




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
《網(wǎng)絡(luò)安全技術(shù)實踐教程》教案授課單位:授課時間:授課班級:授課教師:年月日教案13(第13號/17號)課程名稱網(wǎng)絡(luò)安全技術(shù)實踐授課日期、節(jié)次班級課堂類型理論+實踐地點章節(jié)(任務(wù))名稱任務(wù)6.3ARP欺騙攻擊教學(xué)目標(biāo)知識目標(biāo)1.掌握ARP欺騙攻擊的原理。2.熟悉ARP欺騙攻擊的檢測與防御能力目標(biāo)1.能夠有效檢測并識別ARP欺騙攻擊。2.能夠針對ARP欺騙攻擊進(jìn)行有效的防御。素質(zhì)目標(biāo)1.培養(yǎng)學(xué)生精益求精的工匠精神。2.培養(yǎng)學(xué)生樹立牢固的法治觀念,提升網(wǎng)絡(luò)安全意識。學(xué)情分析授課對象:計算機網(wǎng)絡(luò)技術(shù)專業(yè)學(xué)生,包括中職與普高混合班。學(xué)生特點:計算機網(wǎng)絡(luò)技術(shù)專業(yè)學(xué)生,基礎(chǔ)知識存在差異,需針對性講解與實踐操作結(jié)合。學(xué)習(xí)習(xí)慣:偏愛實踐性強的課程,理論學(xué)習(xí)興趣較低。樂于通過案例和互動式教學(xué)理解知識點。重難點分析教學(xué)重點1.ARP欺騙攻擊的原理。2.ARP欺騙攻擊的檢測與防御。教學(xué)難點1.ARP欺騙攻擊的原理。2.ARP欺騙攻擊的檢測與防御。信息化應(yīng)用方法通過課件、視頻、案例分析、互動提問等多種信息化方式,借助學(xué)習(xí)通平臺發(fā)布學(xué)習(xí)資源和任務(wù),學(xué)生自主學(xué)習(xí)并完成任務(wù)。課程思政元素1.法律責(zé)任。結(jié)合網(wǎng)絡(luò)安全法第27條、第63條,明確未經(jīng)授權(quán)實施ARP攻擊可能構(gòu)成“非法侵入計算機信息系統(tǒng)罪”。2.服務(wù)意識。塑造職業(yè)精神,使學(xué)生形成運用所學(xué)專業(yè)知識為社會貢獻(xiàn)的責(zé)任感。3.工匠精神。鍛煉學(xué)生實事求是的工作態(tài)度,培養(yǎng)學(xué)生嚴(yán)謹(jǐn)細(xì)致的工作作風(fēng)、精益求精的工匠精神。教學(xué)實施過程課前:平臺發(fā)布網(wǎng)絡(luò)嗅探技術(shù)任務(wù)3學(xué)習(xí)任務(wù),學(xué)生預(yù)習(xí)。課中:導(dǎo)入新課工程師小林在排查交換機MAC地址泛洪攻擊的過程中,發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的設(shè)備存在通信延遲或無法正常訪問的問題。經(jīng)過分析,小林發(fā)現(xiàn)了偽造IP地址和MAC地址,懷疑內(nèi)部網(wǎng)絡(luò)受到了ARP欺騙攻擊。因此,小林決定對ARP欺騙攻擊展開詳細(xì)的排查。任務(wù)知識點講解1ARP簡介ARP是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議。主機發(fā)送信息時,將包含目標(biāo)IP地址的ARP請求廣播到局域網(wǎng)上的所有主機,并接收返回消息,以此確定目標(biāo)的物理地址;收到返回消息后,將該IP地址和物理地址存入本機ARP緩存中,并保留一定時間,下次請求時可直接查詢ARP緩存以節(jié)約資源。我們知道,不管網(wǎng)絡(luò)層使用的是什么協(xié)議,在實際網(wǎng)絡(luò)的鏈路上傳送數(shù)據(jù)幀時,最終還是必須使用物理地址,但I(xiàn)P地址和物理地址因格式不同而不存在簡單的映射關(guān)系。此外,在一個網(wǎng)絡(luò)中,可能經(jīng)常會有新的設(shè)備加入進(jìn)來,或撤走一些舊的設(shè)備。那么怎樣才能找到目的設(shè)備的物理地址?ARP就是為了解決這樣的問題而出現(xiàn)的。解決辦法是在每一個主機中都設(shè)置一個ARP高速緩存(ARPCache),其中存儲了局域網(wǎng)內(nèi)各主機和路由器的IP地址到物理地址的映射表。當(dāng)主機A欲向本局域網(wǎng)內(nèi)的某個主機B發(fā)送IP數(shù)據(jù)包時,首先在其ARP高速緩存中查看有無主機B的IP地址。如果有,就可查出其對應(yīng)的物理地址,再將此物理地址寫入MAC數(shù)據(jù)幀,然后通過局域網(wǎng)將該MAC數(shù)據(jù)幀發(fā)往此物理地址;如果沒有,可能是主機B剛?cè)刖W(wǎng)的原因,在這種情況下,主機A會自動運行ARP,然后按照以下步驟獲取主機B的物理地址。(1)在本局域網(wǎng)內(nèi)廣播發(fā)送一個ARP請求分組,詢問主機B的物理地址。(2)該局域網(wǎng)內(nèi)所有主機運行的ARP進(jìn)程都會收到此ARP請求分組。(3)主機B的IP地址與ARP請求分組中要查詢的IP地址一致,它會向主機A發(fā)送ARP響應(yīng)分組,在響應(yīng)分組中寫入自己的物理地址。而其他主機的IP地址都與ARP請求分組中要查詢的IP地址不一致,因此都忽略這個ARP請求分組。(4)主機A收到主機B的ARP響應(yīng)分組后,就在其ARP高速緩存中寫入主機B的IP地址到物理地址的映射。詳細(xì)過程如圖6-29所示。(a)主機A廣播發(fā)送ARP請求分組(b)主機B向A發(fā)送ARP響應(yīng)分組圖6-29使用ARP獲取物理地址的流程ARP用于解決同一個局域網(wǎng)上的主機或路由器的IP地址到MAC地址的映射問題。從IP地址到物理地址的解析是自動進(jìn)行的,主機的用戶通常是不知道這種地址解析過程的。當(dāng)主機或路由器要和本網(wǎng)絡(luò)上的另一個已知IP地址的主機或路由器進(jìn)行通信時,ARP就會自動地將該IP地址解析為鏈路層所需要的物理地址。如果所要找的主機和源主機不在同一個局域網(wǎng)上,就要通過ARP找到一個位于本局域網(wǎng)上的某個路由器的物理地址,然后把分組發(fā)送給這個路由器,由這個路由器把分組轉(zhuǎn)發(fā)給下一個網(wǎng)絡(luò),剩下的工作就由下一個網(wǎng)絡(luò)來完成。ARP有以下4種典型使用場景。(1)發(fā)送方是主機,要把IP數(shù)據(jù)包發(fā)送到本網(wǎng)絡(luò)上的另一個主機。這時用ARP找到目的主機的物理地址。(2)發(fā)送方是主機,要把IP數(shù)據(jù)包發(fā)送到另一個網(wǎng)絡(luò)上的一個主機。這時用ARP找到本網(wǎng)絡(luò)上的一個路由器的物理地址,剩下的工作由這個路由器來完成。(3)發(fā)送方是路由器,要把IP數(shù)據(jù)包轉(zhuǎn)發(fā)到本網(wǎng)絡(luò)上的一個主機。這時用ARP找到目的主機的物理地址。(4)發(fā)送方是路由器,要把IP數(shù)據(jù)包轉(zhuǎn)發(fā)到另一個網(wǎng)絡(luò)上的一個主機。這時用ARP找到本網(wǎng)絡(luò)上另一個路由器的物理地址,剩下的工作由這個路由器來完成。PC端常用的ARP請求命令如下。(1)查看緩存表命令:arp–a。(2)建立靜態(tài)緩存表命令(在一段時間內(nèi),如果主機不與某一IP地址對應(yīng)的主機通信,則動態(tài)緩存表會刪除對應(yīng)的地址,但是靜態(tài)緩存表中的內(nèi)容則是永久性的):arp-sipmac。(3)清空緩存表命令:arp-d。2ARP欺騙攻擊原理從上述ARP獲取MAC地址的過程中,我們可以發(fā)現(xiàn)ARP請求并不安全,其信任根基脆弱。在局域網(wǎng)框架內(nèi),默認(rèn)主機之間無條件信賴。此環(huán)境下,任意設(shè)備皆能自由發(fā)出ARP響應(yīng),而接收端則不加甄別地全部接收,并將這些響應(yīng)存儲到ARP緩存中,沒有設(shè)置真實驗證機制。正因如此,惡意攻擊者得以乘虛而入,散布偽造ARP響應(yīng),悄無聲息地篡改目標(biāo)機器的MAC映射表,實現(xiàn)ARP欺騙。此類攻擊的核心在于憑空捏造IP地址與MAC地址的映射,將網(wǎng)絡(luò)淹沒于海量欺詐性ARP流量之中,僅需持續(xù)發(fā)送偽造ARP響應(yīng)包流,即可逐步侵蝕、修改目標(biāo)緩存中的IP-MAC映射關(guān)系,導(dǎo)致網(wǎng)絡(luò)中斷,甚至可能使中間人攻擊得逞,網(wǎng)絡(luò)安全防線面臨嚴(yán)峻挑戰(zhàn)。ARP欺騙攻擊原理如圖6-30所示。圖6-30ARP欺騙攻擊原理攻擊者主機B向網(wǎng)關(guān)C發(fā)送一個響應(yīng),其中包括主機A的IP地址、主機B的MAC地址。同時,主機B向主機A發(fā)送一個響應(yīng),其中包括網(wǎng)關(guān)C的IP地址、主機B的MAC地址。這時,網(wǎng)關(guān)C就會將緩存表里主機A的MAC地址換成主機B的MAC地址,而主機A也會將緩存表里網(wǎng)關(guān)C的MAC地址換成主機B的MAC地址。因此,網(wǎng)關(guān)C發(fā)送給主機A的消息全被主機B接收,而主機A發(fā)送給網(wǎng)關(guān)C的消息也全被主機B接收,主機B便成為主機A和網(wǎng)關(guān)C通信的“中間人”。ARP欺騙攻擊主要存在于局域網(wǎng)中,局域網(wǎng)中若有一臺設(shè)備感染ARP木馬,則該設(shè)備將試圖通過ARP欺騙手段截獲網(wǎng)絡(luò)內(nèi)其他設(shè)備的通信信息,從而造成局域網(wǎng)內(nèi)設(shè)備通信延遲或故障。3ARP欺騙攻擊特點與危害ARP欺騙攻擊具有如下特點。(1)攻擊成本低:不需要特殊的網(wǎng)絡(luò)設(shè)備,攻擊者只要能夠?qū)⒂嬎銠C接入網(wǎng)絡(luò),就能對網(wǎng)絡(luò)內(nèi)的主機實施ARP欺騙攻擊。(2)技術(shù)要求低:ARP本身比較簡單,且存在明顯的安全漏洞,攻擊者只要了解ARP的原理,就能夠利用相應(yīng)的攻擊軟件或自行編寫軟件進(jìn)行攻擊。(3)溯源困難:雖然攻擊者處在網(wǎng)絡(luò)內(nèi)部,但由于ARP數(shù)據(jù)包只在IP層傳送,如果沒有專門的工具,用戶很難發(fā)現(xiàn)自己被攻擊。此外,許多攻擊者都會偽造主機的IP地址和MAC地址,甚至假冒其他主機的地址來實施攻擊,使查找攻擊主機變得更加困難。鑒于ARP欺騙攻擊的這些特點,其對網(wǎng)絡(luò)環(huán)境構(gòu)成的威脅不容小覷,我們應(yīng)了解ARP欺騙攻擊的典型危害。(1)使同一網(wǎng)段內(nèi)的其他用戶無法上網(wǎng)。(2)可嗅探到交換式局域網(wǎng)中的所有數(shù)據(jù)包。(3)可對局域網(wǎng)內(nèi)的信息進(jìn)行篡改。(4)可控制局域網(wǎng)內(nèi)任何主機。4ARP欺騙攻擊的檢測與防御鑒于ARP欺騙攻擊會帶來嚴(yán)重危害,及時對其進(jìn)行檢測與防御顯得尤為重要,以下列舉了幾種常見的檢測與防御措施。(1)主機級主動檢測:主機定期向所在局域網(wǎng)發(fā)送查詢自己的IP地址的ARP請求報文,如果收到另一ARP響應(yīng)報文,則說明該網(wǎng)絡(luò)上另有一臺機器與自己使用相同的IP地址。(2)服務(wù)器級檢測:比較同一MAC地址對應(yīng)的IP地址,如果這些IP地址不同,則說明對方偽造了ARP響應(yīng)報文。(3)網(wǎng)絡(luò)級檢測:配置主機定期向中心管理主機報告其ARP緩存表的內(nèi)容,或者利用網(wǎng)絡(luò)嗅探工具連續(xù)監(jiān)測網(wǎng)絡(luò)內(nèi)主機物理地址與IP地址對應(yīng)關(guān)系的變化。ARP欺騙攻擊的防御可以從以下幾個方面著手。(1)MAC地址綁定:由于ARP欺騙攻擊是通過偽造IP地址和MAC地址欺騙目標(biāo)主機,從而更改ARP緩存中的路由表進(jìn)行攻擊,因此,只要將局域網(wǎng)中每臺計算機的IP地址與MAC地址綁定,就能有效地防御ARP欺騙攻擊。(2)使用靜態(tài)緩存表:如果需要更新ARP緩存表,則手動進(jìn)行更新,以確保黑客無法進(jìn)行ARP欺騙攻擊。(3)使用ARP服務(wù)器:在確保ARP服務(wù)器不被攻擊者控制的情況下,使用ARP服務(wù)器來搜索自己的ARP緩存表來響應(yīng)其他客戶端的ARP廣播。(4)使用ARP防火墻有條件的情況下,使用ARP防火墻等防御ARP欺騙攻擊的工具來進(jìn)行ARP欺騙攻擊的防御。(5)隔離攻擊源:及時發(fā)現(xiàn)正在進(jìn)行ARP欺騙攻擊的客戶端并立即對其采取隔離措施。(6)劃分VLAN(VirtualLocalAreaNetwork,虛擬局域網(wǎng)):在3層交換機的網(wǎng)絡(luò)中,可以通過劃分VLAN來縮小ARP欺騙攻擊的影響范圍。VLAN的劃分不受網(wǎng)絡(luò)端口實際物理位置的限制,用戶可以根據(jù)不同客戶端的功能、應(yīng)用等將其從邏輯上劃分在一個相對獨立的VLAN中,每個客戶端的主機都連接在支持該VLAN的交換機端口上。同一VLAN內(nèi)的主機形成一個廣播域,不同VLAN之間的廣播報文能夠得到有效的隔離。由于ARP欺騙攻擊不能跨網(wǎng)段進(jìn)行,因此,這種方法能夠有效地將ARP欺騙攻擊限制在一定范圍內(nèi)。但其缺點是增加了網(wǎng)絡(luò)管理的復(fù)雜度,而且難以適應(yīng)網(wǎng)絡(luò)的動態(tài)變化。。任務(wù)實施步驟1.查看IP地址和MAC地址(1)在虛擬機攻擊機上,進(jìn)入命令輸入界面,輸入命令“ifconfig”并執(zhí)行,查看攻擊機IP地址和MAC地址信息,其IP地址為“192.168.124.135”,MAC地址為“00:0c:29:82:cb:54”,如圖6-31所示。圖6-31查看攻擊機IP地址和MAC地址(2)在虛擬機靶機上,進(jìn)入命令輸入界面,輸入命令“ipconfig/all”并執(zhí)行,查看靶機的IP地址和MAC地址信息,IP地址為“192.168.124.143”,物理地址為“00-0C-29-5D-A2-36”,如圖6-32所示。圖6-32查看靶機IP地址和MAC地址2.實施ARP欺騙攻擊(1)在Kali系統(tǒng)虛擬機攻擊機中,進(jìn)入命令輸入界面,輸入命令“fping-asg192.168.124.0/24”,并執(zhí)行查找靶機所在網(wǎng)段中當(dāng)前存活的主機,查看是否能看到靶機的IP地址,如圖6-33所示。圖6-33當(dāng)前存活的主機從圖6-33中可以看出,當(dāng)前存活的主機有4臺,分別是攻擊機本機(IP地址:192.168.124.135)、宿主機(IP地址:192.168.124.143)、VMwareWorkstationPro系統(tǒng)所在主機(IP地址:192.168.124.1)和網(wǎng)關(guān)(IP地址:192.168.124.2)。(2)輸入命令“arp-a”并執(zhí)行,查看當(dāng)前存活的主機的IP地址與MAC地址映射表,如圖6-34所示。圖6-34當(dāng)前存活的主機的IP地址與MAC地址映射表在這里需要特別注意,網(wǎng)關(guān)IP地址“192.168.124.2”對應(yīng)的MAC地址為“00:50:56:fa:92:df”。(3)輸入命令“arpspoof-ieth0-t192.168.124.143192.168.124.2”并執(zhí)行,這里的“-i”用于指定網(wǎng)卡,“-t”用于指定持續(xù)不斷攻擊。該命令執(zhí)行后,攻擊機會持續(xù)不斷地發(fā)送ARP響應(yīng),進(jìn)行ARP欺騙攻擊,如圖6-35所示。圖6-35開啟ARP欺騙攻擊(4)此時,進(jìn)入Windows10系統(tǒng)宿主機,發(fā)現(xiàn)已經(jīng)無法正常上網(wǎng),如圖6-36所示。(5)進(jìn)入命令輸入界面,輸入命令“arp-a”并執(zhí)行,可以看到網(wǎng)關(guān)IP地址“192.168.124.2”對應(yīng)的MAC地址已經(jīng)變?yōu)椤?0-0c-29-82-cb-54”,而這個MAC地址,就是Kali系統(tǒng)攻擊機IP地址對應(yīng)的MAC地址,從而證明ARP欺騙攻擊成功,如圖6-37所示。圖6-36目標(biāo)靶機無法訪問網(wǎng)絡(luò)圖6-37網(wǎng)關(guān)MAC地址改變(6)在攻擊機命令輸入窗口,按快捷鍵“Ctrl+C”,停止ARP欺騙攻擊。再次進(jìn)入目標(biāo)靶機,測試發(fā)現(xiàn),目標(biāo)靶機已經(jīng)能
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 留置針護(hù)理常規(guī)
- 2025年農(nóng)村土地協(xié)議書
- 手部護(hù)理標(biāo)準(zhǔn)化流程
- 造影術(shù)后護(hù)理常規(guī)
- 高中化學(xué)方程式(辭典式現(xiàn)查現(xiàn)記)
- 高三地理復(fù)習(xí)講義:冷熱不均引起大氣運動
- 《地方高??萍夹》株牴ぷ髦敢罚ㄕ髑笠庖姼澹┚幹普f明
- 黔南山牛肉濃湯調(diào)味料-編制說明
- 對數(shù)與對數(shù)函數(shù)【12類題型】(原卷版)-2025年高考數(shù)學(xué)重難點復(fù)習(xí)突破
- 做好心理護(hù)理
- 河北省石家莊市2025年八年級下學(xué)期語文期末模擬試卷七套及答案
- 微播易中國廣告協(xié)會2025年社交媒體與KOL營銷趨勢報告
- 項目陪跑協(xié)議書
- 四川省眉山市東坡區(qū)東坡區(qū)東坡中學(xué)2025年數(shù)學(xué)七下期末調(diào)研模擬試題含解析
- 車間原輔材料消耗管理
- 2025國家開放大學(xué)《員工勞動關(guān)系管理》形考任務(wù)1234答案
- 提前預(yù)付工資協(xié)議書
- 2025年勞動與社會保障政策考試試題及答案
- 2025年湖北省新高考信息卷(一)物理試題及答案
- 消毒供應(yīng)中心進(jìn)修總結(jié)匯報
- 河南省鄭州市2021-2022學(xué)年高一下學(xué)期期末考試英語試卷(含答案)
評論
0/150
提交評論