《网络安全管理课程设计》实验指导书

《网络安全管理课程设计》实验指导书

实验指导书

《网络安全管理课程设计》实训

实验一 xx络安全相关法律法规

实验目的：

xx络安全相关法律法规实验步骤：

1. 上网搜索网络安全相关法律法规；

2. 学习：

《互联网上网服务营业场所管理条例》《互联网电子公告服务管理规定》《计算机病毒防治管理办法》《中华人民共和国计算机信息系统安全保护条例》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》《关于维护互联网安全的决定》《中华人民共和国刑法(摘录):第二百八十五条第二百八十六条第二百

八十七条》

2

实验二常用攻击协议的原理验证

一、ARP欺骗背景描述：

流经主机A和主机C的数据包被主机D使用ARP欺骗进行截获和转发。

流经主机E和主机F的数据包被主机B使用ARP欺骗进

行截获和转发。环境拓扑图如下：

原理：

ARP表是IP地址和MAC地址的映射关系表，任何实现了IP协议栈的设备，一般情况下都通过该表维护IP地址和MAC 地址的对应关系，这是为了避免ARP解析而造成的广播数据报文对网络造成冲击。ARP表的建立一般情况下是通过二个途径：

1、主动解析，如果一台计算机想与另外一台不知道MAC 地址的计算机通信，则该计算机主动发ARP请求，通过ARP 协议建立；

2、被动请求，如果一台计算机接收到了一台计算机的ARP请求，则首先在本地建立请求计算机的IP地址和MAC地址的对应表。

因此，针对ARP表项，一个可能的攻击就是误导计算机建立正确的ARP表。根据ARP协议，如果一台计算机接收到了一个ARP请求报文，在满足下列两个条件的情况下，该计算机会用ARP请求报文中的源IP地址和源MAC地址更新自己的ARP缓存：

1、如果发起该ARP请求的IP地址在自己本地的ARP 缓存中；

2、请求的目标IP地址不是自己的。

举例说明过程:假设有三台计算机A，B，C，其中B已经正确建立了A和C计算机的ARP表项。假设A是攻击者，此

时，A发出一个ARP请求报文，该ARP请求报文这样构造：

1、源IP地址是C的IP地址，源MAC地址是A的MAC 地址；

3

2、请求的目标IP地址是B的IP地址。

这样计算机B在收到这个ARP请求报文后，发现C的ARP 表项已经在自己的缓存中，但MAC地址与收到的请求的源MAC 地址不符，于是根据ARP协议，使用ARP请求的源MAC地址更新自己的ARP表。

这样B的ARP缓存中就存在这样的错误ARP表项：C的IP地址跟A的MAC地址对应。这样的结果是，B发给C的数据都被计算机A接收到。步骤：

按照拓扑结构图连接网络，使用拓扑验证检查连接的正确性。

本练习将主机A、C和D作为一组，主机B、E、F作为一组。现仅以主机A、C和D为例说明试验步骤。

1. 主机A和主机C使用“arp -a”命令察看并记录ARP 高速缓存。

2. 主机A、C启动协议分析器开始捕获数据并设置过滤条件。

3. 主机A ping 主机C。观察主机A、C上是捕获到的ICMP报文，记录MAC

地址。

4. 主机D启动仿真xx器向主机AxxARP请求报文。其中：

MAC层：“源MAC地址”设置为主机D的MAC地址“目的MAC地址”设置为主机A的MAC地址ARP层：“源MAC 地址”设置为主机D的MAC地址“源IP地址”设置为主机C的IP地址“目的MAC地址”设置为000000-000000。“目的IP地址”设置为主机A的IP地址

5. 主机D向主机CxxARP请求报文。其中：

MAC层：“源MAC地址”设置为主机D的MAC地址“目的MAC地址”设置为主机C的MAC地址ARP层：“源MAC 地址”设置为主机D的MAC地址“源IP地址”设置为主机A的IP地址“目的MAC地址”设置为000000-000000。“目的IP地址”设置为主机C的IP地址 6. 同时发送第4步和第5步所xx的数据包。

注意：为防止主机A和主机C的ARP高速缓存表被其它未知报文更新，可以定时发送数据包。 7. 观察并记录主机A和主机C的ARP高速缓存表。

8. 在主机D上启动静态路服务，目的是实现数据转发。

9. 主机D禁用ICMP协议。

a. 在命令行下输入“mmc”，启动微软管理控制台。

b. 导入控制台文件。单击“文件(F)\\打开(O)...”菜

单项来打开

“c:\\WINNT\\system32\\IPSecPolicy\\”。 c. 导入策略文件。单击“操作(A)\\所有任务(K)\\导入策略(I)...”

菜单项来打开“c:\\WINNT\\system32\\IPSecPolicy\\ 4

”。此命令执行成功后，在策略名称列表中会出现“禁用ICMP”项。

d. 启动策略。用鼠标选中“禁用ICMP”项，单击右键，选择“指

派(A)”菜单项。

10.主机A上ping主机C。

-n ：发送count指定的ECHO数据包数。通过这个命令可以自己定义发

送的个数，对衡量网络速度很有帮助。能够测试发送数据包的返回平均时间及时间的快慢程度。默认值为 4。

11.主机A、C停止捕获数据，分析捕获到的数据，并回答以下问题：

主机A、C捕获到的ICMP数据包的源MAC地址和目的MAC 地址是什

么？

结合主机A和主机C捕获到的数据包，绘制出第6步发

送的ICMP

数据包在网络中的传输路径图。

主机D取消对ICMP的禁用。在微软管理控制台上，用鼠标选中“禁用ICMP”项，单击右键，选择“不指派(U)”菜单项。

二、利用ICMP重定向进行信息窃取原理

在Internet上，主机数量要比路器多出许多，为了提高效率，主机都不参与路选择过程。主机通常使用静态路选择。当主机开始联网时，其路表中的项目数很有限，通常只知道默认路的IP地址。因此主机可能会把某数据发送到一个错误的路，其实该数据本应该发送给另一个网络的。在这种情况下，收到该数据的路器会把数据转发给正确的路器，同时，它会向主机发送ICMP重定向报文，来改变主机的路表。

路器发送ICMP Redirect消息给主机来指出存在一个更好的路。ICMP Redirect数据包使用下图中显示的结构。当IP数据报应该被发送到另一个路器时，收到数据报的路器就要发送ICMP重定向差错报文给IP数据报的发送端。ICMP重定向报文的接收者必须查看三个IP地址：

导致重定向的IP地址；

发送重定向报文的路器的IP地址；

应该采用的路器的IP地址。