网络攻击与防范-ARP攻击实验

实验I ARP攻击的攻、判、防ARP攻击不是病毒——几乎所有的杀毒软件对之都无可奈何；但却胜似病毒——因它轻可造成通信变慢、网络瘫痪，重会造成信息的泄密。

多年来，ARP攻击一直存在，却没有一个好的解决办法。

很多网络用户深受其害，网管人员更是无从下手、苦不堪言。

本实验从分析ARP协议和欺骗原理入手，告诉读者如何实施ARP攻击，如何判断正在遭受ARP 攻击，如何防范和解决ARP攻击。

1. ARP协议及欺骗原理（1）以太网的工作原理。

以太网中，数据包被发送出去之前，首先要进行拆分（把大的包进行分组）、封装（在Network层添加源IP地址和目标的IP地址，在Data Link层添加源MAC地址和下一跳的MAC地址），变成二进制的比特流，整个过程如图I-1所示。

数据包到达目标后再执行与发送方相反的过程，把二进制的比特流转变成帧，解封装（Data Link层首先比较目标的MAC是否与本机网卡的MAC相同或者是广播MAC，如相同则去除帧头，再把数据包传给Network层，否则丢弃；Network层比较目的地IP地址是否与本机相同，相同则继续处理，否则丢弃）。

如果发送方和接收方位于同一个网络内，则下一跳的MAC就是目标的MAC，如发送方和接收方不在同一个网络内，则下一跳的MAC就是网关的MAC。

从这个过程不难发现，以太网中数据的传速仅知道目标的IP地址是不够的，还需要知道下一跳的MAC地址，这需要借助于另外一下协议，ARP（地址解析协议）。

图I-1 数据的封装和解封装（2）ARP的工作原理。

计算机发送封装数据之前，对比目标IP地址，判断源和目标在不在同一个网段，如在同一网段，则封装目标的MAC；如不在同一网段，则封装网关的MAC。

封装之前，查看本机的ARP缓存，看有没有下一跳对应的IP和MAC映射条目，如有，则直接封装；如没有，则发送ARP查询包。

ARP查询和应答包的格式如图I-2所示，查询包中：“以太网目的地址”为0xffffffffffff广播地址，“以太网源地址”为本机网卡的MAC地址，“帧类型”为0x0806表示ARP应答或请求，“硬件类型”为0x0001表示以太网地址，“协议类型”为0x0800表示IP地址，“OP”为ARP的请求或应答，ARP请求包的OP值为1，ARP应答包的OP值为2，“发送端以太网地址”为发送者的MAC地址，“发送端IP”为发送者的IP地址，“目的以太网地址”这里为0x000000000000，“目的IP”为查询MAC地址的IP。

一、实验目的1. 了解网络安全的基本概念和防御策略；2. 掌握常见网络攻击手段及其防御方法；3. 培养网络攻防实战能力。

二、实验环境1. 操作系统：Windows 10；2. 网络设备：路由器、交换机、计算机；3. 网络攻击工具：Metasploit、Arp spoofing、Wireshark等；4. 防御工具：防火墙、入侵检测系统、杀毒软件等。

三、实验内容1. 网络扫描与发现（1）使用Nmap扫描靶机端口，发现开放端口；（2）利用Metasploit进行漏洞利用，获取靶机权限。

2. 网络攻击与防御（1）ARP欺骗攻击：使用Arp spoofing工具，修改目标计算机的ARP表，使其将数据包发送到攻击者控制的主机；（2）防御ARP欺骗攻击：开启防火墙的ARP检测功能，防止攻击者篡改ARP表；（3）端口扫描攻击：使用Nmap扫描目标计算机端口，寻找潜在漏洞；（4）防御端口扫描攻击：配置防火墙，禁止非授权端口访问；（5）DDoS攻击：使用Loic工具进行分布式拒绝服务攻击；（6）防御DDoS攻击：配置防火墙，限制单个IP的访问次数，并开启黑洞策略；（7）SQL注入攻击：利用Metasploit进行SQL注入攻击，获取数据库权限；（8）防御SQL注入攻击：使用参数化查询，避免直接拼接SQL语句；（9）木马攻击：使用Metasploit生成木马，感染目标计算机；（10）防御木马攻击：安装杀毒软件，定期更新病毒库，防止病毒感染。

3. 入侵检测与防御（1）使用Snort进行入侵检测，捕获可疑流量；（2）分析Snort日志，发现入侵行为；（3）配置入侵检测系统，阻止恶意流量。

四、实验步骤1. 配置实验环境，搭建网络拓扑；2. 使用Nmap扫描靶机端口，发现开放端口；3. 利用Metasploit进行漏洞利用，获取靶机权限；4. 对靶机进行ARP欺骗攻击，观察网络通信情况；5. 配置防火墙，防御ARP欺骗攻击；6. 使用Nmap进行端口扫描，寻找潜在漏洞；7. 配置防火墙，禁止非授权端口访问；8. 使用Loic进行DDoS攻击，观察网络性能；9. 配置防火墙，限制单个IP的访问次数，并开启黑洞策略；10. 使用Metasploit进行SQL注入攻击，获取数据库权限；11. 使用参数化查询，防御SQL注入攻击；12. 使用Metasploit生成木马，感染目标计算机；13. 安装杀毒软件，防御木马攻击；14. 使用Snort进行入侵检测，捕获可疑流量；15. 分析Snort日志，发现入侵行为；16. 配置入侵检测系统，阻止恶意流量。

实验三 ARP攻防实验名称：ARP攻防。

实验目的：理解ARP协议，并学会判断与防范ARP攻击。

技术原理：网络执法官限制目标主机与网关的通信，是通过ARP攻击来实现的。

在三层设备上对目标主机IP与MAC地址进行绑定，同时在目标主机上也对网关IP及MAC地址进行绑定，可以防止受到ARP的欺骗性攻击。

实现功能：目标主机防范ARP攻击。

实验设备：RSR20一台，S2126G一台，PC二台，网络执法官软件一套。

实验拓朴：实验步骤：1.配置路由器RSR20：router>enable //进入特权模式router# configure terminal //进入全局配置模式router(config)#interface fastethernet 0/0 //进入路由器F0/0的接口模式router(config-if)# ip address 192.168.10.1 255.255.255.0router(config-if)# no shutdown //开启该端口，使端口转发数据2. 将PC1设置IP地址为192.168.10.2/24，网关为192.168.10.1。

测试PC1与网关的通信，并确认正常：Ping 192.168.10.1 -tReply from 192.168.10.1: bytes=32 time<1ms TTL=1503. 将PC2设置IP地址为192.168.10.3/24，网关为192.168.10.1。

测试PC2与PC1的通信，并确认正常：Ping 192.168.10.2 -tReply from 192.168.10.2: bytes=32 time<1ms TTL=1504. 将PC2上的防病毒软件监控功能关闭，然后运行网络执法官软件，并将192.168.10.1添加到关键主机列表，再设置阻断PC1与网关的通信，在主机列表中，对限制主机单击右键，选择“设定权限”，在弹出的窗口中，选择“发现该用户与网络连接即进行管理”，再点击“确定”即可。

网络安全攻击实验报告实验目的：本实验旨在通过模拟网络安全攻击的过程，提升对网络安全的认识，了解各种常见网络攻击的原理和防范措施。

实验设备：1. 一台Windows操作系统的计算机，作为实验的攻击者。

2. 一台Windows操作系统的计算机，作为实验的受攻击者。

3. 一台Linux操作系统的计算机，作为实验的网络防火墙。

实验步骤：1. 配置网络环境：将攻击者、受攻击者和防火墙连接到同一个局域网中，并进行正确的IP地址配置。

2. 确认网络连接正常后，开始进行模拟攻击。

实验一：ARP欺骗攻击1. 攻击者使用工具发送恶意ARP包，将受攻击者的IP地址与攻击者自己的MAC地址对应起来，以此实现网络欺骗。

2. 受攻击者在收到ARP包后，将误认为攻击者的计算机是网关，并将网络流量发送至攻击者的计算机。

3. 防火墙通过监测网络流量，检测到ARP欺骗攻击，将受攻击者的网络流量重定向至正确的网关。

实验二：DDoS攻击1. 攻击者利用工具向受攻击者发送大量正常请求，使其服务器超负荷运作，无法正常提供服务。

2. 受攻击者的服务器在处理这些请求时，耗尽系统资源，导致服务阻塞或崩溃。

3. 防火墙通过检测到大量请求来自同一IP地址，将该IP地址列入黑名单，过滤掉恶意流量，减轻服务器负荷。

实验三：SQL注入攻击1. 攻击者利用软件工具，通过在Web应用程序的输入字段中插入SQL代码，获取或篡改数据库中的数据。

2. 受攻击者的Web应用程序在处理请求时，未对输入字段进行正确的过滤或转义，导致攻击者成功执行注入攻击。

3. 防火墙通过检测到包含恶意SQL代码的请求，拦截并阻止恶意请求，保护数据库安全。

实验结果：1. 在实验一中，通过ARP欺骗攻击，攻击者成功将受攻击者的网络流量重定向至正确的网关，防火墙成功阻止了欺骗攻击。

2. 在实验二中，通过DDoS攻击，受攻击者的服务器遭受了大量请求的压力，导致服务不可用，防火墙成功进行了恶意流量过滤。

《网络攻击与防范》实验报告图5-1 使用traceroute 工具成功追踪192.168.1.185主机后的显示结果如果使用 traceroute 工具追踪 wwwBaiducom(61.135.169.125 是百度的IP地址.也可以直接使用域名 wwwBaiduCom).追踪成功后将显示如图 5-2 所示的结果图5-2 使用 traceroule 工具成功追踪 wwwBaiducom 的显示结果如果使用 traceroute 工具追踪 wwww3schoolcom,由于该主机不存在(已关机)，因此将显示如图 5-3 所示的结果。

实验时,读者可以用一个不存在的主机域名来代替本实验中的 wwww3schoolcom。

图5-3 使用iraceroute 工具追踪 wwww3schoolcom 失败后的显示结果步骤4:dmitry工具的应用。

首先，进入/usr/local/bin 日录.找到 dmitry 工具:然后使用“./dmitry”命令查看其帮助文档;输人“./dmitry-p 192.168.168.153 -p -b”命令扫描机 192.168.68.153,操作过程和显示结果如图 5-4 所示.读者会发现该主机开放了 SSH的22端口图5-4 使用 dmitry 工具扫描主机 1921681185的显示结果如果扫描 wwwbaiducom 开放的 TCP 80 端口，将会显示如图 5-5 所示的结果。

图5-5扫描wwwbaiducom开放的TCP80端口后的显示结果步骤 5: itrace 工具的应用。

itrace 工具有 raceroute 的功能，不同之处在于itrace 使用ICMP反射请求。

如果防火墙禁止了 traceroute,但允许ICMP 的反射请求,那么仍然可以使用itrace 来追踪防火墙内部的路由。

执行“./itrace -ietho -d wwwbaiducom”命令，可以看到如图 5-6 所示的回复信息说明已经进行了成功追踪。

首先使用“快照X”恢复Windows/Linux系统环境。

一．ARP欺骗攻击实验需求：（1）本实验使用交换网络结构（参见附录B），组一、二和三间通过交换模块连接（主机A、C、E通过交换模块连接，主机B、D、F也通过交换模块连接）。

因此，正常情况下，主机C无法以嗅探方式监听到主机A与主机E间通信数据，同样主机D也无法监听到主机B与主机F间的通信数据。

（2）主机C要监听主机A和主机E间的通信数据；主机D要监听主机B与主机F间的通信数据。

分析：黑客主机通过对目标主机进行ARP欺骗攻击，获取目标主机间的通信数据。

1．正常通信（1）目标主机二单击工具栏“UDP工具”按钮，启动UDP连接工具，创建2513/udp服务端。

（2）目标主机一启动UDP连接工具，将“目标机器”IP地址指定为目标主机二的地址，目标端口与服务器一致。

在“数据”文本框中输入任意内容，单击“发送”按钮，向服务端发送数据。

服务端确定接收到数据。

（3）黑客主机单击工具栏“控制台”按钮，切换至/opt/ExpNIS/NetAD-Lab/Tools/ids/目录（Snort目录），执行如下命令：通过上述命令snort仅会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据（4）目标主机一再次向目标主机二发送消息，黑客主机停止snort监听（Ctrl+C），观察snort监听结果，是否监听到目标主机间的通信数据。

为什么？没有监听到结果，目标主机不在同一个共享设备上，正常状态下目标主机一和二间的通信，黑客主机监听不到它们之间的信息。

（5）目标主机一查看ARP缓存表，确定与目标主机二的IP相映射的MAC 地址是否正常。

不正常，缓存表多出一行新的内容。

2．ARP攻击（1）黑客主机单击平台工具栏“控制台”按钮，进入实验目录，运行ARPattack 程序攻击目标主机一，将其ARP缓存表中与目标主机二相映射的MAC地址更改为黑客主机的MAC地址。

其中第一个参数为被攻击主机IP地址，第二个参数为被攻击主机MAC地址，第三个参数为与被攻击主机进行正常通信的主机IP地址。