信息安全實驗報告

1、信息安全實驗報告信息安全基礎(chǔ)實驗報告姓名：田廷魁 學(xué)號：201227920316 班級：網(wǎng)工1201班ARP欺騙工具及原理分析（Sniffer網(wǎng)絡(luò)嗅探器）1 .實驗?zāi)康暮鸵髮嶒災(zāi)康模? .熟悉ARP欺騙攻擊有哪些方法。2 .了解ARP欺騙防范工具的使用。3 .掌握ARP欺騙攻擊的實驗原理。實驗要求：下載相關(guān)工具和軟件包（ARP攻擊檢測工具，局域網(wǎng)終結(jié)者，網(wǎng)絡(luò)執(zhí)法官， ARPsniffer嗅探工具）。2 .實驗環(huán)境（實驗所用的軟硬件）ARP攻擊檢測工具 局域網(wǎng)終結(jié)者 網(wǎng)絡(luò)執(zhí)法官ARPsniffer嗅探工具三.實驗原理ARP （Address Resolution Protocol）即地址解析協(xié)

2、議，是一種將 IP地址轉(zhuǎn)化 成物理地址的協(xié)議。不管網(wǎng)絡(luò)層使用什么協(xié)議，在網(wǎng)絡(luò)鏈路上傳送數(shù)據(jù)幀時， 最終還是必須使用硬件地址的。 而每臺機器的MAC地址都是不一樣的，具有全 球唯一性，因此可以作為一臺主機或網(wǎng)絡(luò)設(shè)備的標(biāo)識。目標(biāo)主機的MAC地址就是通過ARP協(xié)議獲得的。ARP欺騙原理則是通過發(fā)送欺騙性的 ARP數(shù)據(jù)包致使接收者收到數(shù)據(jù)包后更 新其ARP緩存表，從而建立錯誤的IP與MAC對應(yīng)關(guān)系，源主機發(fā)送數(shù)據(jù)時數(shù) 據(jù)便不能被正確地址接收四.實驗內(nèi)容與步驟1、利用ARPsniffer嗅探數(shù)據(jù)實驗須先安裝winpcap.exe它是arpsniffer.exe運行的條件，接著在 arpsniffer.e

3、xe同一文件夾下新建記事本，輸入 Start cmd.exe，保存為cmd.bat。 ARPsniffer有很多種欺騙方式，下面的例子是其中的一種。安裝截圖： ltePc網(wǎng)p 3. 1 ba.4 setupWoIcomo to tho Inctallation WizardIwill aude 4jou Ihrcugh the entire WinPcap 3.1 beta4 ansJlallaticriLWeccun& to the WinPcap 3.1 betm4 Setup progirann. This program will in st all V/inP csp 2.1

4、 beta4 on vour compiuitei.|i i£ 金田口門91y戶口口nonnFnHFd tht yotj Fit allXA/mdciuvs program七n innimg this Si?tuppiogmm. Clic-k Cancel ILc quil Setup and close any programs ycu have ruining. Qic;k NekI to continue with Ek專 Setup program.WAFNING: This rrogrm is prelected by copyright lavy knd intemano

5、naltreatiesUn»uthrDrized repreduehon 0< diftribiJion rrf this program, tw any poihiDn & iL map result in severe civil and crimimai pendltie$H &E will be prosecuted M the maximum extent; po«sile L<nidE>r laj.Ghost Installer rdCanreel1IH ext >:Varpsf步驟一：運行cmd.exe依次輸入以下命令：

6、"arpsf.exe -sniffall -o f:sniffer.txt -g -t " （其中 IP 地 址：是局域網(wǎng)網(wǎng)關(guān)的地址，是被欺騙主機的IP地址, 試驗獲取的數(shù)據(jù)將會被輸入到 F盤的sniffer.txt文件中。）接回車鍵運行，出現(xiàn) 如下圖所示的選項，選1,接著選0,回車，程序便開始監(jiān)聽了。運行截圖：C r-yriif f all u c ; Xsiiif f vi*« 1mL12.168 «I JL?2 .LfrB «137!

7、HTi.1 At mnrt En i Ff At1 112*1 IXiwnid hv chAilouF my wwitB- |i = -nfww .EurloHcirun*Wrua mcL jtti A to yut 1HdwiiLiot4 1 i -Hy Hln.能 p Dr>lup#> r f>1 .Gfrt lly I tiHft lHFI CC-an use thia In 1?WH3)T iniMit vomi* chociaACtldp疆Liofit j*V t° fiote t* 1 i»t hy phis>乎q p.M : Mh>

8、;U o SHPF X & 3 V¥C：1 H8 Eie3-4Kftfl -7fc&&-*f133 PHVB8 Pfl >lklcAai& c hfiose & &d霸需產(chǎn) with nun? S步驟二：停止運行，打開F盤的sniffer.txt文件，在文件中查找，可以發(fā)現(xiàn)被欺 騙主機的一些敏感信息，如下圖：可以發(fā)現(xiàn)被欺騙主機注冊某網(wǎng)站時的信息： username=wanglouanquan password=123456 等。捕獲信息截圖:F的：工日.191S12-1G»S1007JL70301112 27£

9、Crep stfi：1工si n&.6 .2O.S4IHA193，桿神H1 37 .SFt vt；ftfl：am 1-12a9?1 sfCF JL 予 N 1。2 AG= JL37.石2033>1X04 715 «X75BO-45-4U少七u旨20X11227X51 H S 1 &一名三里14.占4KM>工事犍三：LG修_ jiavMIG-MVlbrcr ne = 17. 7寫. JL»7.175f192 JLOI?1寫工事”203Dypt 9 u2011 12-27 CP H 92 11* = ISP.- i 3-S.dGW立>工斡包.&

10、#163;3一制。三”玨2CHl±i2-12 s?dLSrci, &3 Hl iFb VHM>工48.X3V - 53 HHfl u 1t 0 HHMJL112 a V同樣的，實驗須先安裝 winpcap.exe,安裝后運行局域網(wǎng)終結(jié)者軟件（運行該軟 件須先退出某些安全防范軟件如：360安全衛(wèi)士，瑞星等。）步驟一：運行軟件后，將目標(biāo)主機的IP地址加入欺騙列表，如下圖:cnsz_a 3QO19 9&C=8;sin30ai9960=;rti m e 300199 SO= a；It i me 300：cnzz_e i d 3OOI9360-6348149-13 249

11、982 87 Mt pK3A/wwwi3peedfLilLcarTVHm Ivt c2tfdb3719cl5fc9&072dc06fBfecc83 = 1324S9905502B；h m_lprt_c2fTdba7icLrc9eo72dcoo-rBrecca3=i 3&UEErnanne=wanglouanquanK<passwor(i=12 3-4S6SLquickTorwa rd=yesKthandl2、使用局域網(wǎng)終結(jié)者進(jìn)行 ARP欺騙春的系頻置3系陽6rlNr_0ffT0_5attkey=LdCz44riy；6rNr_Off0_lastact=i2S4999O57M

12、<»home.php?«O9nnisc;6rhJr_Off(購間計劃設(shè)置拄1W規(guī)喇設(shè)置口貨懶給者4 13家鼓三強看口拄鼾G選項鼾物才 ， 19EL6S 137.5 回： 1 里 IBS 137 t-192 ICS 1ST 254網(wǎng)卡設(shè)置|舞射” |屏而麗港遺舞逐攫到詩R工I網(wǎng)設(shè)的網(wǎng)卡。地址：冏舟忙地址：系接代行信息事崎運青系好設(shè)置四址：孑加碼:網(wǎng)關(guān)地址:00:50:S6：m： 5g 7C陽演1317.52SS.2SS2SS/0士母 i&a 137 I"彳研 D FCNoT A3 "pt 苫丁 " 巾1鹿巴SML S？a 國琳匕3月

13、金桂司 厘明、占福聚”閑置悻堂架塌M茶幡行值utttt函MA患聞書上仃彳草葉5)益燉漫量事由而你告f?t«n0 M也減國 h i-ij 160 irr cM3*LI 捌和£”a on0 D0|步驟二：目標(biāo)主機被欺騙，顯示IP沖突，導(dǎo)致斷網(wǎng)，在命令提示符窗口無法ping 通網(wǎng)關(guān)。Ping網(wǎng)關(guān)截圖規(guī)則名稱帝寬甌制|彘F下載限制即時通訊限制普通F衰限制*出6同限制皿沒鼠不限制W*竹訪問使用規(guī)則F艮制劉超訪阿Q 禁止時火解訪問口 啟用熏白名單方式昉r°rwrw |黑名單* I 1鎘捐:一R拒始使用XT TF代理訪問"宣"確定 I 取消P旺終轉(zhuǎn)看QJ?前

14、間計劃段置IF地址榔防火培機器名 ai92.16S.B7F-控制機 '11192.L6B. 1T/.6H0HG1T4515 磔1累垸查看控制。選項回幫助0啟動控制 團停止控制 敏方網(wǎng)絡(luò)-j指定就順主機一流量登詢 ?備份系筑配置系統(tǒng)運行信息不猊設(shè)置原理：使用網(wǎng)絡(luò)執(zhí)法官，將所在的局域網(wǎng)中的用戶列入管理列表，限制某用戶 權(quán)限，使其無法上網(wǎng)。步驟一：雙擊安裝 網(wǎng)絡(luò)執(zhí)法官”，（安裝后提示的winpcap也須安裝），安裝 后即可進(jìn)入網(wǎng)絡(luò)執(zhí)法官界面。步驟二：在右上角的 設(shè)置”選項中選擇 監(jiān)控范圍”，彈出監(jiān)控范圍設(shè)置窗口， 然后對監(jiān)控范圍進(jìn)行設(shè)置：在 指定監(jiān)控范圍”欄中設(shè)置監(jiān)控IP段，然后單擊 添 加

15、/修改”按鈕即將所選IP段加入監(jiān)控列表，單擊確定。gynWt同 | Mir fite r Fr+FTy pct f »-* - K9比UtZ在,尚 "EFH白勺HF眼子網(wǎng)手跑j|一Zp-：L32 les. 13T. di fh=R：一Efeb. 2&*5- L：bt? L»于占璋3控幅畫 ( IF i2 . ie& . ist .I- |iss . ist zsu.力n早修 B 了 系的網(wǎng)即學(xué)輜.1百梆F審HKJSFa現(xiàn)“ 中岫觸加/修出1岡=£即程LU* 至宿血朝乖加”所也走時皿及問便：移出q岫fp -I后瘡，也同L9F iae isr

16、r aL9F tae isrr 1 - 12 1 on 1 st 254r cv i c<JL :" j M >目金運行“里測請手工網(wǎng)”喻是 取.步I步驟三：接著進(jìn)入受監(jiān)控IP列表（這里沒有單獨截圖），在列表中右擊某 IP 網(wǎng)卡信息所在行，選擇 設(shè)定權(quán)限”，這里選擇 發(fā)現(xiàn)該用戶與網(wǎng)絡(luò)連接即進(jìn)行管 理”，在該選項下面的選項中選擇管理方式，然后再單擊 確定”。民場6）設(shè)置ci用戶go數(shù)據(jù)處理m幫助比日本機狀毒為用戶列衰IR記錄查詢|網(wǎng)卡板限良地址|州明 由鼬I:_威/主機/用戶上線時間國口口；。；口口；優(yōu)：雙；斯 00 1日2.16&13-5¥0®

17、雕KQUI / M0I. ,.2011-12-27 W3；5400：00：00:SS：B8：8B/12011-12-2723:54口|00:5。:56:對:59:兀P©192 1&3, J3T. 1/2011-12-27E3 54300:50:SS:F2:FC:50口 0192.168.1ST. 254/J2011-12-2723 :54r>ci用戶T? 18, 164. 137. 5主機電:HOHG-SP網(wǎng)-F號：QO CD; DO SS;S 3$ 莊玨網(wǎng)卡生產(chǎn)廠家不詳注意.清建情眼定眼箔普r交損機等網(wǎng)唔共疑諛缶的校際， 根眼諛定可以使用任意

18、多數(shù)與網(wǎng)絡(luò)連接.L 卅許5指定的條件與網(wǎng)絡(luò)泛援.TF保爐2 時隈|不允，侵用 以下時段1口卜兄：口 一 |口口 ： 口口匐 &口 ：©0 4 |口: 口: -!L 密周六禁止連培1 舒詞日禁止5生接G走麗裱吊尸與阿輅連掠即進(jìn)行昔理.關(guān)鍵壬機.有4能氈差止開啟代理配號.代性T描曾算方式 注意，只有近反了以上權(quán)限的用尸才懂以下謾定迸行管理. R 產(chǎn)生工F沖我害皆 II，禁止3天:翩壬到的TCP，玨逢程但與市機的在接不空助開'關(guān)網(wǎng).主機3 結(jié)止與鼾"苴色主機I含M犍主機的TU PJ LF連接C與本機的連接不"斷開! 璃定順消步驟四：被設(shè)置權(quán)限主機無法上網(wǎng)

19、，出現(xiàn) IP沖突提示，無法ping通網(wǎng)關(guān)C： Documeni:s And Sett i-n9£ dm£nistiiator>plng 192 _ It8 _ 137 _ 1.ringing 192-lt8_137_1 with 32 hyce；& o£ dal:a：IlequEst timed out. llequies-t t ined. out . Ttequcst t ined out. Request t ined out.4 <1lo答帛.Fing stat istics Foi' - Packe

20、t菩二 Sent = 4, Eeceived = Lost =C: vBocurrents And Sett Ings Adminlst:itat:or> 步驟五：關(guān)閉網(wǎng)絡(luò)執(zhí)法官或者將目標(biāo) IP從管理列表中移除，目標(biāo)主機即可恢復(fù) 正常工作，可以ping通網(wǎng)關(guān)。ping網(wǎng)關(guān)截圖：C = <Doc：unhent: and Settings'sAdminoi'>ping- 192-168-137.1Pinsrins uit Ji 32 hytes of =Reply giMim 192 _1G8： b<,tes -32 t：

21、63;med.ms T*TL=i28Reply :Fi'ort 192 -168± ： bytes =32 t： i_me<lms TTL=±28Replv f i*on 192-.168.137.1 = bytes =32 t ImeClns TTL=128Reply f ±*on ： bsrtss =32 t ime <lms TTL=128P±ng statistics for 192-168-137-1：Pselects i Sen/=4/Rece iuert = 4b L口母七=0 4國紀(jì) las

22、s 由 ppioxzLnka 七日 round, tr-ip times： ±n vnxHi-seconds =Flin Linun =, M*?;imun = 5pi亨.孝yq = SnsC 7>obLumtjrtt當(dāng) and 朵2七七.n9近，fidmin三七五.實驗總結(jié)做實驗主要是要掌握其原理，就像看問題，我們要看本質(zhì)是一樣的，那么對于這次實驗，我們來思考這樣幾個問題。第一：實驗中的工具軟件是利用什么實現(xiàn)其功能的 ？arpshiffer會將網(wǎng)絡(luò)接口設(shè)置為混雜模式，該模式下工具可以監(jiān)聽到網(wǎng)絡(luò)中傳輸 的所有數(shù)據(jù)幀，而不管數(shù)據(jù)幀的目的地是自己還是其他網(wǎng)絡(luò)接口的地址。嗅探 器會對探測到的每一個數(shù)據(jù)幀產(chǎn)生硬件數(shù)據(jù)中斷，交由操作系統(tǒng)處理，這樣就 實現(xiàn)了數(shù)據(jù)截獲。局域網(wǎng)終結(jié)者可以偽造任一臺主機的IP向局域網(wǎng)不停地發(fā)送ARP請求，同時 自已的MAC也是偽造的，那么被偽造IP的主機便會不停地收到IP沖突提示， 致使該主機無法上網(wǎng).網(wǎng)絡(luò)執(zhí)法官是通過ARP欺騙發(fā)給某臺電腦有關(guān)假的網(wǎng)關(guān)IP地址所對應(yīng)的MAC 地址，使其找不到網(wǎng)關(guān)真正的 MAC地址。我們做信息安全實驗?zāi)康牟⒉皇窍窈诳鸵粯尤ス粝到y(tǒng)，而是通過我們的研究 怎樣才能使我們的計算機網(wǎng)絡(luò)更安全那么我們該如何防范呢？第二：如何