实验指导书
《网络安全管理课程设计》实训
实验一 学习网络安全相关法律法规
实验目的:
学习网络安全相关法律法规 实验步骤:
1. 上网搜索网络安全相关法律法规; 2. 学习:
? 《互联网上网服务营业场所管理条例》 ? 《互联网电子公告服务管理规定》 ? 《计算机病毒防治管理办法》
? 《中华人民共和国计算机信息系统安全保护条例》 ? 《互联网信息服务管理办法(国务院令第292号)》 ? 《计算机信息网络国际联网安全保护管理办法》 ? 《关于维护互联网安全的决定》
? 《中华人民共和国刑法(摘录):第二百八十五条 第二百八十六条 第二百
八十七条》
2
实验二 常用攻击协议的原理验证
一、ARP欺骗 背景描述:
流经主机A和主机C的数据包被主机D使用ARP欺骗进行截获和转发。
流经主机E(172.16.0.2接口)和主机F的数据包被主机B(172.16.0.1接口)使用ARP欺骗进行截获和转发。 环境拓扑图如下:
原理:
ARP表是IP地址和MAC地址的映射关系表,任何实现了IP协议栈的设备,一般情况下都通过该表维护IP地址和MAC地址的对应关系,这是为了避免ARP解析而造成的广播数据报文对网络造成冲击。ARP表的建立一般情况下是通过二个途径:
1、主动解析,如果一台计算机想与另外一台不知道MAC地址的计算机通信,则该计算机主动发ARP请求,通过ARP协议建立(前提是这两台计算机位于同一个IP子网上);
2、 被动请求,如果一台计算机接收到了一台计算机的ARP请求,则首先在本地建立请求计算机的IP地址和MAC地址的对应表。
因此,针对ARP表项,一个可能的攻击就是误导计算机建立正确的ARP表。根据ARP协议,如果一台计算机接收到了一个ARP请求报文,在满足下列两个条件的情况下,该计算机会用ARP请求报文中的源IP地址和源MAC地址更新自己的ARP缓存:
1、 如果发起该ARP请求的IP地址在自己本地的ARP缓存中; 2、 请求的目标IP地址不是自己的。
举例说明过程:假设有三台计算机A,B,C,其中B已经正确建立了A和C计算机的ARP表项。假设A是攻击者,此时,A发出一个ARP请求报文,该ARP请求报文这样构造:
1、 源IP地址是C的IP地址,源MAC地址是A的MAC地址;
3
2、 请求的目标IP地址是B的IP地址。
这样计算机B在收到这个ARP请求报文后(ARP请求是广播报文,网络上所有设备都能收到),发现C的ARP表项已经在自己的缓存中,但MAC地址与收到的请求的源MAC地址不符,于是根据ARP协议,使用ARP请求的源MAC地址(即A的MAC地址)更新自己的ARP表。
这样B的ARP缓存中就存在这样的错误ARP表项:C的IP地址跟A的MAC地址对应。这样的结果是,B发给C的数据都被计算机A接收到。 步骤:
按照拓扑结构图连接网络,使用拓扑验证检查连接的正确性。
本练习将主机A、C和D作为一组,主机B、E、F作为一组。现仅以主机A、C和D为例说明试验步骤。(由于两组使用的设备不同,采集到的数据包不完全相同)
1. 主机A和主机C使用“arp -a”命令察看并记录ARP高速缓存。
2. 主机A、C启动协议分析器开始捕获数据并设置过滤条件(提取ARP协议
和ICMP协议)。
3. 主机A ping 主机C。观察主机A、C上是捕获到的ICMP报文,记录MAC
地址。
4. 主机D启动仿真编辑器向主机A编辑ARP请求报文(暂时不发送)。其中:
MAC层:“源MAC地址”设置为主机D的MAC地址 “目的MAC地址”设置为主机A的MAC地址 ARP层:“源MAC地址”设置为主机D的MAC地址 “源IP地址”设置为主机C的IP地址 “目的MAC地址”设置为000000-000000。 “目的IP地址”设置为主机A的IP地址
5. 主机D向主机C编辑ARP请求报文(暂时不发送)。其中:
MAC层:“源MAC地址”设置为主机D的MAC地址 “目的MAC地址”设置为主机C的MAC地址 ARP层:“源MAC地址”设置为主机D的MAC地址 “源IP地址”设置为主机A的IP地址 “目的MAC地址”设置为000000-000000。 “目的IP地址”设置为主机C的IP地址 6. 同时发送第4步和第5步所编辑的数据包。
注意:为防止主机A和主机C的ARP高速缓存表被其它未知报文更新,可以定时发送数据包(例如:每隔500ms发送一次)。 7. 观察并记录主机A和主机C的ARP高速缓存表。
8. 在主机D上启动静态路由服务(方法:在命令行方式下,输入
“staticroute_config”),目的是实现数据转发。 9. 主机D禁用ICMP协议。
a. 在命令行下输入“mmc”,启动微软管理控制台。
b. 导入控制台文件。单击“文件(F)\\打开(O)...”菜单项来打开
“c:\\WINNT\\system32\\IPSecPolicy\\stopicmp.msc”。 c. 导入策略文件。单击“操作(A)\\所有任务(K)\\导入策略(I)...”
菜单项来打开“c:\\WINNT\\system32\\IPSecPolicy\\
4
stopicmp.ipsec”。此命令执行成功后,在策略名称列表中会出现“禁用ICMP”项。
d. 启动策略。用鼠标选中“禁用ICMP”项,单击右键,选择“指
派(A)”菜单项。
10.主机A上ping主机C(“ping 主机C的IP地址 –n 1”)。
-n :发送count指定的ECHO数据包数。通过这个命令可以自己定义发
送的个数,对衡量网络速度很有帮助。能够测试发送数据包的返回平均时间及时间的快慢程度。默认值为 4。
11.主机A、C停止捕获数据,分析捕获到的数据,并回答以下问题:
? 主机A、C捕获到的ICMP数据包的源MAC地址和目的MAC地址是什
么?
? 结合主机A和主机C捕获到的数据包,绘制出第6步发送的ICMP
数据包在网络中的传输路径图。
主机D取消对ICMP的禁用。在微软管理控制台(mmc)上,用鼠标选中“禁用ICMP”项,单击右键,选择“不指派(U)”菜单项。
二、利用ICMP重定向进行信息窃取 原理
在Internet上,主机数量要比路由器多出许多,为了提高效率,主机都不参与路由选择过程。主机通常使用静态路由选择。当主机开始联网时,其路由表中的项目数很有限,通常只知道默认路由的IP地址。因此主机可能会把某数据发送到一个错误的路由,其实该数据本应该发送给另一个网络的。在这种情况下,收到该数据的路由器会把数据转发给正确的路由器,同时,它会向主机发送ICMP重定向报文,来改变主机的路由表。
路由器发送ICMP Redirect消息给主机来指出存在一个更好的路由。ICMP Redirect数据包使用下图中显示的结构。 当IP数据报应该被发送到另一个路由器时,收到数据报的路由器就要发送ICMP重定向差错报文给IP数据报的发送端。ICMP重定向报文的接收者必须查看三个IP地址:
(1)导致重定向的IP地址(即ICMP重定向报文的数据位于IP数据报的首部);
(2)发送重定向报文的路由器的IP地址(包含重定向信息的IP数据报中的源地址);
(3)应该采用的路由器的IP地址(在ICMP报文中的4-7字节)。
类型 = 5 代码 = 0 - 3 检 验 和 应该使用的路由器IP地址 IP首部(包括选项)+原始IP数据报中数据的前8字节
代码为0:路由器可以发送这个ICMP消息来指出有一个到达目标网络的更好方法。
代码为1:路由器可以发送这个ICMP消息来指出有一个到达目标主机的更好方法。
代码为2:路由器可以发送这个ICMP消息来指出有一个更好的方法到达使
5