網(wǎng)絡(luò)安全技術(shù)實踐教程（微課版）-教案 網(wǎng)絡(luò)嗅探技術(shù)

《網(wǎng)絡(luò)安全技術(shù)實踐教程》教案授課單位：授課時間：授課班級：授課教師：年月日教案12（第12號/17號）課程名稱網(wǎng)絡(luò)安全技術(shù)實踐授課日期、節(jié)次班級課堂類型理論+實踐地點章節(jié)（任務(wù)）名稱任務(wù)6.1網(wǎng)絡(luò)嗅探、6.2MAC地址泛洪攻擊教學目標知識目標1.掌握網(wǎng)絡(luò)嗅探技術(shù)的基本概念、原理和工作機制。2.了解嗅探器的工作原理，以及其在網(wǎng)絡(luò)中的作用和影響。3.熟悉網(wǎng)絡(luò)協(xié)議和通信過程，以及嗅探器如何捕獲和分析數(shù)據(jù)包。能力目標1.能夠熟練使用網(wǎng)絡(luò)嗅探工具進行數(shù)據(jù)包的捕獲和分析。2.能夠綜合運用MAC地址洪泛攻擊實現(xiàn)復雜網(wǎng)絡(luò)環(huán)境下的嗅探。素質(zhì)目標1.培養(yǎng)學生樹立網(wǎng)絡(luò)安全意識，保護個人和組織的信息安全。2.培養(yǎng)學生分析問題和解決問題的能力。3.培養(yǎng)學生的團隊合作精神和溝通能力。學情分析授課對象：計算機網(wǎng)絡(luò)技術(shù)專業(yè)學生，包括中職與普高混合班。學生特點：計算機網(wǎng)絡(luò)技術(shù)專業(yè)學生，基礎(chǔ)知識存在差異，需針對性講解與實踐操作結(jié)合。學習習慣：偏愛實踐性強的課程，理論學習興趣較低。樂于通過案例和互動式教學理解知識點。重難點分析教學重點1.網(wǎng)絡(luò)嗅探技術(shù)的原理和工作機制。2.MAC地址洪泛攻擊原理。教學難點嗅探器如何捕獲和分析數(shù)據(jù)包MAC地址洪泛攻擊的實現(xiàn)信息化應(yīng)用方法通過課件、視頻、案例分析、互動提問等多種信息化方式，借助學習通平臺發(fā)布學習資源和任務(wù)，學生自主學習并完成任務(wù)。課程思政元素1.法律意識。未經(jīng)授權(quán)的情況下，網(wǎng)絡(luò)嗅探可能會侵犯個人隱私和社會安全，屬于違法行為。2.服務(wù)意識。塑造職業(yè)精神，使學生形成運用所學專業(yè)知識為社會貢獻的責任感。3.工匠精神。鍛煉學生實事求是的工作態(tài)度，培養(yǎng)學生嚴謹細致的工作作風、精益求精的工匠精神。教學實施過程課前：平臺發(fā)布網(wǎng)絡(luò)嗅探技術(shù)任務(wù)1任務(wù)2學習任務(wù)，學生預(yù)習。課中：導入新課某學校網(wǎng)絡(luò)信息中心近期發(fā)現(xiàn)其內(nèi)部網(wǎng)絡(luò)中出現(xiàn)了異常流量，懷疑有人利用網(wǎng)絡(luò)嗅探技術(shù)竊取學校信息。由于眾智科技正在進行該校的等保測評工作，學校便委托眾智科技針對此事件展開調(diào)查。公司安排工程師小林分析網(wǎng)絡(luò)異常流量數(shù)據(jù)，確定是否存在嗅探攻擊，定位嗅探攻擊的來源，然后確定攻擊者的身份。任務(wù)一知識點講解1網(wǎng)絡(luò)嗅探簡介網(wǎng)絡(luò)嗅探是指利用計算機的網(wǎng)絡(luò)接口截獲其他計算機的數(shù)據(jù)報文的一種手段。網(wǎng)絡(luò)嗅探需要用到嗅探器，其最早為網(wǎng)絡(luò)管理員使用的技術(shù)工具。有了嗅探器，網(wǎng)絡(luò)管理員可以實時掌握網(wǎng)絡(luò)的實際情況，查找網(wǎng)絡(luò)漏洞和檢測網(wǎng)絡(luò)性能。當網(wǎng)絡(luò)性能急劇下降的時候，網(wǎng)絡(luò)管理員可以通過嗅探器分析網(wǎng)絡(luò)流量，找出網(wǎng)絡(luò)阻塞的原因。網(wǎng)絡(luò)嗅探是網(wǎng)絡(luò)監(jiān)控系統(tǒng)的實現(xiàn)基礎(chǔ)。網(wǎng)絡(luò)的特點之一就是數(shù)據(jù)總是在流動，從一處到另一處，而互聯(lián)網(wǎng)是由錯綜復雜的各種網(wǎng)絡(luò)交匯而成的，當數(shù)據(jù)從網(wǎng)絡(luò)中的一臺計算機到另一臺計算機的時候，通常會經(jīng)過大量不同的網(wǎng)絡(luò)設(shè)備，使用traceroute命令可以看到具體的路徑。在數(shù)據(jù)傳輸過程中，如果設(shè)備的網(wǎng)卡被置于混雜模式，該網(wǎng)卡將能接收到一切通過它的數(shù)據(jù)，而不管實際上數(shù)據(jù)的目的地址是不是自身。這就意味著，假如傳送的數(shù)據(jù)是企業(yè)的機密文件，或是賬戶密碼，就存在被黑客嗅探并截獲的風險。網(wǎng)絡(luò)嗅探主要可在兩種網(wǎng)絡(luò)中實現(xiàn)。一種是交換式網(wǎng)絡(luò)：在這種網(wǎng)絡(luò)下，需將嗅探器放到網(wǎng)絡(luò)連接設(shè)備（如網(wǎng)關(guān)服務(wù)器、路由器）上或者放到可以控制網(wǎng)絡(luò)連接設(shè)備的計算機上。當然，要實現(xiàn)偵聽效果，需要借助于交換機的鏡像功能，將所有需要的數(shù)據(jù)鏡像到監(jiān)控端口，也可通過其他黑客技術(shù)來實現(xiàn)該效果。另一種是共享式網(wǎng)絡(luò)：針對共享式連接的局域網(wǎng)，嗅探器放到任意一臺主機上就可以實現(xiàn)對整個局域網(wǎng)的偵聽。共享式網(wǎng)絡(luò)集線器設(shè)備接收到數(shù)據(jù)時，并不是直接將其發(fā)送到指定主機，而是通過廣播方式將其發(fā)送到每臺主機，局域網(wǎng)內(nèi)所有主機都會收到數(shù)據(jù)信息，存在安全隱患。網(wǎng)絡(luò)嗅探技術(shù)是一把雙刃劍，作為管理工具，其可以監(jiān)視網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)流量以及信息傳輸?shù)龋W(wǎng)絡(luò)嗅探技術(shù)也常被黑客用于竊聽網(wǎng)絡(luò)中流經(jīng)的數(shù)據(jù)包，獲取敏感信息，如用戶正在訪問什么網(wǎng)站、用戶的郵箱密碼是多少等。很多攻擊方式（如會話劫持）都是建立在網(wǎng)絡(luò)嗅探的基礎(chǔ)上的，網(wǎng)絡(luò)嗅探技術(shù)是一種很重要的網(wǎng)絡(luò)攻防技術(shù)，屬于被動攻擊技術(shù)，具有隱蔽性。2常用的網(wǎng)絡(luò)嗅探工具工具分為軟件和硬件兩種，這里主要介紹常用的網(wǎng)絡(luò)嗅探軟件，主要有以下幾種。1．WiresharkWireshark是最經(jīng)典、最著名的網(wǎng)絡(luò)分析器和密碼破解工具之一，它是一個開源免費的高性能網(wǎng)絡(luò)協(xié)議分析軟件，前身為網(wǎng)絡(luò)協(xié)議分析軟件Ethereal。通常，技術(shù)人員使用Wireshark對網(wǎng)絡(luò)進行故障排查、檢查安全問題，以及了解有關(guān)網(wǎng)絡(luò)協(xié)議內(nèi)部的更多信息，同時也可以將其作為學習各種網(wǎng)絡(luò)協(xié)議的教學工具等。Wireshark支持現(xiàn)在市面上的絕大多數(shù)以太網(wǎng)網(wǎng)卡，以及主流的無線網(wǎng)卡。Wireshark具有如下特點。（1）支持多種操作系統(tǒng)平臺，可以運行于Windows、Linux、MacOSX10.5.5、Solaris和FreeBSD等操作系統(tǒng)平臺上。（2）支持超過上千種網(wǎng)絡(luò)協(xié)議，并且還會不斷地增加對新協(xié)議的支持。（3）支持實時捕捉數(shù)據(jù)，可在離線狀態(tài)下對其進行分析。（4）支持對VoIP（VoiceoverIP，互聯(lián)網(wǎng)電話）數(shù)據(jù)包進行分析。（5）支持對通過IPsec、ISAKMP（InternetSecurityAssociationandKeyManagementProtocol，互聯(lián)網(wǎng)安全聯(lián)合密鑰管理協(xié)議）、Kerberos、SNMPv3、SSL/TLS（TransportLayerSecurity，傳輸層安全協(xié)議）、WEP（WiredEquivalentPrivacy，有線等效保密）和WPA（WiFiProtectedAccess，WiFi保護接入）/WPA2等協(xié)議加密的數(shù)據(jù)包進行解密。（6）可以實時獲取來自以太網(wǎng)、IEEE802.11、PPP（Point-to-PointProtocal，點到點協(xié)議）/HDLC（High-levelDataLinkControl，高級數(shù)據(jù)鏈路控制）、ATM（AsynchronousTransferMode，異步傳輸方式）、藍牙、令牌環(huán)和FDDI（FiberDistributedDataInterface，光纖分布式數(shù)據(jù)接口）等網(wǎng)絡(luò)中的數(shù)據(jù)包。（7）支持讀取和分析許多其他網(wǎng)絡(luò)嗅探軟件保存的文件，包括tcpdump、SnifferPro、EtherPeek、MicrosoftNetworkMonitor和CiscoSecureIDS等軟件。（8）支持以各種過濾條件進行捕捉，支持通過設(shè)置顯示過濾來顯示指定的內(nèi)容，并能以不同的顏色顯示過濾后的報文。（9）具有網(wǎng)絡(luò)報文數(shù)據(jù)統(tǒng)計功能。（10）可以將捕捉到的數(shù)據(jù)導出為XML、PostScript、CSV及普通文本文件格式。2．tcpdumptcpdump是一個老牌的使用頻繁的網(wǎng)絡(luò)協(xié)議分析軟件，它是一個基于命令行的工具。tcpdump通過使用基本的命令表達式，來過濾網(wǎng)卡上要捕捉的流量。它支持現(xiàn)在市面上的絕大多數(shù)以太網(wǎng)適配器。tcpdump是一個工作在被動模式下的嗅探器。我們可以用它在Linux系統(tǒng)下捕獲網(wǎng)絡(luò)中進出某臺主機接口卡的數(shù)據(jù)包，或者整個網(wǎng)絡(luò)段中的數(shù)據(jù)包，然后對這些捕獲到的網(wǎng)絡(luò)協(xié)議（如TCP、ARP）數(shù)據(jù)包進行分析和輸出，來發(fā)現(xiàn)網(wǎng)絡(luò)中正在發(fā)生的各種狀況。tcpdump可以很好地運行在UNIX、Linux和MacOSX操作系統(tǒng)上，可以從官網(wǎng)下載它的二進制包。tcpdump在Windows系統(tǒng)下的版本名稱為Windump，它也是一個免費的基于命令行的網(wǎng)絡(luò)分析協(xié)議軟件。3．dsniffdsniff是一個非常強大的網(wǎng)絡(luò)嗅探軟件套件，它是最先將傳統(tǒng)的被動嗅探方式向主動嗅探方式改進的網(wǎng)絡(luò)嗅探軟件之一。dsniff中包含許多具有特殊功能的網(wǎng)絡(luò)嗅探軟件，這些特殊的網(wǎng)絡(luò)嗅探軟件可以使用一系列的主動攻擊方法，將網(wǎng)絡(luò)流量重新定向到嗅探器主機，使得嗅探器有機會捕獲到網(wǎng)絡(luò)中某臺主機或整個網(wǎng)絡(luò)的流量。這樣一來，我們就可以將dsniff在交換或路由的網(wǎng)絡(luò)環(huán)境中，以及在撥號上網(wǎng)的環(huán)境中使用。甚至，當安裝有dsniff的嗅探器不直接連接到目標網(wǎng)絡(luò)當中，它依然可以通過遠程的方式捕獲到目標網(wǎng)絡(luò)中的網(wǎng)絡(luò)報文。dsniff支持Telnet、FTP、SMTP、POPv3（PostOfficeProtocolversion3，郵局協(xié)議第3版）、HTTP，以及其他的一些高層網(wǎng)絡(luò)應(yīng)用協(xié)議。它的套件當中，有一些網(wǎng)絡(luò)嗅探軟件具有特殊的竊取密碼的方法，可以用來支持對使用SSL和SSH加密的數(shù)據(jù)進行捕獲和解密。dsniff支持現(xiàn)在市面上的絕大多數(shù)以太網(wǎng)網(wǎng)卡。4．EttercapEttercap是一個高級網(wǎng)絡(luò)嗅探軟件，它可以在使用交換機的網(wǎng)絡(luò)環(huán)境中使用。Ettercap能夠?qū)Υ蠖鄶?shù)的網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包進行解碼，不論數(shù)據(jù)包是否加密過。它也支持現(xiàn)在市面上的絕大多數(shù)以太網(wǎng)網(wǎng)卡。Ettercap擁有一些獨特的方法，以捕獲主機或整個網(wǎng)絡(luò)的流量，并對這些流量進行相應(yīng)的分析。5．ScapyScapy是一種非常流行且有用的數(shù)據(jù)包制作工具，可通過處理數(shù)據(jù)包來工作，可解碼來自多種協(xié)議的數(shù)據(jù)包。Scapy能夠捕獲數(shù)據(jù)包、關(guān)聯(lián)發(fā)送請求和答復等。Scapy還可以用于掃描、跟蹤路由、探測或發(fā)現(xiàn)網(wǎng)絡(luò)。Scapy可替代其他工具，如Nmap、arpspoof、tcpdump、p0f等。6．KismetKismet是一款開源的無線網(wǎng)絡(luò)嗅探器和入侵檢測系統(tǒng)，能夠捕獲和分析IEEE802.11無線網(wǎng)絡(luò)流量。Kismet不依賴被動模式的無線網(wǎng)卡，可以在不發(fā)送任何數(shù)據(jù)包的情況下監(jiān)控無線網(wǎng)絡(luò)，這使得它成為一款極其強大的無線網(wǎng)絡(luò)分析工具。它的主要特點如下。（1）被動嗅探：無需發(fā)送數(shù)據(jù)包即可捕獲無線網(wǎng)絡(luò)流量。（2）多協(xié)議支持：支持IEEE802.11、Bluetooth、RTL433和其他無線協(xié)議。（3）擴展性強：支持插件和外部工具，能夠擴展其功能。（4）實時檢測：實時檢測和報告無線網(wǎng)絡(luò)中的設(shè)備和活動。（5）跨平臺：支持Linux、macOS和Windows系統(tǒng)。7．NetworkMinerNetworkMiner由網(wǎng)絡(luò)安全軟件供應(yīng)商Netresec創(chuàng)建。Netresec專門研究、開發(fā)用于網(wǎng)絡(luò)取證和網(wǎng)絡(luò)流量分析的軟件和程序。NetworkMiner常被用作被動嗅探器或數(shù)據(jù)包捕獲工具，以檢測各種會話、主機名、開放端口、操作系統(tǒng)等。它還可用于解析PCAP文件以進行脫機分析，并能夠重組傳輸?shù)臄?shù)據(jù)文件并從PCAP文件進行認證。在以太網(wǎng)中，有一些網(wǎng)絡(luò)嗅探軟件也是比較常用的。例如，SnifferPro網(wǎng)絡(luò)協(xié)議分析軟件，它可以在多種平臺下運行，用來對網(wǎng)絡(luò)運行狀況進行實時分析，而且具有豐富的圖示功能；Analyzer，它是一個運行在Windows操作系統(tǒng)下的免費的網(wǎng)絡(luò)嗅探軟件。另外，還有一些商用的網(wǎng)絡(luò)嗅探軟件，需要支付一定的費用才能使用，但功能也更加強大。3網(wǎng)絡(luò)嗅探的危害與防范在網(wǎng)絡(luò)中，黑客可能會用網(wǎng)絡(luò)嗅探來做一些危害網(wǎng)絡(luò)安全的事。他們能夠捕獲專用的或者機密的信息，例如金融賬號等。許多用戶過于放心地在網(wǎng)上使用自己的信用卡或現(xiàn)金賬號，然而sniffer可以很輕松地截獲在網(wǎng)上傳送的用戶姓名、口令、信用卡號碼、賬號等。此外，黑客可以通過攔截數(shù)據(jù)包偷窺機密或敏感的信息，甚至攔截整個會話過程。為了有效抵御網(wǎng)絡(luò)嗅探攻擊，確保敏感信息在網(wǎng)絡(luò)中的安全傳輸，可以通過以下幾個方面進行防范。（1）對數(shù)據(jù)進行加密：對數(shù)據(jù)進行加密是保障安全的必要條件，其安全級別取決于加密算法的強度和密鑰的強度。通過使用加密技術(shù)，可以防止使用明文傳輸信息。（2）實時檢測嗅探器：監(jiān)測網(wǎng)絡(luò)異常情況，及時發(fā)現(xiàn)可能存在的嗅探器。（3）使用安全的拓撲結(jié)構(gòu)：將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，網(wǎng)絡(luò)分段越細，則安全程度越高。任務(wù)一實施步驟1．在主機上架設(shè)FTP服務(wù)器（1）打開主機控制面板下的網(wǎng)絡(luò)連接，將除了“VMwareNetworkAdapterVMnet8”網(wǎng)卡之外的所有網(wǎng)卡禁用。在主機上安裝FTP服務(wù)器軟件，設(shè)置賬戶名稱為“admin”，賬戶密碼為“123456”，并設(shè)置該用戶相應(yīng)的訪問目錄（C:\users\deng\Desktop\網(wǎng)絡(luò)嗅探）和賬戶權(quán)限，如圖6-1所示。圖6-1FTP服務(wù)器配置（2）進入訪問目錄，新建一個名為“測試文本”的文本文件，打開文件，輸入文本內(nèi)容；然后任意添加一張JPG圖片，將其重命名為“測試圖片”，如圖6-2所示。圖6-2添加FTP服務(wù)器資源2．啟動Wireshark嗅探器（1）在主機上啟動Wireshark嗅探器，選擇網(wǎng)卡“VMwareNetworkAdapterVMnet8”，開始實時嗅探該網(wǎng)卡的數(shù)據(jù)流，如圖6-3所示。LINKWord.Document.8C:\\Users\\Administrator\\Desktop\\個人資料\\網(wǎng)絡(luò)安全教材編寫\\PPT制作\\ZW.docOLE_LINK2\a\r圖6-3啟動嗅探器（2）在虛擬機靶機上訪問FTP服務(wù)器，輸入用戶名和密碼，登錄訪問目錄，打開目錄下的文本和圖片資源，如圖6-4所示。圖6-4在靶機上訪問FTP資源3．嗅探用戶名和密碼（1）在Wireshark嗅探器的過濾器搜索框中輸入“ftp”，找到FTP相關(guān)的數(shù)據(jù)包，選擇一行數(shù)據(jù)包并右擊，在彈出的快捷菜單中依次選擇“追蹤流”→“TCPStream”，如圖6-5所示。圖6-5追蹤數(shù)據(jù)流（2）在打開的窗口中，修改右下角的“流”為“1”，這樣就能夠看到用戶名和密碼信息，結(jié)果如圖6-6所示。圖6-6嗅探用戶名和密碼4．嗅探文本文件和圖片文件（1）在Wireshark嗅探器的過濾器搜索框中輸入“ftp-data”，找到FTP傳輸數(shù)據(jù)相關(guān)的數(shù)據(jù)包，選擇“Info”下擴展名為“txt”的那一行數(shù)據(jù)包并右擊，在彈出的快捷菜單中依次選擇“追蹤流”→“TCPStream”，這樣就能看到本次FTP傳輸?shù)奈谋疚募?nèi)容。結(jié)果如圖6-7所示。圖6-7嗅探文本文件內(nèi)容（2）在上述窗口中，修改右下角的“流”為“5”，“Showdataas”選擇“原始數(shù)據(jù)”，如圖6-8所示。圖6-8嗅探到圖片文件（3）單擊“另存為…”按鈕，在打開的窗口中將文件名修改為“嗅探到的圖片”，并將文件保存至計算機中的合適位置，如圖6-9所示。圖6-9保存原始數(shù)據(jù)（4）使用010Editor軟件，單擊“打開”按鈕，選擇路徑，打開剛剛保存的文件，如圖6-10所示。圖6-10用010Editor打開文件（5）利用百度搜索到JPG文件的文件頭為“FFD8”，如圖6-11所示。圖6-11搜索JPG文件的文件頭（6）在010Editor軟件中，按快捷鍵“Ctrl+F”查找“FFD8”，在“FFD8”之后的十六進制數(shù)據(jù)就是我們需要的圖片數(shù)據(jù)。如果“FFD8”的前面也有數(shù)據(jù)，則其是HTTP請求頭，可直接刪除。最終效果如圖6-12所示。圖6-12確定圖片數(shù)據(jù)（7）將修改后的文件另存為JPG格式，打開保存后的文件，即可顯示還原后的圖片，如圖6-13所示。圖6-13還原圖片任務(wù)2知識講解1MAC地址簡介MAC地址也叫物理地址、硬件地址，由網(wǎng)絡(luò)設(shè)備廠商在生產(chǎn)時燒錄在網(wǎng)卡的EPROM（ErasableProgrammableRead-OnlyMemory，可擦可編程只讀存儲器，一種閃存芯片，通?？梢酝ㄟ^程序擦寫）中。MAC地址用于在網(wǎng)絡(luò)中唯一標識一塊網(wǎng)卡，一臺設(shè)備若有一塊或多塊網(wǎng)卡，則每塊網(wǎng)卡都有一個唯一的MAC地址。MAC地址的長度為48位（6個字節(jié)），通常表示為12個十六進制數(shù)，例如，00-16-EA-AE-3C-40就是一個MAC地址。其中第1位代表單播或多播地址，用0或1標識；第2位代表全局或本地地址，用0或1標識；第3～24位，由IEEE管理，保證各個廠商提供的MAC地址不重復；第25～48位，由廠商自行分配，代表該廠商所制造的某個網(wǎng)絡(luò)產(chǎn)品（如網(wǎng)卡）的序列號。形象地說，MAC地址就如同身份證上的身份證號碼，具有唯一性。我們可以通過在PC端的“命令提示符”窗口中執(zhí)行ipconfig-all來查詢設(shè)備的MAC地址，如圖6-14所示。圖6-14查詢MAC地址在正常的網(wǎng)絡(luò)通信過程中，IP地址和MAC地址相互搭配，IP地址負責標識設(shè)備網(wǎng)絡(luò)層地址，MAC地址負責標識設(shè)備的數(shù)據(jù)鏈路層地址。無論是局域網(wǎng)，還是廣域網(wǎng)中設(shè)備之間的通信，最終都表現(xiàn)為將數(shù)據(jù)包從初始節(jié)點發(fā)出，從一個節(jié)點傳遞到另一個節(jié)點，最終傳遞到目的節(jié)點。數(shù)據(jù)包在這些節(jié)點之間的移動都是由ARP將IP地址映射到MAC地址來完成的。2泛洪簡介泛洪（Flooding）是交換機使用的一種數(shù)據(jù)流傳遞技術(shù)，它將從某個接口收到的數(shù)據(jù)流發(fā)送到除該接口之外的所有接口。如圖6-15所示，PC1向PC2發(fā)送數(shù)據(jù)，數(shù)據(jù)幀在經(jīng)過交換機的時候，交換機會把數(shù)據(jù)幀中的源MAC地址和進入的交換機端口號記錄到MAC地址表中。由于一開始MAC地址表中沒有PC2的MAC地址和端口號綁定信息，所以交換機會將這個數(shù)據(jù)幀進行全網(wǎng)轉(zhuǎn)發(fā)，這就是泛洪。圖6-15泛洪原理3MAC地址泛洪攻擊原理在介紹MAC地址泛洪攻擊之前，我們要先了解交換機的數(shù)據(jù)轉(zhuǎn)發(fā)原理。交換機是基于MAC地址轉(zhuǎn)發(fā)數(shù)據(jù)幀的，在轉(zhuǎn)發(fā)過程中依靠對CAM（ContentAddressableMemory，內(nèi)容尋址存儲）表（一張記錄MAC地址的表）的查詢來確定正確的轉(zhuǎn)發(fā)接口。為了完成數(shù)據(jù)的快速轉(zhuǎn)發(fā)，該表具有自主學習機制，交換機會將學習到的MAC地址存儲在該表里。但是CAM表的容量是有限的，只能存儲不有限數(shù)量的條目，并且MAC地址存在老化時間（一般為300s）。當CAM表記錄的MAC地址達到上限后，新的條目將不會被添加到CAM表中，一旦在查詢過程中無法找到相關(guān)目的MAC地址對應(yīng)的條目，則此數(shù)據(jù)幀將被作為廣播幀來處理，廣播到所有接口。MAC地址泛洪攻擊正是利用這一特性，通過不斷地生成不同的虛擬MAC地址發(fā)送給交換機，使得交換機進行大量學習。這將導致交換機MAC地址表緩存溢出，讓其無法學習新的正確的MAC地址。如果這時交換機需要轉(zhuǎn)發(fā)一個正常的數(shù)據(jù)幀，因為其CAM表已經(jīng)被偽造MAC地址填滿，所以交換機會廣播數(shù)據(jù)幀到所有接口，攻擊者利用這個機制就可以獲取該正常數(shù)據(jù)幀的信息，達到MAC地址泛洪攻擊的目的。4如何防御MAC地址泛洪攻擊MAC地址泛洪攻擊的防御措施具體如下。（1）設(shè)置交換機端口最大可通過的MAC地址數(shù)量。限制交換機每個端口可學習MAC地址的最大數(shù)量（假如為20個），當一個端口學習的MAC地址數(shù)量超過這個限制數(shù)值時，將超出的MAC地址舍棄。（2）靜態(tài)MAC地址寫入。在交換機端口上設(shè)置MAC地址綁定，指定只能是某些MAC地址通過該端口。（3）對超過一定數(shù)量的MAC地址進行禁止通過處理。任務(wù)二實訓練習1．繪制拓撲圖，完成設(shè)備配置（1）繪制圖6-16所示網(wǎng)絡(luò)拓撲圖，配置Server1的IP地址，打開Server1的“服務(wù)器信息”配置選項卡，選擇“FtpServer”，設(shè)置好“文件根目錄”，單擊“啟動”按鈕，得到圖6-17所示結(jié)果。（2）配置Cilent1的IP地址，打開Cilent1的“客戶端信息”配置選項卡，選擇“FtpCilent”，設(shè)置服務(wù)器地址為“0”，用戶名為“admin”，密碼為“123456”，單擊“登錄”按鈕，可以看到，能夠正常訪問FTP服務(wù)器，效果如圖6-18所示。圖6-17配置Server1的服務(wù)器信息圖6-18配置Cilent1的客戶端信息（3）雙擊拓撲圖中的設(shè)備Cloud1，在打開窗口的“綁定信息”下拉列表中，選擇“VMwareNetworkAdapterVMnet8--IP：”，單擊“增加”按鈕，創(chuàng)建一個新的端口。將“端口映射設(shè)置”中的“出端口編號”修改為“2”，勾選“雙向通道”復選框，單擊“增加”按鈕，完成Cloud1的配置，如圖6-19所示。圖6-19配置Cloud1端口（4）將LSW1與Cloud1連接起來，使得Kali虛擬機靶機能夠通過動態(tài)設(shè)備接口連接到eNSP的局域網(wǎng)中。2．配置Kali虛擬機靶機（1）選中Kali虛擬機靶機，在VMware工具欄上依次選擇“虛擬機”→“設(shè)置”，彈出“虛擬機設(shè)置”對話框，選中“網(wǎng)絡(luò)適配器”，在右側(cè)的“網(wǎng)絡(luò)連接”中選中“自定義(U):特定虛擬網(wǎng)絡(luò)”，在其下拉列表中選擇“VMnet8(僅NAT模式)”，如圖6-20所示。圖6-20設(shè)置網(wǎng)絡(luò)連接（2）在Kali系統(tǒng)中，在工具欄中選擇“RootTerminalEmulator”，輸入Kali系統(tǒng)密碼后，進入命令輸入界面，輸入命令“ping0”并執(zhí)行，測試Kali系統(tǒng)與局域網(wǎng)服務(wù)器是否連通，如圖6-21所示。圖6-21測試Kali系統(tǒng)與局域網(wǎng)服務(wù)器是否連通（3）在eNSP中，雙擊交換機LSW1，進入命令輸入界面，輸入命令“displaymac-address”并執(zhí)行，這里因為之前Cilent1客戶端已經(jīng)登錄Server1服務(wù)器的FTP服務(wù)，所以在MAC地址表中能夠看到GE0/0/1和GE0/0/2。輸入“undomac-address”命令并執(zhí)行，清空MAC地址表，如圖6-22所示。圖6-22查看并清空MAC地址表3．MAC地址泛洪攻擊（1）在Kali系統(tǒng)中，開啟MAC地址泛洪攻擊，輸入命令“macof”并執(zhí)行，可以看到大量的偽造的MAC地址不斷地被發(fā)送給交換機LSW1，效果如圖6-23所示。圖6-23Kali系統(tǒng)開啟MAC地址泛洪攻擊如果Kali系統(tǒng)中沒有安裝macof，需要先執(zhí)行“aptinstalldsniff”命令，安裝dsniff，再進行命令“macof”。（2）如圖6-24所示，打開Cilent1“客戶端信息”選項卡，再次單擊“登錄”按鈕，發(fā)現(xiàn)此時已經(jīng)無法登錄。（3）查看交換機LSW1的MAC地址表，發(fā)現(xiàn)MAC地址表已經(jīng)被占滿，如圖6-25所示。圖6-24FTP服務(wù)無法登錄圖6-25交換機MAC地址表占滿4．嗅探用戶名和密碼（1）在Kali系統(tǒng)命令輸入界面，按快捷鍵“Ctrl+C”，停止macof攻擊，打開Kali系統(tǒng)下的Wireshark工具，網(wǎng)絡(luò)接口選擇“eth0”，開啟網(wǎng)絡(luò)嗅探，如圖6-26所示。圖6-26開啟網(wǎng)絡(luò)嗅探（2）打開Client1的“客戶端信息”選項卡，單擊“登錄”按鈕，因為MAC地址泛洪攻擊已經(jīng)停止，所以能夠正常登錄服務(wù)器Server1，如圖6-27所示。圖6-27登錄FTP服務(wù)器（3）在Wireshark嗅探器的過濾器搜索框中輸入“tcp.streameq0”，選擇任意一行數(shù)據(jù)包并右擊，在彈出的對話框中依次選擇“追蹤流”→“TCPStream”，在打開的界面中就可以看到用戶名和密碼信息，如圖6-28所示。圖6-28嗅探到用戶名和密碼課后：1.任務(wù)總結(jié)2.教師答疑3.布置預(yù)習任務(wù)作業(yè)布置1.請搭建嗅探測試環(huán)境并使用網(wǎng)絡(luò)嗅探軟件對網(wǎng)絡(luò)進行探測。搭建一個模擬的企業(yè)網(wǎng)絡(luò)環(huán)境，包括兩臺計算機、一臺交換機。在網(wǎng)絡(luò)中的一臺計算機上安裝并運行所選的網(wǎng)絡(luò)嗅探軟件。配置嗅探軟件，使其能夠捕獲同一局域網(wǎng)內(nèi)的數(shù)據(jù)包。分析捕獲的數(shù)據(jù)包，識別出其中的敏感信息（如用戶名、密碼、文件等）。2.假如你是一家公司的網(wǎng)絡(luò)安全管理員，公司內(nèi)網(wǎng)中的一臺核心交換機連接了多個重要服務(wù)器和客戶端。最近，你接到報告稱網(wǎng)絡(luò)性能出現(xiàn)異常，懷疑可能是交換機遭受了MAC地址泛洪攻擊。為了驗證這一懷疑并采取相應(yīng)的防范措施，你打算在模擬環(huán)境中進行一次演練。要求設(shè)置一個包含至少兩臺交換機和若干臺主機的模擬網(wǎng)絡(luò)環(huán)境。使用網(wǎng)絡(luò)攻擊工具構(gòu)造大量具有不同MAC地址的數(shù)據(jù)包，并將這些數(shù)據(jù)包發(fā)送至交換機，模擬MAC地址泛洪攻擊。觀察交換機在受到攻擊后的行為變化，如是否出現(xiàn)數(shù)據(jù)廣播風暴、網(wǎng)絡(luò)性能下降等現(xiàn)象。實施防范策略以阻止MAC地址泛洪攻擊。可以實施的防范措施包括啟用端口安全功能、限制MAC地址學習數(shù)量、配置靜態(tài)MAC地址綁定等。教學反思以能力培養(yǎng)為核心，深化思政與技術(shù)融合。網(wǎng)絡(luò)嗅探是網(wǎng)絡(luò)安全攻防的基礎(chǔ)技能，是學習網(wǎng)絡(luò)協(xié)議、安全思維重要載體，讓學生理解不能隨意進行網(wǎng)絡(luò)嗅探，提升法律意識。《網(wǎng)絡(luò)安全技術(shù)實踐教程》教案授課單位：授課時間：授課班級：授課教師：年月日教案13（第13號/17號）課程名稱網(wǎng)絡(luò)安全技術(shù)實踐授課日期、節(jié)次班級課堂類型理論+實踐地點章節(jié)（任務(wù)）名稱任務(wù)6.3ARP欺騙攻擊教學目標知識目標1.掌握ARP欺騙攻擊的原理。2.熟悉ARP欺騙攻擊的檢測與防御能力目標1.能夠有效檢測并識別ARP欺騙攻擊。2.能夠針對ARP欺騙攻擊進行有效的防御。素質(zhì)目標1.培養(yǎng)學生精益求精的工匠精神。2.培養(yǎng)學生樹立牢固的法治觀念，提升網(wǎng)絡(luò)安全意識。學情分析授課對象：計算機網(wǎng)絡(luò)技術(shù)專業(yè)學生，包括中職與普高混合班。學生特點：計算機網(wǎng)絡(luò)技術(shù)專業(yè)學生，基礎(chǔ)知識存在差異，需針對性講解與實踐操作結(jié)合。學習習慣：偏愛實踐性強的課程，理論學習興趣較低。樂于通過案例和互動式教學理解知識點。重難點分析教學重點1.ARP欺騙攻擊的原理。2.ARP欺騙攻擊的檢測與防御。教學難點1.ARP欺騙攻擊的原理。2.ARP欺騙攻擊的檢測與防御。信息化應(yīng)用方法通過課件、視頻、案例分析、互動提問等多種信息化方式，借助學習通平臺發(fā)布學習資源和任務(wù)，學生自主學習并完成任務(wù)。課程思政元素1.法律責任。結(jié)合網(wǎng)絡(luò)安全法第27條、第63條，明確未經(jīng)授權(quán)實施ARP攻擊可能構(gòu)成“非法侵入計算機信息系統(tǒng)罪”。2.服務(wù)意識。塑造職業(yè)精神，使學生形成運用所學專業(yè)知識為社會貢獻的責任感。3.工匠精神。鍛煉學生實事求是的工作態(tài)度，培養(yǎng)學生嚴謹細致的工作作風、精益求精的工匠精神。教學實施過程課前：平臺發(fā)布網(wǎng)絡(luò)嗅探技術(shù)任務(wù)3學習任務(wù)，學生預(yù)習。課中：導入新課工程師小林在排查交換機MAC地址泛洪攻擊的過程中，發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的設(shè)備存在通信延遲或無法正常訪問的問題。經(jīng)過分析，小林發(fā)現(xiàn)了偽造IP地址和MAC地址，懷疑內(nèi)部網(wǎng)絡(luò)受到了ARP欺騙攻擊。因此，小林決定對ARP欺騙攻擊展開詳細的排查。任務(wù)知識點講解1ARP簡介ARP是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議。主機發(fā)送信息時，將包含目標IP地址的ARP請求廣播到局域網(wǎng)上的所有主機，并接收返回消息，以此確定目標的物理地址；收到返回消息后，將該IP地址和物理地址存入本機ARP緩存中，并保留一定時間，下次請求時可直接查詢ARP緩存以節(jié)約資源。我們知道，不管網(wǎng)絡(luò)層使用的是什么協(xié)議，在實際網(wǎng)絡(luò)的鏈路上傳送數(shù)據(jù)幀時，最終還是必須使用物理地址，但IP地址和物理地址因格式不同而不存在簡單的映射關(guān)系。此外，在一個網(wǎng)絡(luò)中，可能經(jīng)常會有新的設(shè)備加入進來，或撤走一些舊的設(shè)備。那么怎樣才能找到目的設(shè)備的物理地址？ARP就是為了解決這樣的問題而出現(xiàn)的。解決辦法是在每一個主機中都設(shè)置一個ARP高速緩存（ARPCache），其中存儲了局域網(wǎng)內(nèi)各主機和路由器的IP地址到物理地址的映射表。當主機A欲向本局域網(wǎng)內(nèi)的某個主機B發(fā)送IP數(shù)據(jù)包時，首先在其ARP高速緩存中查看有無主機B的IP地址。如果有，就可查出其對應(yīng)的物理地址，再將此物理地址寫入MAC數(shù)據(jù)幀，然后通過局域網(wǎng)將該MAC數(shù)據(jù)幀發(fā)往此物理地址；如果沒有，可能是主機B剛?cè)刖W(wǎng)的原因，在這種情況下，主機A會自動運行ARP，然后按照以下步驟獲取主機B的物理地址。（1）在本局域網(wǎng)內(nèi)廣播發(fā)送一個ARP請求分組，詢問主機B的物理地址。（2）該局域網(wǎng)內(nèi)所有主機運行的ARP進程都會收到此ARP請求分組。（3）主機B的IP地址與ARP請求分組中要查詢的IP地址一致，它會向主機A發(fā)送ARP響應(yīng)分組，在響應(yīng)分組中寫入自己的物理地址。而其他主機的IP地址都與ARP請求分組中要查詢的IP地址不一致，因此都忽略這個ARP請求分組。（4）主機A收到主機B的ARP響應(yīng)分組后，就在其ARP高速緩存中寫入主機B的IP地址到物理地址的映射。詳細過程如圖6-29所示。（a）主機A廣播發(fā)送ARP請求分組（b）主機B向A發(fā)送ARP響應(yīng)分組圖6-29使用ARP獲取物理地址的流程ARP用于解決同一個局域網(wǎng)上的主機或路由器的IP地址到MAC地址的映射問題。從IP地址到物理地址的解析是自動進行的，主機的用戶通常是不知道這種地址解析過程的。當主機或路由器要和本網(wǎng)絡(luò)上的另一個已知IP地址的主機或路由器進行通信時，ARP就會自動地將該IP地址解析為鏈路層所需要的物理地址。如果所要找的主機和源主機不在同一個局域網(wǎng)上，就要通過ARP找到一個位于本局域網(wǎng)上的某個路由器的物理地址，然后把分組發(fā)送給這個路由器，由這個路由器把分組轉(zhuǎn)發(fā)給下一個網(wǎng)絡(luò)，剩下的工作就由下一個網(wǎng)絡(luò)來完成。ARP有以下4種典型使用場景。（1）發(fā)送方是主機，要把IP數(shù)據(jù)包發(fā)送到本網(wǎng)絡(luò)上的另一個主機。這時用ARP找到目的主機的物理地址。（2）發(fā)送方是主機，要把IP數(shù)據(jù)包發(fā)送到另一個網(wǎng)絡(luò)上的一個主機。這時用ARP找到本網(wǎng)絡(luò)上的一個路由器的物理地址，剩下的工作由這個路由器來完成。（3）發(fā)送方是路由器，要把IP數(shù)據(jù)包轉(zhuǎn)發(fā)到本網(wǎng)絡(luò)上的一個主機。這時用ARP找到目的主機的物理地址。（4）發(fā)送方是路由器，要把IP數(shù)據(jù)包轉(zhuǎn)發(fā)到另一個網(wǎng)絡(luò)上的一個主機。這時用ARP找到本網(wǎng)絡(luò)上另一個路由器的物理地址，剩下的工作由這個路由器來完成。PC端常用的ARP請求命令如下。（1）查看緩存表命令：arp–a。（2）建立靜態(tài)緩存表命令（在一段時間內(nèi)，如果主機不與某一IP地址對應(yīng)的主機通信，則動態(tài)緩存表會刪除對應(yīng)的地址，但是靜態(tài)緩存表中的內(nèi)容則是永久性的）：arp-sipmac。（3）清空緩存表命令：arp-d。2ARP欺騙攻擊原理從上述ARP獲取MAC地址的過程中，我們可以發(fā)現(xiàn)ARP請求并不安全，其信任根基脆弱。在局域網(wǎng)框架內(nèi)，默認主機之間無條件信賴。此環(huán)境下，任意設(shè)備皆能自由發(fā)出ARP響應(yīng)，而接收端則不加甄別地全部接收，并將這些響應(yīng)存儲到ARP緩存中，沒有設(shè)置真實驗證機制。正因如此，惡意攻擊者得以乘虛而入，散布偽造ARP響應(yīng)，悄無聲息地篡改目標機器的MAC映射表，實現(xiàn)ARP欺騙。此類攻擊的核心在于憑空捏造IP地址與MAC地址的映射，將網(wǎng)絡(luò)淹沒于海量欺詐性ARP流量之中，僅需持續(xù)發(fā)送偽造ARP響應(yīng)包流，即可逐步侵蝕、修改目標緩存中的IP-MAC映射關(guān)系，導致網(wǎng)絡(luò)中斷，甚至可能使中間人攻擊得逞，網(wǎng)絡(luò)安全防線面臨嚴峻挑戰(zhàn)。ARP欺騙攻擊原理如圖6-30所示。圖6-30ARP欺騙攻擊原理攻擊者主機B向網(wǎng)關(guān)C發(fā)送一個響應(yīng)，其中包括主機A的IP地址、主機B的MAC地址。同時，主機B向主機A發(fā)送一個響應(yīng)，其中包括網(wǎng)關(guān)C的IP地址、主機B的MAC地址。這時，網(wǎng)關(guān)C就會將緩存表里主機A的MAC地址換成主機B的MAC地址，而主機A也會將緩存表里網(wǎng)關(guān)C的MAC地址換成主機B的MAC地址。因此，網(wǎng)關(guān)C發(fā)送給主機A的消息全被主機B接收，而主機A發(fā)送給網(wǎng)關(guān)C的消息也全被主機B接收，主機B便成為主機A和網(wǎng)關(guān)C通信的“中間人”。ARP欺騙攻擊主要存在于局域網(wǎng)中，局域網(wǎng)中若有一臺設(shè)備感染ARP木馬，則該設(shè)備將試圖通過ARP欺騙手段截獲網(wǎng)絡(luò)內(nèi)其他設(shè)備的通信信息，從而造成局域網(wǎng)內(nèi)設(shè)備通信延遲或故障。3ARP欺騙攻擊特點與危害ARP欺騙攻擊具有如下特點。（1）攻擊成本低：不需要特殊的網(wǎng)絡(luò)設(shè)備，攻擊者只要能夠?qū)⒂嬎銠C接入網(wǎng)絡(luò)，就能對網(wǎng)絡(luò)內(nèi)的主機實施ARP欺騙攻擊。（2）技術(shù)要求低：ARP本身比較簡單，且存在明顯的安全漏洞，攻擊者只要了解ARP的原理，就能夠利用相應(yīng)的攻擊軟件或自行編寫軟件進行攻擊。（3）溯源困難：雖然攻擊者處在網(wǎng)絡(luò)內(nèi)部，但由于ARP數(shù)據(jù)包只在IP層傳送，如果沒有專門的工具，用戶很難發(fā)現(xiàn)自己被攻擊。此外，許多攻擊者都會偽造主機的IP地址和MAC地址，甚至假冒其他主機的地址來實施攻擊，使查找攻擊主機變得更加困難。鑒于ARP欺騙攻擊的這些特點，其對網(wǎng)絡(luò)環(huán)境構(gòu)成的威脅不容小覷，我們應(yīng)了解ARP欺騙攻擊的典型危害。（1）使同一網(wǎng)段內(nèi)的其他用戶無法上網(wǎng)。（2）可嗅探到交換式局域網(wǎng)中的所有數(shù)據(jù)包。（3）可對局域網(wǎng)內(nèi)的信息進行篡改。（4）可控制局域網(wǎng)內(nèi)任何主機。4ARP欺騙攻擊的檢測與防御鑒于ARP欺騙攻擊會帶來嚴重危害，及時對其進行檢測與防御顯得尤為重要，以下列舉了幾種常見的檢測與防御措施。（1）主機級主動檢測：主機定期向所在局域網(wǎng)發(fā)送查詢自己的IP地址的ARP請求報文，如果收到另一ARP響應(yīng)報文，則說明該網(wǎng)絡(luò)上另有一臺機器與自己使用相同的IP地址。（2）服務(wù)器級檢測：比較同一MAC地址對應(yīng)的IP地址，如果這些IP地址不同，則說明對方偽造了ARP響應(yīng)報文。（3）網(wǎng)絡(luò)級檢測：配置主機定期向中心管理主機報告其ARP緩存表的內(nèi)容，或者利用網(wǎng)絡(luò)嗅探工具連續(xù)監(jiān)測網(wǎng)絡(luò)內(nèi)主機物理地址與IP地址對應(yīng)關(guān)系的變化。ARP欺騙攻擊的防御可以從以下幾個方面著手。（1）MAC地址綁定：由于ARP欺騙攻擊是通過偽造IP地址和MAC地址欺騙目標主機，從而更改ARP緩存中的路由表進行攻擊，因此，只要將局域網(wǎng)中每臺計算機的IP地址與MAC地址綁定，就能有效地防御ARP欺騙攻擊。（2）使用靜態(tài)緩存表：如果需要更新ARP緩存表，則手動進行更新，以確保黑客無法進行ARP欺騙攻擊。（3）使用ARP服務(wù)器：在確保ARP服務(wù)器不被攻擊者控制的情況下，使用ARP服務(wù)器來搜索自己的ARP緩存表來響應(yīng)其他客戶端的ARP廣播。（4）使用ARP防火墻有條件的情況下，使用ARP防火墻等防御ARP欺騙攻擊的工具來進行ARP欺騙攻擊的防御。（5）隔離攻擊源：及時發(fā)現(xiàn)正在進行ARP欺騙攻擊的客戶端并立即對其采取隔離措施。（6）劃分VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)）：在3層交換機的網(wǎng)絡(luò)中，可以通過劃分VLAN來縮小ARP欺騙攻擊的影響范圍。VLAN的劃分不受網(wǎng)絡(luò)端口實際物理位置的限制，用戶可以根據(jù)不同客戶端的功能、應(yīng)用等將其從邏輯上劃分在一個相對獨立的VLAN中，每個客戶端的主機都連接在支持該VLAN的交換機端口上。同一VLAN內(nèi)的主機形成一個廣播域，不同VLAN之間的廣播報文能夠得到有效的隔離。由于ARP欺騙攻擊不能跨網(wǎng)段進行，因此，這種方法能夠有效地將ARP欺騙攻擊限制在一定范圍內(nèi)。但其缺點是增加了網(wǎng)絡(luò)管理的復雜度，而且難以適應(yīng)網(wǎng)絡(luò)的動態(tài)變化。。任務(wù)實施步驟1．查看IP地址和MAC地址（1）在虛擬機攻擊機上，進入命令輸入界面，輸入命令“ifconfig”并執(zhí)行，查看攻擊機IP地址和MAC地址信息，其IP地址為“35”，MAC地址為“00:0c:29:82:cb:54”，如圖6-31所示。圖6-31查看攻擊機IP地址和MAC地址（2）在虛擬機靶機上，進入命令輸入界面，輸入命令“ipconfig/all”并執(zhí)行，查看靶機的IP地址和MAC地址信息，IP地址為“43”，物理地址為“00-0C-29-5D-A2-36”，如圖6-32所示。圖6-32查看靶機IP地址和MAC地址2．實施ARP欺騙攻擊（1）在Kali系統(tǒng)虛擬機攻擊機中，進入命令輸入界面，輸入命令“fping-asg/24”，并執(zhí)行查找靶機所在網(wǎng)段中當前存活的主機，查看是否能看到靶機的IP地址，如圖6-33所示。圖6-33當前存活的主機從圖6-33中可以看出，當前存活的主機有4臺，分別是攻擊機本機（IP地址：35）、宿主機（IP地址：43）、VMwareWorkstationPro系統(tǒng)所在主機（IP地址：）和網(wǎng)關(guān)（IP地址：）。（2）輸入命令“arp-a”并執(zhí)行，查看當前存活的主機的IP地址與MAC地址映射表，如圖6-34所示。圖6-34當前存活的主機的IP地址與MAC地址映射表在這里需要特別注意，網(wǎng)關(guān)IP地址“”對應(yīng)的MAC地址為“00:50:56:fa:92:df”。（3）輸入命令“arpspoof-ieth0-t43”并執(zhí)行，這里的“-i”用于指定網(wǎng)卡，“-t”用于指定持續(xù)不斷攻擊。該命令執(zhí)行后，攻擊機會持續(xù)不斷地發(fā)送ARP響應(yīng)，進行ARP欺騙攻擊，如圖6-35所示。圖6-35開啟ARP欺騙攻擊（4）此時，進入Windows10系統(tǒng)宿主機，發(fā)現(xiàn)已經(jīng)無法正常上網(wǎng)，如圖6-36所示。（5）進入命令輸入界面，輸入命令“arp-a”并執(zhí)行，可以看到網(wǎng)關(guān)IP地址“”對應(yīng)的MAC地址已經(jīng)變?yōu)椤?0-0c-29-82-cb-54”，而這個MAC地址，就是Kali系統(tǒng)攻擊機IP地址對應(yīng)的MAC地址，從而證明ARP欺騙攻擊成功，如圖6-37所示。圖6-36目標靶機無法訪問網(wǎng)絡(luò)圖6-37網(wǎng)關(guān)MAC地址改變（6）在攻擊機命令輸入窗口，按快捷鍵“Ctrl+C”，停止ARP欺騙攻擊。再次進入目標靶機，測試發(fā)現(xiàn)，目標靶機已經(jīng)能夠正常訪問網(wǎng)絡(luò)。在命令輸入窗口再次輸入“arp-a”并執(zhí)行，發(fā)現(xiàn)網(wǎng)關(guān)IP地址對應(yīng)的MAC地址也已經(jīng)恢復正常，如圖6-38所示。圖6-38目標靶機恢復正常課后：1.任務(wù)總結(jié)2.教師答疑3.布置預(yù)習任務(wù)作業(yè)布置搭建一個ARP欺騙攻擊模擬網(wǎng)絡(luò)環(huán)境，至少包括兩臺主機。使用ARP欺騙攻擊工具發(fā)起ARP欺騙攻擊，觀察其對網(wǎng)絡(luò)的影響，包括目標主機是否能夠正常訪問網(wǎng)絡(luò)、其他主機與目標主機之間的通信是否受到影響，然后分析ARP欺騙攻擊如何影響網(wǎng)絡(luò)通信以及如何防御ARP欺騙攻擊等。教學反思加強法律教育。引入案例：某企業(yè)員工因為ARP攻擊導致局域網(wǎng)癱瘓被判刑，強調(diào)技術(shù)亂用需要承擔法律后果?！毒W(wǎng)絡(luò)安全技術(shù)實踐教程》教案授課單位：授課時間：授課班級：授課教師：年月日圖6-40仿冒DHCP服務(wù)器攻擊原理3．仿冒DHCP報文攻擊已獲取到IP地址的合法用戶可以通過DHCP向服務(wù)器發(fā)送DHCPRequest或DHCPRelease報文以續(xù)租或釋放IP地址。如果攻擊者冒充合法用戶不斷向DHCP服務(wù)器發(fā)送DHCPRequest報文來續(xù)租IP地址，會導致這些到期的IP地址無法正常回收，以致一些合法用戶不能獲得IP地址；若攻擊者冒充合法用戶發(fā)送的DHCPRelease報文被發(fā)往DHCP服務(wù)器，將會導致用戶異常下線。4．DHCP中間人攻擊攻擊者利用ARP機制，讓PC1學習到DHCP服務(wù)器的IP地址與攻擊者的MAC地址的映射關(guān)系，并讓DHCP服務(wù)器學習到PC1的IP地址與攻擊者的MAC地址的映射關(guān)系，如此一來，PC1與DHCP服務(wù)器之間交互的IP報文都要經(jīng)過攻擊者進行中轉(zhuǎn)。我們需要了解交換機在轉(zhuǎn)發(fā)數(shù)據(jù)包的過程中，ARP緩存表中IP地址與MAC地址映射關(guān)系的變化過程，這與MAC地址欺騙類似。由于PC1與DHCP服務(wù)器之間的IP報文都會經(jīng)過攻擊者，攻擊者就能很容易竊取到IP報文中的信息，對其進行篡改或?qū)嵤┢渌茐男袨?，從而達到直接攻擊DHCP的目的。DHCP中間人攻擊原理如圖6-41所示。圖6-41DHCP中間人攻擊原理5DHCP攻擊的防御措施DHCP攻擊的防御措施如下。1．服務(wù)器端：設(shè)置信任端口將與DHCP服務(wù)器相連的交換機的端口分為兩種類型——信任端口（Trusted端口）和非信任端口（Untrusted端口）。交換機所有端口默認都是非信任端口，將與合法DHCP服務(wù)器相連的端口配置為信任端口，這樣交換機從信任端口接收到DHCP報文后，會將其正常轉(zhuǎn)發(fā)，從而保證合法DHCP服務(wù)器能正常分配IP地址及其他網(wǎng)絡(luò)參數(shù)。而其他從非信任端口接收到的DHCP報文，交換機會直接將其丟棄，不再轉(zhuǎn)發(fā)，這樣可以有效地阻止仿冒DHCP服務(wù)器分配假的IP地址及其他網(wǎng)絡(luò)參數(shù)。2．服務(wù)器端：配置DHCPSnooping技術(shù)在DHCP服務(wù)器所在交換機上配置DHCPSnooping（偵聽）技術(shù)，以防御DHCP耗盡攻擊。交換機會對DHCPRequest報文的源MAC地址與CHADDR字段的值進行檢查，如果一致則轉(zhuǎn)發(fā)報文，如果不一致則丟棄報文。同時，運行DHCPSnooping的交換機會偵聽往來于用戶與DHCP服務(wù)器之間的信息，并從中收集用戶的MAC地址（DHCP報文中的CHADDR字段中的值）、用戶的IP地址（DHCP服務(wù)器分配給相應(yīng)的CHADDR字段的IP地址）、IP地址租期等信息，將它們集中存放在DHCPSnooping綁定表中，交換機會動態(tài)維護DHCPSnooping綁定表。交換機接收到ARP報文后，會檢查它的源IP地址和源MAC地址，若發(fā)現(xiàn)與DHCPSnooping綁定表中的條目不匹配，就丟棄該報文，這樣可以有效地防止SpoofingIP/MAC攻擊。3．服務(wù)器端：DHCPSnooping與IPSG技術(shù)的聯(lián)動針對網(wǎng)絡(luò)中常見的對源IP地址進行欺騙的攻擊行為（攻擊者仿冒合法用戶的IP地址來向服務(wù)器發(fā)送IP報文），可以使用IPSG（IPSourceGuard，IP源防護）技術(shù)進行防御。在交換機上啟用IPSG功能后，會對進入交換機端口的報文進行合法性檢查，然后對報文進行過濾（檢查結(jié)果合法，則轉(zhuǎn)發(fā)；檢查結(jié)果非法，則丟棄）。DHCPSnooping技術(shù)可以與IPSG技術(shù)進行聯(lián)動，即對于進入交換機端口的報文進行DHCPSnooping綁定表的匹配檢查，如果報文的信息與綁定表的一致，則允許通過；如果不一致，則丟棄該報文。報文的檢查項可以是源IP地址、源MAC地址、VLAN和物理端口號等組合。如在交換機的端口視圖下可支持IP地址+MAC地址、IP地址+VLAN、IP地址+MAC地址+VLAN等組合檢查，在交換機的VLAN視圖下可支持IP地址+MAC地址、IP地址+物理端口號、IP地址+MAC地址+物理端口號等組合檢查。4．客戶端：安裝防病毒軟件從客戶端層面來看，可以將客戶端的IP地址和MAC地址以及網(wǎng)關(guān)的IP地址和MAC地址進行ARP綁定，或者在客戶端安裝ARP防病毒軟件來防御DHCP攻擊。任務(wù)實施步驟1．配置交換機和路由器（1）繪制拓撲圖，進入交換機LSW1配置界面，啟動DHCP功能，配置DHCPSnooping，配置接入口啟用DHCPSnooping功能，代碼如下。sysnameLSW1#啟用DHCP功能dhcpenable#啟用DHCPSnooping功能dhcpsnoopingenable#將接入終口啟用全部DHCPSnooping功能port-groupgroup-memberGigabitEthernet0/0/1toGigabitEthernet0/0/2dhcpsnoopingenable#將DHCP_Server連接端口設(shè)置為信任端口interfaceGigabitEthernet0/0/24dhcpsnoopingtrusted（2）進入路由器AR1配置界面，配置DHCP服務(wù)，代碼如下。sysnameDHCPServer#IP地址配置interfaceGigabitEthernet0/0/0ipaddress54#DHCP服務(wù)器配置配置DNS服務(wù)器為14/dhcpenableippoolIP_150gateway-list54networkmaskdns-list14#設(shè)置全局配置模式interfaceGigabitEthernet0/0/0dhcpselectglobal2．Kali攻擊機接入eNSP網(wǎng)絡(luò)（1）在eNSP中，雙擊“Cloud1”圖標，進入配置界面，直接單擊“增加”按鈕，添加第一個接口用于連接交換機LSW1，如圖6-43所示。圖6-43添加第一個接口（2）在“端口創(chuàng)建”的“綁定信息”下拉列表中選擇“VMwareNetworkAdapterVMnet8—

IP:”，單擊右上方的“增加”按鈕，添加第二個接口，如圖6-44所示，用于連接Kali攻擊機。將“端口映射設(shè)置”中的“出端口編號”修改為“2”，勾選“雙向通道”復選框，單擊左下方“增加”按鈕，完成Cloud1的配置。圖6-44添加第二個接口3．PC1和Kali攻擊機獲取IP地址（1）進入PC1配置界面，選中“IPv4配置”下的“DHCP”，如圖6-45所示，單擊“應(yīng)用”按鈕，PC1自動獲取DHCP服務(wù)器分配的IP地址。圖6-45自動獲取IP地址（2）進入命令輸入界面，輸入命令“ipconfig”并執(zhí)行，就可以看到PC1獲取到的IP地址、網(wǎng)關(guān)和DNS等信息，如圖6-46所示。圖6-46獲取到的IP地址、網(wǎng)關(guān)和DNS等信息（3）打開VMwareWorkstation界面。依次單擊“編輯”→“虛擬網(wǎng)絡(luò)編輯器”，在彈出的“虛擬網(wǎng)絡(luò)編輯器”界面，單擊右下角的“更改設(shè)置”按鈕，如圖6-47所示。（4）在“虛擬網(wǎng)絡(luò)編輯器”對話框中，選擇“VMnet8”，將“使用本地DHCP服務(wù)將IP地址分配給虛擬機”取消勾選，單擊“應(yīng)用”按鈕，如圖6-48所示。圖6-47“虛擬網(wǎng)絡(luò)編輯器”界面圖6-48修改VMnet8網(wǎng)絡(luò)參數(shù)（5）進入Kali攻擊機系統(tǒng)，在工具欄中選擇“RootTerminalEmulator”，輸入Kali系統(tǒng)密碼后，進入命令輸入界面，輸入命令“dhclient”并執(zhí)行，自動獲取路由器AR1上的DHCP服務(wù)器分配的IP地址。輸入命令“ipad”并執(zhí)行，查看當前獲取到的IP地址信息，如圖6-49所示。圖6-49獲取并查看IP地址信息（6）進入路由器AR1配置界面，輸入命令“displayippoolnameIP_150used”并執(zhí)行，查看當前已經(jīng)分配的IP地址信息，如圖6-50所示。圖6-50查看當前已經(jīng)分配的IP地址信息4．使用dhcpstarv工具攻擊（1）在eNSP的工具欄中選擇“數(shù)據(jù)抓包”，在彈出的對話框中，選擇路由器“AR1”的“GE0/0/0”接口，單擊“開始抓包”按鈕，使Wireshark工具開始抓包，如圖6-51所示。（2）進入Kali攻擊機，在命令輸入窗口輸入“dhcpstarv-v-ieth0”并執(zhí)行，可以看到dhcpstarv一直在向/24網(wǎng)段持續(xù)、大量發(fā)送DHCPRequest報文請求IP地址，如圖6-52所示。圖6-51啟動路由器抓包圖6-52dhcpstarv攻擊（3）在路由器AR1上，再次輸入命令“displayippoolnameIP_150used”并執(zhí)行，此時，可以看到DHCPServer的地址池被占滿了，如圖6-53所示。圖6-53地址池被占滿（4）進入Wireshark工具抓包界面，當出現(xiàn)dhcpstarv攻擊時，DHCPServer也在持續(xù)、大量回復DHCPOffer報文，當Kali攻擊機收到報文后，發(fā)送DHCPRequest報文請求占用DHCP服務(wù)器地址，DHCPServer以為是正常的DHCP_Client獲取地址，于是發(fā)送DHCPACK確報文認，如圖6-54所示。圖6-54DHCP分配IP地址抓包（5）雙擊打開兩條DHCPACK數(shù)據(jù)流，可以發(fā)現(xiàn)，在dhcpstarv攻擊中，源MAC地址是不會改變的，只有CHADDR地址會改變，如圖6-55所示。圖6-55CHADDER地址改變（6）在交換機LSW1中，輸入命令“