網(wǎng)絡(luò)嗅探技術(shù)-教案13

《網(wǎng)絡(luò)安全技術(shù)實踐教程》教案授課單位：授課時間：授課班級：授課教師：年月日教案13（第13號/17號）課程名稱網(wǎng)絡(luò)安全技術(shù)實踐授課日期、節(jié)次班級課堂類型理論+實踐地點章節(jié)（任務(wù)）名稱任務(wù)6.3ARP欺騙攻擊教學(xué)目標(biāo)知識目標(biāo)1.掌握ARP欺騙攻擊的原理。2.熟悉ARP欺騙攻擊的檢測與防御能力目標(biāo)1.能夠有效檢測并識別ARP欺騙攻擊。2.能夠針對ARP欺騙攻擊進(jìn)行有效的防御。素質(zhì)目標(biāo)1.培養(yǎng)學(xué)生精益求精的工匠精神。2.培養(yǎng)學(xué)生樹立牢固的法治觀念，提升網(wǎng)絡(luò)安全意識。學(xué)情分析授課對象：計算機網(wǎng)絡(luò)技術(shù)專業(yè)學(xué)生，包括中職與普高混合班。學(xué)生特點：計算機網(wǎng)絡(luò)技術(shù)專業(yè)學(xué)生，基礎(chǔ)知識存在差異，需針對性講解與實踐操作結(jié)合。學(xué)習(xí)習(xí)慣：偏愛實踐性強的課程，理論學(xué)習(xí)興趣較低。樂于通過案例和互動式教學(xué)理解知識點。重難點分析教學(xué)重點1.ARP欺騙攻擊的原理。2.ARP欺騙攻擊的檢測與防御。教學(xué)難點1.ARP欺騙攻擊的原理。2.ARP欺騙攻擊的檢測與防御。信息化應(yīng)用方法通過課件、視頻、案例分析、互動提問等多種信息化方式，借助學(xué)習(xí)通平臺發(fā)布學(xué)習(xí)資源和任務(wù)，學(xué)生自主學(xué)習(xí)并完成任務(wù)。課程思政元素1.法律責(zé)任。結(jié)合網(wǎng)絡(luò)安全法第27條、第63條，明確未經(jīng)授權(quán)實施ARP攻擊可能構(gòu)成“非法侵入計算機信息系統(tǒng)罪”。2.服務(wù)意識。塑造職業(yè)精神，使學(xué)生形成運用所學(xué)專業(yè)知識為社會貢獻(xiàn)的責(zé)任感。3.工匠精神。鍛煉學(xué)生實事求是的工作態(tài)度，培養(yǎng)學(xué)生嚴(yán)謹(jǐn)細(xì)致的工作作風(fēng)、精益求精的工匠精神。教學(xué)實施過程課前：平臺發(fā)布網(wǎng)絡(luò)嗅探技術(shù)任務(wù)3學(xué)習(xí)任務(wù)，學(xué)生預(yù)習(xí)。課中：導(dǎo)入新課工程師小林在排查交換機MAC地址泛洪攻擊的過程中，發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的設(shè)備存在通信延遲或無法正常訪問的問題。經(jīng)過分析，小林發(fā)現(xiàn)了偽造IP地址和MAC地址，懷疑內(nèi)部網(wǎng)絡(luò)受到了ARP欺騙攻擊。因此，小林決定對ARP欺騙攻擊展開詳細(xì)的排查。任務(wù)知識點講解1ARP簡介ARP是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議。主機發(fā)送信息時，將包含目標(biāo)IP地址的ARP請求廣播到局域網(wǎng)上的所有主機，并接收返回消息，以此確定目標(biāo)的物理地址；收到返回消息后，將該IP地址和物理地址存入本機ARP緩存中，并保留一定時間，下次請求時可直接查詢ARP緩存以節(jié)約資源。我們知道，不管網(wǎng)絡(luò)層使用的是什么協(xié)議，在實際網(wǎng)絡(luò)的鏈路上傳送數(shù)據(jù)幀時，最終還是必須使用物理地址，但I(xiàn)P地址和物理地址因格式不同而不存在簡單的映射關(guān)系。此外，在一個網(wǎng)絡(luò)中，可能經(jīng)常會有新的設(shè)備加入進(jìn)來，或撤走一些舊的設(shè)備。那么怎樣才能找到目的設(shè)備的物理地址？ARP就是為了解決這樣的問題而出現(xiàn)的。解決辦法是在每一個主機中都設(shè)置一個ARP高速緩存（ARPCache），其中存儲了局域網(wǎng)內(nèi)各主機和路由器的IP地址到物理地址的映射表。當(dāng)主機A欲向本局域網(wǎng)內(nèi)的某個主機B發(fā)送IP數(shù)據(jù)包時，首先在其ARP高速緩存中查看有無主機B的IP地址。如果有，就可查出其對應(yīng)的物理地址，再將此物理地址寫入MAC數(shù)據(jù)幀，然后通過局域網(wǎng)將該MAC數(shù)據(jù)幀發(fā)往此物理地址；如果沒有，可能是主機B剛?cè)刖W(wǎng)的原因，在這種情況下，主機A會自動運行ARP，然后按照以下步驟獲取主機B的物理地址。（1）在本局域網(wǎng)內(nèi)廣播發(fā)送一個ARP請求分組，詢問主機B的物理地址。（2）該局域網(wǎng)內(nèi)所有主機運行的ARP進(jìn)程都會收到此ARP請求分組。（3）主機B的IP地址與ARP請求分組中要查詢的IP地址一致，它會向主機A發(fā)送ARP響應(yīng)分組，在響應(yīng)分組中寫入自己的物理地址。而其他主機的IP地址都與ARP請求分組中要查詢的IP地址不一致，因此都忽略這個ARP請求分組。（4）主機A收到主機B的ARP響應(yīng)分組后，就在其ARP高速緩存中寫入主機B的IP地址到物理地址的映射。詳細(xì)過程如圖6-29所示。（a）主機A廣播發(fā)送ARP請求分組（b）主機B向A發(fā)送ARP響應(yīng)分組圖6-29使用ARP獲取物理地址的流程ARP用于解決同一個局域網(wǎng)上的主機或路由器的IP地址到MAC地址的映射問題。從IP地址到物理地址的解析是自動進(jìn)行的，主機的用戶通常是不知道這種地址解析過程的。當(dāng)主機或路由器要和本網(wǎng)絡(luò)上的另一個已知IP地址的主機或路由器進(jìn)行通信時，ARP就會自動地將該IP地址解析為鏈路層所需要的物理地址。如果所要找的主機和源主機不在同一個局域網(wǎng)上，就要通過ARP找到一個位于本局域網(wǎng)上的某個路由器的物理地址，然后把分組發(fā)送給這個路由器，由這個路由器把分組轉(zhuǎn)發(fā)給下一個網(wǎng)絡(luò)，剩下的工作就由下一個網(wǎng)絡(luò)來完成。ARP有以下4種典型使用場景。（1）發(fā)送方是主機，要把IP數(shù)據(jù)包發(fā)送到本網(wǎng)絡(luò)上的另一個主機。這時用ARP找到目的主機的物理地址。（2）發(fā)送方是主機，要把IP數(shù)據(jù)包發(fā)送到另一個網(wǎng)絡(luò)上的一個主機。這時用ARP找到本網(wǎng)絡(luò)上的一個路由器的物理地址，剩下的工作由這個路由器來完成。（3）發(fā)送方是路由器，要把IP數(shù)據(jù)包轉(zhuǎn)發(fā)到本網(wǎng)絡(luò)上的一個主機。這時用ARP找到目的主機的物理地址。（4）發(fā)送方是路由器，要把IP數(shù)據(jù)包轉(zhuǎn)發(fā)到另一個網(wǎng)絡(luò)上的一個主機。這時用ARP找到本網(wǎng)絡(luò)上另一個路由器的物理地址，剩下的工作由這個路由器來完成。PC端常用的ARP請求命令如下。（1）查看緩存表命令：arp–a。（2）建立靜態(tài)緩存表命令（在一段時間內(nèi)，如果主機不與某一IP地址對應(yīng)的主機通信，則動態(tài)緩存表會刪除對應(yīng)的地址，但是靜態(tài)緩存表中的內(nèi)容則是永久性的）：arp-sipmac。（3）清空緩存表命令：arp-d。2ARP欺騙攻擊原理從上述ARP獲取MAC地址的過程中，我們可以發(fā)現(xiàn)ARP請求并不安全，其信任根基脆弱。在局域網(wǎng)框架內(nèi)，默認(rèn)主機之間無條件信賴。此環(huán)境下，任意設(shè)備皆能自由發(fā)出ARP響應(yīng)，而接收端則不加甄別地全部接收，并將這些響應(yīng)存儲到ARP緩存中，沒有設(shè)置真實驗證機制。正因如此，惡意攻擊者得以乘虛而入，散布偽造ARP響應(yīng)，悄無聲息地篡改目標(biāo)機器的MAC映射表，實現(xiàn)ARP欺騙。此類攻擊的核心在于憑空捏造IP地址與MAC地址的映射，將網(wǎng)絡(luò)淹沒于海量欺詐性ARP流量之中，僅需持續(xù)發(fā)送偽造ARP響應(yīng)包流，即可逐步侵蝕、修改目標(biāo)緩存中的IP-MAC映射關(guān)系，導(dǎo)致網(wǎng)絡(luò)中斷，甚至可能使中間人攻擊得逞，網(wǎng)絡(luò)安全防線面臨嚴(yán)峻挑戰(zhàn)。ARP欺騙攻擊原理如圖6-30所示。圖6-30ARP欺騙攻擊原理攻擊者主機B向網(wǎng)關(guān)C發(fā)送一個響應(yīng)，其中包括主機A的IP地址、主機B的MAC地址。同時，主機B向主機A發(fā)送一個響應(yīng)，其中包括網(wǎng)關(guān)C的IP地址、主機B的MAC地址。這時，網(wǎng)關(guān)C就會將緩存表里主機A的MAC地址換成主機B的MAC地址，而主機A也會將緩存表里網(wǎng)關(guān)C的MAC地址換成主機B的MAC地址。因此，網(wǎng)關(guān)C發(fā)送給主機A的消息全被主機B接收，而主機A發(fā)送給網(wǎng)關(guān)C的消息也全被主機B接收，主機B便成為主機A和網(wǎng)關(guān)C通信的“中間人”。ARP欺騙攻擊主要存在于局域網(wǎng)中，局域網(wǎng)中若有一臺設(shè)備感染ARP木馬，則該設(shè)備將試圖通過ARP欺騙手段截獲網(wǎng)絡(luò)內(nèi)其他設(shè)備的通信信息，從而造成局域網(wǎng)內(nèi)設(shè)備通信延遲或故障。3ARP欺騙攻擊特點與危害ARP欺騙攻擊具有如下特點。（1）攻擊成本低：不需要特殊的網(wǎng)絡(luò)設(shè)備，攻擊者只要能夠?qū)⒂嬎銠C接入網(wǎng)絡(luò)，就能對網(wǎng)絡(luò)內(nèi)的主機實施ARP欺騙攻擊。（2）技術(shù)要求低：ARP本身比較簡單，且存在明顯的安全漏洞，攻擊者只要了解ARP的原理，就能夠利用相應(yīng)的攻擊軟件或自行編寫軟件進(jìn)行攻擊。（3）溯源困難：雖然攻擊者處在網(wǎng)絡(luò)內(nèi)部，但由于ARP數(shù)據(jù)包只在IP層傳送，如果沒有專門的工具，用戶很難發(fā)現(xiàn)自己被攻擊。此外，許多攻擊者都會偽造主機的IP地址和MAC地址，甚至假冒其他主機的地址來實施攻擊，使查找攻擊主機變得更加困難。鑒于ARP欺騙攻擊的這些特點，其對網(wǎng)絡(luò)環(huán)境構(gòu)成的威脅不容小覷，我們應(yīng)了解ARP欺騙攻擊的典型危害。（1）使同一網(wǎng)段內(nèi)的其他用戶無法上網(wǎng)。（2）可嗅探到交換式局域網(wǎng)中的所有數(shù)據(jù)包。（3）可對局域網(wǎng)內(nèi)的信息進(jìn)行篡改。（4）可控制局域網(wǎng)內(nèi)任何主機。4ARP欺騙攻擊的檢測與防御鑒于ARP欺騙攻擊會帶來嚴(yán)重危害，及時對其進(jìn)行檢測與防御顯得尤為重要，以下列舉了幾種常見的檢測與防御措施。（1）主機級主動檢測：主機定期向所在局域網(wǎng)發(fā)送查詢自己的IP地址的ARP請求報文，如果收到另一ARP響應(yīng)報文，則說明該網(wǎng)絡(luò)上另有一臺機器與自己使用相同的IP地址。（2）服務(wù)器級檢測：比較同一MAC地址對應(yīng)的IP地址，如果這些IP地址不同，則說明對方偽造了ARP響應(yīng)報文。（3）網(wǎng)絡(luò)級檢測：配置主機定期向中心管理主機報告其ARP緩存表的內(nèi)容，或者利用網(wǎng)絡(luò)嗅探工具連續(xù)監(jiān)測網(wǎng)絡(luò)內(nèi)主機物理地址與IP地址對應(yīng)關(guān)系的變化。ARP欺騙攻擊的防御可以從以下幾個方面著手。（1）MAC地址綁定：由于ARP欺騙攻擊是通過偽造IP地址和MAC地址欺騙目標(biāo)主機，從而更改ARP緩存中的路由表進(jìn)行攻擊，因此，只要將局域網(wǎng)中每臺計算機的IP地址與MAC地址綁定，就能有效地防御ARP欺騙攻擊。（2）使用靜態(tài)緩存表：如果需要更新ARP緩存表，則手動進(jìn)行更新，以確保黑客無法進(jìn)行ARP欺騙攻擊。（3）使用ARP服務(wù)器：在確保ARP服務(wù)器不被攻擊者控制的情況下，使用ARP服務(wù)器來搜索自己的ARP緩存表來響應(yīng)其他客戶端的ARP廣播。（4）使用ARP防火墻有條件的情況下，使用ARP防火墻等防御ARP欺騙攻擊的工具來進(jìn)行ARP欺騙攻擊的防御。（5）隔離攻擊源：及時發(fā)現(xiàn)正在進(jìn)行ARP欺騙攻擊的客戶端并立即對其采取隔離措施。（6）劃分VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)）：在3層交換機的網(wǎng)絡(luò)中，可以通過劃分VLAN來縮小ARP欺騙攻擊的影響范圍。VLAN的劃分不受網(wǎng)絡(luò)端口實際物理位置的限制，用戶可以根據(jù)不同客戶端的功能、應(yīng)用等將其從邏輯上劃分在一個相對獨立的VLAN中，每個客戶端的主機都連接在支持該VLAN的交換機端口上。同一VLAN內(nèi)的主機形成一個廣播域，不同VLAN之間的廣播報文能夠得到有效的隔離。由于ARP欺騙攻擊不能跨網(wǎng)段進(jìn)行，因此，這種方法能夠有效地將ARP欺騙攻擊限制在一定范圍內(nèi)。但其缺點是增加了網(wǎng)絡(luò)管理的復(fù)雜度，而且難以適應(yīng)網(wǎng)絡(luò)的動態(tài)變化。。任務(wù)實施步驟1．查看IP地址和MAC地址（1）在虛擬機攻擊機上，進(jìn)入命令輸入界面，輸入命令“ifconfig”并執(zhí)行，查看攻擊機IP地址和MAC地址信息，其IP地址為“192.168.124.135”，MAC地址為“00:0c:29:82:cb:54”，如圖6-31所示。圖6-31查看攻擊機IP地址和MAC地址（2）在虛擬機靶機上，進(jìn)入命令輸入界面，輸入命令“ipconfig/all”并執(zhí)行，查看靶機的IP地址和MAC地址信息，IP地址為“192.168.124.143”，物理地址為“00-0C-29-5D-A2-36”，如圖6-32所示。圖6-32查看靶機IP地址和MAC地址2．實施ARP欺騙攻擊（1）在Kali系統(tǒng)虛擬機攻擊機中，進(jìn)入命令輸入界面，輸入命令“fping-asg192.168.124.0/24”，并執(zhí)行查找靶機所在網(wǎng)段中當(dāng)前存活的主機，查看是否能看到靶機的IP地址，如圖6-33所示。圖6-33當(dāng)前存活的主機從圖6-33中可以看出，當(dāng)前存活的主機有4臺，分別是攻擊機本機（IP地址：192.168.124.135）、宿主機（IP地址：192.168.124.143）、VMwareWorkstationPro系統(tǒng)所在主機（IP地址：192.168.124.1）和網(wǎng)關(guān)（IP地址：192.168.124.2）。（2）輸入命令“arp-a”并執(zhí)行，查看當(dāng)前存活的主機的IP地址與MAC地址映射表，如圖6-34所示。圖6-34當(dāng)前存活的主機的IP地址與MAC地址映射表在這里需要特別注意，網(wǎng)關(guān)IP地址“192.168.124.2”對應(yīng)的MAC地址為“00:50:56:fa:92:df”。（3）輸入命令“arpspoof-ieth0-t192.168.124.143192.168.124.2”并執(zhí)行，這里的“-i”用于指定網(wǎng)卡，“-t”用于指定持續(xù)不斷攻擊。該命令執(zhí)行后，攻擊機會持續(xù)不斷地發(fā)送ARP響應(yīng)，進(jìn)行ARP欺騙攻擊，如圖6-35所示。圖6-35開啟ARP欺騙攻擊（4）此時，進(jìn)入Windows10系統(tǒng)宿主機，發(fā)現(xiàn)已經(jīng)無法正常上網(wǎng)，如圖6-36所示。（5）進(jìn)入命令輸入界面，輸入命令“arp-a”并執(zhí)行，可以看到網(wǎng)關(guān)IP地址“192.168.124.2”對應(yīng)的MAC地址已經(jīng)變?yōu)椤?0-0c-29-82-cb-54”，而這個MAC地址，就是Kali系統(tǒng)攻擊機IP地址對應(yīng)的MAC地址，從而證明ARP欺騙攻擊成功，如圖6-37所示。圖6-36目標(biāo)靶機無法訪問網(wǎng)絡(luò)圖6-37網(wǎng)關(guān)MAC地址改變（6）在攻擊機命令輸入窗口，按快捷鍵“Ctrl+C”，停止ARP欺騙攻擊。再次進(jìn)入目標(biāo)靶機，測試發(fā)現(xiàn)，目標(biāo)靶機已經(jīng)能