為信任端口外，其它端口應(yīng)作為非信任端口。三、DCHPSnooping的配置方法如下：1.通過命令全局激活DHCPsnooping特性。全局激活DHCPsnooping特性后，DHCPsnooping并不立即生效，直到在特定VLAN中激活才會(huì)真正生效。激活DHCPSnooping的方法如下:Switch(config)#ipdhcpsnooping2.DHCPSnooping的相關(guān)信息可臨時(shí)存儲(chǔ)在內(nèi)存中，也可存儲(chǔ)到數(shù)據(jù)庫中。DHCPSnooping的相關(guān)信息主要有DHCP的租用時(shí)間、客戶端的MAC地址、IP地址、所屬vlan、所連的交換機(jī)端口等。這些信息除了用在DHCPSnooping上，還可用于對ARP攻擊的防控?？捎妹钪付―HCPSnooping數(shù)據(jù)庫存放的位置，用于存儲(chǔ)DHCPSnooping的相關(guān)信息，如果不指定存放位置，則這些信息會(huì)臨時(shí)存儲(chǔ)在內(nèi)存中。指定DHCPSnooping數(shù)據(jù)庫存放位置的命令是：Switch(config)#ipdhcpsnoopingdatabaseflash:/snooping.db3.將連接合法DHCP服務(wù)器的端口設(shè)置為Trust：Switch(config)#intg0/0Switch(config-if)#ipdhcpsnoopingtrustSwitch(config-if)#exit4.對非信任端口進(jìn)行DHCP限速，每秒DHCP包的數(shù)量不能超過限制，用于防止DoS攻擊：Switch(config)#intrangeg0/1-3,g1/0Switch(config-if-range)#ipdhcpsnoopinglimitrate5Switch(config-if-range)#exit5.在VLAN中激活DHCPsnooping：Switch(config)#ipdhcpsnoopingvlan1Switch(config)#end6.查看命令是：Switch#showipdhcpsnoopingbindingSwitch#showipdhcpsnoopingdatabase四、通過kalilinux發(fā)動(dòng)DHCP攻擊：root@kali:~#pig.pyeth0不斷發(fā)請求申請地址，由于啟用了DHCPSnooping，攻擊接口DOWN了。五、恢復(fù)接口的方法：Switch(config)#intg1/0Switch(config-if)shutdownSwitch(config-if)noshutdown謝謝欣賞第5章局域網(wǎng)安全技術(shù)任務(wù)5.4ARP欺騙攻擊及防御任務(wù)5.4ARP欺騙攻擊及防御

攻擊者通過ARP欺騙，讓用戶認(rèn)為攻擊者的電腦就是網(wǎng)關(guān)，同時(shí)讓網(wǎng)關(guān)認(rèn)為攻擊者的電腦就是用戶的電腦。使用戶訪問外網(wǎng)需要攻擊的電腦中轉(zhuǎn)。攻擊者以中間人的角色進(jìn)行抓包截獲受害者通過網(wǎng)絡(luò)傳輸?shù)男畔ⅰ?/p>

啟動(dòng)EVE-NG，搭建如圖5-4-1的拓?fù)鋱D。圖5-4-1實(shí)驗(yàn)拓?fù)鋱D5-4-1實(shí)驗(yàn)拓?fù)?.4.1ARP欺騙攻擊一、客戶機(jī)通過DHCP服務(wù)器獲取到了IP地址、子網(wǎng)掩碼、缺省網(wǎng)關(guān)等信息。查看客戶機(jī)獲取到的IP地址：C:\DocumentsandSettings\Administrator>ipconfig/allEthernetadapter本地連接:Connection-specificDNSSuffix.:Description...........:Intel(R)PRO/1000MTNetworkConnectionPhysicalAddress.........:30-30-30-30-30-30DHCPEnabled...........:YesAutoconfigurationEnabled....:YesIPAddress............:0SubnetMask...........:DefaultGateway.........:54DHCPServer...........:0DNSServers...........:14LeaseObtained..........:2018年12月25日7:06:31LeaseExpires..........:2019年1月2日7:06:31二、查看路由器的相關(guān)接口配置的IP地址及路由表1.查看路由器的配置R1#showipintbInterfaceIP-AddressOK?MethodStatusProtocolGigabitEthernet0/054YESmanualupupGigabitEthernet0/10YESmanualupupGigabitEthernet0/2unassignedYESunsetadministrativelydowndownGigabitEthernet0/3unassignedYESunsetadministrativelydowndown2.查看路由表R1#showiprouteCodes:L-local,C-connected,S-static,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticroute,H-NHRP,l-LISPa-applicationroute+-replicatedroute,%-nexthopoverride,p-overridesfromPfRGatewayoflastresortistonetworkS*/0[1/0]via/24isvariablysubnetted,2subnets,2masksC/24isdirectlyconnected,GigabitEthernet0/0L54/32isdirectlyconnected,GigabitEthernet0/0/24isvariablysubnetted,2subnets,2masksC/24isdirectlyconnected,GigabitEthernet0/1L0/32isdirectlyconnected,GigabitEthernet0/1三、在路由器上，ping各主機(jī)，查看ARP緩存表1.PingDHCP服務(wù)器0R1#ping02.PingkaliLinux主機(jī)1R1#ping13.Ping客戶機(jī)R1#ping04.經(jīng)過ping測試，R1獲取到了各相關(guān)主機(jī)的MAC地址，通過查看R1上的ARP緩存表，確認(rèn)各主機(jī)IP地址與MAC地址的對應(yīng)關(guān)系。R1#showarpProtocolAddressAge(min)HardwareAddrTypeInterfaceInternet011010.1010.1010ARPAGigabitEthernet0/0Internet106060.6060.6060ARPAGigabitEthernet0/0Internet013030.3030.3030ARPAGigabitEthernet0/0Internet54-8080.8080.8080ARPAGigabitEthernet0/0Internet10050.56e1.7e5fARPAGigabitEthernet0/1Internet0-5000.0002.0001ARPAGigabitEthernet0/1四、在客戶機(jī)上：1.在客戶機(jī)上，pingDHCP服務(wù)器、網(wǎng)關(guān)、KaliLinux客戶機(jī)、百度網(wǎng)站。C:\>ipconfigC:\>ping0C:\>ping54C:\>ping1C:\>ping都能ping通。2.查看ARP緩存表C:\>arp-aInterface:0---0x60003InternetAddressPhysicalAddressType010-10-10-10-10-10dynamic160-60-60-60-60-60dynamic5480-80-80-80-80-80dynamic五、在DHCP服務(wù)器上：C:\>ipconfigC:\>ping1C:\>ping0C:\>ping54C:\>arp-aInterface:0---0x60003InternetAddressPhysicalAddressType010-10-10-10-10-10dynamic160-60-60-60-60-60dynamic5480-80-80-80-80-80dynamic六、在交換機(jī)上：1.查看mac地址表SW1#showmacaddress-tableMacAddressTable-------------------------------------------VlanMacAddressTypePorts----------------------------10050.56c0.0001DYNAMICGi0/010050.56c0.0002DYNAMICGi0/110050.56c0.0003DYNAMICGi0/210050.56c0.0004DYNAMICGi1/011010.1010.1010DYNAMICGi0/013030.3030.3030DYNAMICGi0/216060.6060.6060DYNAMICGi1/018080.8080.8080DYNAMICGi0/3TotalMacAddressesforthiscriterion:82.查看當(dāng)前的DHCP監(jiān)聽綁定表SW1#showipdhcpsnoopingbindingMacAddressIpAddressLease(sec)TypeVLANInterface--------------------------------------------------------------------Totalnumberofbindings:03.查看DHCP監(jiān)聽綁定數(shù)據(jù)庫的相關(guān)信息SW1#showipdhcpsnoopingdatabaseAgentURL:WritedelayTimer:300secondsAbortTimer:300secondsAgentRunning:NoDelayTimerExpiry:NotRunningAbortTimerExpiry:NotRunningLastSuccededTime:NoneLastFailedTime:NoneLastFailedReason:Nofailurerecorded.TotalAttempts:0StartupFailures:0SuccessfulTransfers:0FailedTransfers:0SuccessfulReads:0FailedReads:0SuccessfulWrites:0FailedWrites:0MediaFailures:0七、在KaliLinux上：開啟三個(gè)命令行窗口：第一個(gè)窗口：root@kali:~#arpspoof-t0-r54用于攻擊0，將KaliLinux仿造成54。第二個(gè)窗口：root@kali:~#arpspoof-t54-r0用于攻擊54，將KaliLinux仿造成0。第三個(gè)窗口：root@kali:~#ping0root@kali:~#ping54八、在DHCP服務(wù)器上，查arp緩存表，可以發(fā)現(xiàn)，網(wǎng)關(guān)的MAC地址已經(jīng)變成kali的了：攻擊前查看到的：C:\DocumentsandSettings\Administrator>arp-aInterface:0---0x10003InternetAddressPhysicalAddressType160-60-60-60-60-60dynamic5480-80-80-80-80-80dynamic攻擊后查看到的：C:\DocumentsandSettings\Administrator>arp-aInterface:0---0x10003InternetAddressPhysicalAddressType160-60-60-60-60-60dynamic5460-60-60-60-60-60dynamic九、在路由器上，查arp緩存表，可以發(fā)現(xiàn)，DHCP服務(wù)器的MAC地址已經(jīng)變成kali的了：攻擊前查看到的：R1#showarpProtocolAddressAge(min)HardwareAddrTypeInterfaceInternet001010.1010.1010ARPAGigabitEthernet0/0Internet106060.6060.6060ARPAGigabitEthernet0/0攻擊后查看到的：R1#showarpProtocolAddressAge(min)HardwareAddrTypeInterfaceInternet006060.6060.6060ARPAGigabitEthernet0/0Internet106060.6060.6060ARPAGigabitEthernet0/0十、在kalilinux1.暫時(shí)打開路由功能echo1>/proc/sys/net/ipv4/ip_forward2.查看路由表root@kali:~#route-nKernelIProutingtableDestinationGatewayGenmaskFlagsMetricRefUseIface54UG000eth0U000eth0可以查看到，之前已經(jīng)將默認(rèn)路由指向了54。3.在kaliLinux上，打開抓包軟件，開始抓包，過濾設(shè)成http，只顯示抓到的http流量。在DHCP服務(wù)器win1上，訪問。如圖5-4-2所示，在KaliLinux上，抓包軟件顯示：可以抓到win1訪問baidu的包。圖5-4-2KaliLinux上的抓包結(jié)果5.4.2ARP攻擊的防御

針對ARP攻擊，可在交換機(jī)上啟用動(dòng)態(tài)ARP檢查（DynamicARPInspection，DAI）來進(jìn)行防御。D