2020(安全生产)2020年网络安全实验指导书
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
图8
选择停止查看按钮会出现如下图所示对话框,选择最下面的Decode选项卡。即可以看捕获后的数据的解码。
图9图10
3、
在工作站1上进行,分析步骤如下:
1)设置SnifferPro捕获ARP通信的数据包(工作站1与工作站4之间)在工作站1上安装并启动SnifferPro软件,并设置捕获过滤条件(Define Filter),选择捕获ARP协议。如图11所示:
实验九基于Snort入侵检测功能配置105
实验十网络管理技术的SNMP实现120
实验一
实验目的:
1、在不影响网络安全可靠运行的前提下,对网络中不同类型的协议数据进行捕获;
2、能对捕获到的不同类型协议数据进行准确的分析判断,发现异常;
3、快速有效地定位网络中的故障原因,在不投入新的设备情况下解决问题;
5)攻击的结果是:网关发给工作站4的数据发到了工作站1;工作站4发给网关的数据也发到了工作站1(MAC:010101010101)。
6)分析:这种攻击方式与前面的Sniffer Pro软件模拟的是一个原理。只是目的不同,这个更为复杂一些。
图21
实验报告内容:
1.学会sniffer的安装和使用。
2.要会伪造数据包,发送数据包实施ARP攻击。
6、确定ARP攻击流量并加以分析;
7、针对此类攻击的防范。
实验工具与软件:
1、协议分析软件Sniffer pro;
2、ARP攻击器;
3、在实际工作中建议使用笔记本电脑配置一条直通双绞线和一条交换机配置线。
实验原理:
在以太网同一网段内部,当一个基于TCP/IP的应用程序需要从一台主机发送数据给另一台主机时,它把信息分割并封装成包,附上目的主机的IP地址。然后,寻找IP地址到实际MAC地址的映射,这需要发送ARP广播消息。当ARP找到了目的主机MAC地址后,就可以形成待发送帧的完整以太网帧头(在以太网中,同一局域网内的通信是通过MAC寻址来完成的,所以在IP数据包前要封装以太网数据帧,当然要有明确的目的主机的MAC地址方可正常通信)。最后,协议栈将IP包封装到以太网帧中进行传送。
实验步骤:
第一步:安装过程也很简单,双击安装程序,下一步,进入安装界面,下一步,出现许可协议,这些是软件安装的通用的步骤了,YES同意即可。接下来要求名称各公司输入即可。
第二步:下一步后,选择并设置安装的目的路径后再下一步。就开始安装了。
第三步:接下来要求填写个人信息:姓名、商业、电子邮件等,填写完成后就可以下一步了。接下来还是要求填写个人联联系方式:地址、城市、国家、邮编、电话等,填写完成后就可以下一步了。需要注意的是各项目在填写时注意格式,字母与数字要区分开。
图16
图17工作站1发出去的ARP请求数据帧数据
6)数据(Data)是工作站1发出去查询网关MAC地ARP请求数据,具体解释参见图18。
图18图19
7)对工作站1发出去查询网关MAC地ARP请求数据(Data)进行如图17所示的伪造修改,即这个帧是被伪造为网关IP(10.1.103.254)地址和MAC地址(伪造为假的:112233445566)发出去的查询10.1.103.153(十六进制数为:0a01 67 99 )的MAC地址的ARP广播帧,这样所有本地网段内的主机都会收到并更新记录,以为网关(IP为10.1.103.254)的MAC地址变为了112233445566 ,并将这一错误关联加入各自的ARP缓存中(包括工作站自身)。
《网络安全》实训指导
实验一ARP模拟攻击测试与流量分析1
实验二利用PGP实施非对称加密16
实验三利用数字证书保护通信28
实验四利用隧道技术连接企业与分支38
实验五基于路由器实现VPN连接45
实验六基本防火墙功能配置61
实验七软件防火墙配置保护主机与内部网络79
实验八基于Session wall入侵检测功能配置92
6、
1)在工作站1上开启Sniffer Pro并设置对ARP协议进行捕获,启动捕获。
2)开启WinArpAttacker软件,先进行Scan扫描本局域网内的存活主机。在要攻击的目标主机前选中,然后选择Attack-BanGateway。这里选择两台目标主机(10.1.103.4和10.1.103.5)。
图7
2、网络协议分析软件sniffer pro的配置
启动sniffer pro软件,在主窗口的工具栏上点选捕获设置(Define Filter)按钮,可以对要捕获的协议数据设置捕获过滤条件。默认情况下捕获所有从指定网卡接收的全部协议数据。捕获到数据后停止查看按钮会由灰色不可用状态变为彩色的可用状态。
4)有ICMP数据回应后可以发现, SnifferPro已经捕获到了协议数据。选择停止并查看,在第1帧数据包(具体数据结构参见图17)上点击右键,并选择“Send Current Frame…”。如图15所示
图15SnifferPro捕获到的工作站1发出去的ARP请求数据帧
5)出现如图16所示对话框,其中的数据(Data)即是工作站1发出去查询网关MAC地ARP请求数据,已经放入发送缓冲区内,此时可以进行修改了。
8)修改后的帧缓冲区中的数据如图19所示,修改后在发送(Send)次数下选择连续发送(Continuously),发送类型(Send Type)下选择每隔10毫秒一次。后点击确定,伪造的数据帧即开始按此间隔时间不断发送了,想停止发送按图11所示操作即可,这里先不停止。
5、
1)在工作站1上通过远程桌面连接到工作站4,在未发送伪造的数据帧之前工作站4是可以和网关10.1.103.254进行通信,当启动包生成器发送伪造的数据帧后,还能PING通网关了,在工作站4上用“arp -a”命令查看网关IP对应的MAC地址已经变为网络中不存在的伪造的MAC地址:112233445566。所以无法访问网关也无法进行外网连接了,如图十九所示。
2)要想工作站1发送ARP请求给网关,并得到ARP回应,首先启动SnifferPro捕获,然后利用”arp–d”清除ARP缓存。
3)在没有互相通信需求下,工作站1是不会主动发送ARP请求给网关的,所以也就捕获不到ARP的协议数据,此时要在工作站1与网关之间进行一次通信,如可以在工作ቤተ መጻሕፍቲ ባይዱ1上ping网关,即:ping 10.1.103.254。
图1 实验拓扑结构
如果想查看ARP缓存中的所有记录,可以在用命令“arp -a”;如果想清除ARP缓存中的动态记录,可以在用命令“arp -d”。
ARP攻击的特点是:当同一局域网内的一台或多台计算机感染了ARP攻击程序后,会不断发送伪造的ARP攻击包,如果这个攻击包的源MAC地址伪造为一个假的MAC地址(M1),源IP伪造成网关的IP地址,目的MAC为广播地址。这样所有同一网段内的主机都会收到,误以为网关的MAC地址已经变为M1,于是进行ARP缓存更新,把网关的真实IP与这个假的MAC地址进行关联。当这些被攻击的主机想进行外部网络访问时会把数据送到网关,即封装网关的IP与MAC,主机会先查询本机内的ARP缓存记录,查找网关IP对应的MAC地址,由于这个MAC是假的,所以外发的数据无法送达网关。因此,造成的现象就是被攻击的主机无法访问外网或互联网。
5)命令执行过程结果如图12所示:
图12
6)有ICMP数据回应后可以发现, SnifferPro已经捕获到了协议数据。选择停止并查看,结果如图13所示,工作站1发送给工作站4的ARP查询请求数据帧的具体协议数据:
图13捕获到的ARP请求数据解码
7)工作站4应答工作站1的ARP回应数据帧的具体协议数据格式所图14所示:
图11
2)要想工作站1发送ARP请求给工作站4,并得到ARP回应,首先要确保工作站1的ARP缓存中没有工作站4的记录,所以先在工作站1上利用“arp -a”查看一下是否有此记录,如果有,则利用”arp –d”清除,为了看到效果在执行完清除命令后可以再执行一下“arp -a”看是否已经清除,这里不再重复了。
实验要求:
1.对两种加密算法的理解、分析与对比,能对两种加密算法的综合运用提出自己的观点。学会数据的机密性、完整性与源认证进行保护方法。
2.能利用PGP软件,生成密钥对,并能导入导出公钥,正确对文档进行加密与签名处理,实现对数据的机密性、完整性与源认证进行保护。
图14捕获到的ARP回应数据解码
4、
下面利用SnifferPro软件进行基于ARP协议的攻击模拟,即让图1中的所有主机不能进行外网访问(无法与网关通信),下面在工作站1上实施攻击模拟,步骤如下:
1)要进行模拟实施攻击,首先要构造一个数据帧,这很麻烦,这时可以捕获一个ARP的数据帧再进行改造(可以捕获一个网关的ARP数据帧)。设置SnifferPro捕获ARP通信的数据包(工作站1与网关之间)在工作站1上再次启动SnifferPro软件,并设置捕获过滤条件(Define Filter),选择捕获ARP协议。
图2图3
第四步:接下来会问是如何了解本软件的?选择一个。最后的序列号要正确填写。
图4
第五步:接下来是通过网络注册的提示。
第六步:由于我没有连网所以出现下面的界面,即无法连接,这不防碍软件的使用,只是注册用。
图5图6
第七步:下一步后,出现注册结果,点完成就可以结束sniffer pro安装了。出现提示要求IE5支持,接受即可,最后点完成,询问是否重启,重启后软件就可以使用了。
图20
此时在工作站1上用“arp -a”命令查看网关IP对应的MAC地址也已经变为网络中不存在的伪造的MAC地址:112233445566。
2)此时,停止发送伪造帧,即停止攻击,并分别在两台工作站上执行“arp -d”命令,重新PING网关后又可以进行连接并访问外网了。
至此针对ARP协议的分析、捕获与模拟攻击过程结束。
4、熟悉协议封装格式及原理,明确网络协议本身是不安全的。
实验要求:
1、复习网络层次及协议对应关系,协议封装,重点对ARP协议数据结构进行分析;
2、工具及软件选用:安装Sniffer Pro软件、捕获前的设置;
3、捕获ARP协议数据,并进行分析;
4、明确ARP协议的缺陷,制定模拟ARP攻击方法;
5、实施ARP协议模拟攻击与攻击结果检查;
3.针对ARP攻击,会采取方法防守。
实验二 利用PGP实施非对称加密
实验目的
1.掌握保护文件在通过互联网传输时不被其它人看到,即对机密性保护方法。
2.能对保护文件在通过互联网传输时的不被修改或破坏,即提供完整性保护方法。
3.接收者能确认出发送此文件的人是谁,即为源认证提供保护。
4.能合理选用加密算法,区分对称与非对称加密。了解不同加密算法的应用场合。
3)这时发现Sniffer Pro已经捕获到数据了,如图14所示,其中有四个数据帧,图中解码的为对10.1.103.4的攻击过程。
4)攻击过程是:工作站1以假的源MAC地址(010101010101)为源给网关发一个ARP包,欺骗网关,使网关会误认为工作站1的IP地址是:10.1.103.4,MAC地址是:010101010101(同时交换机的CAM表也更新)。工作站1以假的源MAC地址(010101010101)为源给工作站4发一个ARP包,欺骗其,使工作站4会误认为网关的IP地址10.1.103.254,对应的MAC地址是:010101010101。
3)确认已经清除工作站1的ARP缓存中关于工作站4的IP与MAC地址对应关系记录后,就可以启动SnifferPro进行协议数据捕获了。
4)在没有互相通信需求下,工作站1是不会主动发送ARP请求给工作站4,所以也就捕获不到ARP的协议数据,此时要在工作站1与工作站4之间进行一次通信,如可以在工作站1上ping工作站4,即:ping 10.1.103.4。
在下图中,当工作站1要和工作站4通信(如工作站1 Ping工作站4 )时。工作站1会先检查其ARP缓存内是否有工作站4的MAC地址。如果没有,工作站1会发送一个ARP请求广播包,此包内包含着其欲与之通信的主机的IP地址,也就是工作站4的IP地址。当工作站4收到此广播后,会将自己的MAC地址利用ARP响应包传给工作站1 ,并更新自己的ARP缓存,也就是同时将工作站1的IP地址/MAC地址对保存起来,以供后面使用。工作站1在得到工作站4的MAC地址后,就可以与工作站4通信了。同时,工作站1也将工作站4的IP地址/MAC地址对保存在自己的ARP缓存内。
选择停止查看按钮会出现如下图所示对话框,选择最下面的Decode选项卡。即可以看捕获后的数据的解码。
图9图10
3、
在工作站1上进行,分析步骤如下:
1)设置SnifferPro捕获ARP通信的数据包(工作站1与工作站4之间)在工作站1上安装并启动SnifferPro软件,并设置捕获过滤条件(Define Filter),选择捕获ARP协议。如图11所示:
实验九基于Snort入侵检测功能配置105
实验十网络管理技术的SNMP实现120
实验一
实验目的:
1、在不影响网络安全可靠运行的前提下,对网络中不同类型的协议数据进行捕获;
2、能对捕获到的不同类型协议数据进行准确的分析判断,发现异常;
3、快速有效地定位网络中的故障原因,在不投入新的设备情况下解决问题;
5)攻击的结果是:网关发给工作站4的数据发到了工作站1;工作站4发给网关的数据也发到了工作站1(MAC:010101010101)。
6)分析:这种攻击方式与前面的Sniffer Pro软件模拟的是一个原理。只是目的不同,这个更为复杂一些。
图21
实验报告内容:
1.学会sniffer的安装和使用。
2.要会伪造数据包,发送数据包实施ARP攻击。
6、确定ARP攻击流量并加以分析;
7、针对此类攻击的防范。
实验工具与软件:
1、协议分析软件Sniffer pro;
2、ARP攻击器;
3、在实际工作中建议使用笔记本电脑配置一条直通双绞线和一条交换机配置线。
实验原理:
在以太网同一网段内部,当一个基于TCP/IP的应用程序需要从一台主机发送数据给另一台主机时,它把信息分割并封装成包,附上目的主机的IP地址。然后,寻找IP地址到实际MAC地址的映射,这需要发送ARP广播消息。当ARP找到了目的主机MAC地址后,就可以形成待发送帧的完整以太网帧头(在以太网中,同一局域网内的通信是通过MAC寻址来完成的,所以在IP数据包前要封装以太网数据帧,当然要有明确的目的主机的MAC地址方可正常通信)。最后,协议栈将IP包封装到以太网帧中进行传送。
实验步骤:
第一步:安装过程也很简单,双击安装程序,下一步,进入安装界面,下一步,出现许可协议,这些是软件安装的通用的步骤了,YES同意即可。接下来要求名称各公司输入即可。
第二步:下一步后,选择并设置安装的目的路径后再下一步。就开始安装了。
第三步:接下来要求填写个人信息:姓名、商业、电子邮件等,填写完成后就可以下一步了。接下来还是要求填写个人联联系方式:地址、城市、国家、邮编、电话等,填写完成后就可以下一步了。需要注意的是各项目在填写时注意格式,字母与数字要区分开。
图16
图17工作站1发出去的ARP请求数据帧数据
6)数据(Data)是工作站1发出去查询网关MAC地ARP请求数据,具体解释参见图18。
图18图19
7)对工作站1发出去查询网关MAC地ARP请求数据(Data)进行如图17所示的伪造修改,即这个帧是被伪造为网关IP(10.1.103.254)地址和MAC地址(伪造为假的:112233445566)发出去的查询10.1.103.153(十六进制数为:0a01 67 99 )的MAC地址的ARP广播帧,这样所有本地网段内的主机都会收到并更新记录,以为网关(IP为10.1.103.254)的MAC地址变为了112233445566 ,并将这一错误关联加入各自的ARP缓存中(包括工作站自身)。
《网络安全》实训指导
实验一ARP模拟攻击测试与流量分析1
实验二利用PGP实施非对称加密16
实验三利用数字证书保护通信28
实验四利用隧道技术连接企业与分支38
实验五基于路由器实现VPN连接45
实验六基本防火墙功能配置61
实验七软件防火墙配置保护主机与内部网络79
实验八基于Session wall入侵检测功能配置92
6、
1)在工作站1上开启Sniffer Pro并设置对ARP协议进行捕获,启动捕获。
2)开启WinArpAttacker软件,先进行Scan扫描本局域网内的存活主机。在要攻击的目标主机前选中,然后选择Attack-BanGateway。这里选择两台目标主机(10.1.103.4和10.1.103.5)。
图7
2、网络协议分析软件sniffer pro的配置
启动sniffer pro软件,在主窗口的工具栏上点选捕获设置(Define Filter)按钮,可以对要捕获的协议数据设置捕获过滤条件。默认情况下捕获所有从指定网卡接收的全部协议数据。捕获到数据后停止查看按钮会由灰色不可用状态变为彩色的可用状态。
4)有ICMP数据回应后可以发现, SnifferPro已经捕获到了协议数据。选择停止并查看,在第1帧数据包(具体数据结构参见图17)上点击右键,并选择“Send Current Frame…”。如图15所示
图15SnifferPro捕获到的工作站1发出去的ARP请求数据帧
5)出现如图16所示对话框,其中的数据(Data)即是工作站1发出去查询网关MAC地ARP请求数据,已经放入发送缓冲区内,此时可以进行修改了。
8)修改后的帧缓冲区中的数据如图19所示,修改后在发送(Send)次数下选择连续发送(Continuously),发送类型(Send Type)下选择每隔10毫秒一次。后点击确定,伪造的数据帧即开始按此间隔时间不断发送了,想停止发送按图11所示操作即可,这里先不停止。
5、
1)在工作站1上通过远程桌面连接到工作站4,在未发送伪造的数据帧之前工作站4是可以和网关10.1.103.254进行通信,当启动包生成器发送伪造的数据帧后,还能PING通网关了,在工作站4上用“arp -a”命令查看网关IP对应的MAC地址已经变为网络中不存在的伪造的MAC地址:112233445566。所以无法访问网关也无法进行外网连接了,如图十九所示。
2)要想工作站1发送ARP请求给网关,并得到ARP回应,首先启动SnifferPro捕获,然后利用”arp–d”清除ARP缓存。
3)在没有互相通信需求下,工作站1是不会主动发送ARP请求给网关的,所以也就捕获不到ARP的协议数据,此时要在工作站1与网关之间进行一次通信,如可以在工作ቤተ መጻሕፍቲ ባይዱ1上ping网关,即:ping 10.1.103.254。
图1 实验拓扑结构
如果想查看ARP缓存中的所有记录,可以在用命令“arp -a”;如果想清除ARP缓存中的动态记录,可以在用命令“arp -d”。
ARP攻击的特点是:当同一局域网内的一台或多台计算机感染了ARP攻击程序后,会不断发送伪造的ARP攻击包,如果这个攻击包的源MAC地址伪造为一个假的MAC地址(M1),源IP伪造成网关的IP地址,目的MAC为广播地址。这样所有同一网段内的主机都会收到,误以为网关的MAC地址已经变为M1,于是进行ARP缓存更新,把网关的真实IP与这个假的MAC地址进行关联。当这些被攻击的主机想进行外部网络访问时会把数据送到网关,即封装网关的IP与MAC,主机会先查询本机内的ARP缓存记录,查找网关IP对应的MAC地址,由于这个MAC是假的,所以外发的数据无法送达网关。因此,造成的现象就是被攻击的主机无法访问外网或互联网。
5)命令执行过程结果如图12所示:
图12
6)有ICMP数据回应后可以发现, SnifferPro已经捕获到了协议数据。选择停止并查看,结果如图13所示,工作站1发送给工作站4的ARP查询请求数据帧的具体协议数据:
图13捕获到的ARP请求数据解码
7)工作站4应答工作站1的ARP回应数据帧的具体协议数据格式所图14所示:
图11
2)要想工作站1发送ARP请求给工作站4,并得到ARP回应,首先要确保工作站1的ARP缓存中没有工作站4的记录,所以先在工作站1上利用“arp -a”查看一下是否有此记录,如果有,则利用”arp –d”清除,为了看到效果在执行完清除命令后可以再执行一下“arp -a”看是否已经清除,这里不再重复了。
实验要求:
1.对两种加密算法的理解、分析与对比,能对两种加密算法的综合运用提出自己的观点。学会数据的机密性、完整性与源认证进行保护方法。
2.能利用PGP软件,生成密钥对,并能导入导出公钥,正确对文档进行加密与签名处理,实现对数据的机密性、完整性与源认证进行保护。
图14捕获到的ARP回应数据解码
4、
下面利用SnifferPro软件进行基于ARP协议的攻击模拟,即让图1中的所有主机不能进行外网访问(无法与网关通信),下面在工作站1上实施攻击模拟,步骤如下:
1)要进行模拟实施攻击,首先要构造一个数据帧,这很麻烦,这时可以捕获一个ARP的数据帧再进行改造(可以捕获一个网关的ARP数据帧)。设置SnifferPro捕获ARP通信的数据包(工作站1与网关之间)在工作站1上再次启动SnifferPro软件,并设置捕获过滤条件(Define Filter),选择捕获ARP协议。
图2图3
第四步:接下来会问是如何了解本软件的?选择一个。最后的序列号要正确填写。
图4
第五步:接下来是通过网络注册的提示。
第六步:由于我没有连网所以出现下面的界面,即无法连接,这不防碍软件的使用,只是注册用。
图5图6
第七步:下一步后,出现注册结果,点完成就可以结束sniffer pro安装了。出现提示要求IE5支持,接受即可,最后点完成,询问是否重启,重启后软件就可以使用了。
图20
此时在工作站1上用“arp -a”命令查看网关IP对应的MAC地址也已经变为网络中不存在的伪造的MAC地址:112233445566。
2)此时,停止发送伪造帧,即停止攻击,并分别在两台工作站上执行“arp -d”命令,重新PING网关后又可以进行连接并访问外网了。
至此针对ARP协议的分析、捕获与模拟攻击过程结束。
4、熟悉协议封装格式及原理,明确网络协议本身是不安全的。
实验要求:
1、复习网络层次及协议对应关系,协议封装,重点对ARP协议数据结构进行分析;
2、工具及软件选用:安装Sniffer Pro软件、捕获前的设置;
3、捕获ARP协议数据,并进行分析;
4、明确ARP协议的缺陷,制定模拟ARP攻击方法;
5、实施ARP协议模拟攻击与攻击结果检查;
3.针对ARP攻击,会采取方法防守。
实验二 利用PGP实施非对称加密
实验目的
1.掌握保护文件在通过互联网传输时不被其它人看到,即对机密性保护方法。
2.能对保护文件在通过互联网传输时的不被修改或破坏,即提供完整性保护方法。
3.接收者能确认出发送此文件的人是谁,即为源认证提供保护。
4.能合理选用加密算法,区分对称与非对称加密。了解不同加密算法的应用场合。
3)这时发现Sniffer Pro已经捕获到数据了,如图14所示,其中有四个数据帧,图中解码的为对10.1.103.4的攻击过程。
4)攻击过程是:工作站1以假的源MAC地址(010101010101)为源给网关发一个ARP包,欺骗网关,使网关会误认为工作站1的IP地址是:10.1.103.4,MAC地址是:010101010101(同时交换机的CAM表也更新)。工作站1以假的源MAC地址(010101010101)为源给工作站4发一个ARP包,欺骗其,使工作站4会误认为网关的IP地址10.1.103.254,对应的MAC地址是:010101010101。
3)确认已经清除工作站1的ARP缓存中关于工作站4的IP与MAC地址对应关系记录后,就可以启动SnifferPro进行协议数据捕获了。
4)在没有互相通信需求下,工作站1是不会主动发送ARP请求给工作站4,所以也就捕获不到ARP的协议数据,此时要在工作站1与工作站4之间进行一次通信,如可以在工作站1上ping工作站4,即:ping 10.1.103.4。
在下图中,当工作站1要和工作站4通信(如工作站1 Ping工作站4 )时。工作站1会先检查其ARP缓存内是否有工作站4的MAC地址。如果没有,工作站1会发送一个ARP请求广播包,此包内包含着其欲与之通信的主机的IP地址,也就是工作站4的IP地址。当工作站4收到此广播后,会将自己的MAC地址利用ARP响应包传给工作站1 ,并更新自己的ARP缓存,也就是同时将工作站1的IP地址/MAC地址对保存起来,以供后面使用。工作站1在得到工作站4的MAC地址后,就可以与工作站4通信了。同时,工作站1也将工作站4的IP地址/MAC地址对保存在自己的ARP缓存内。