ARP攻擊與防御(動態(tài)ARP檢測)

1、ARP攻擊與防御（動態(tài)ARP檢測）【實驗名稱】攻擊與防御（動態(tài)檢測）【實驗?zāi)康摹渴褂媒粨Q機的（動態(tài)檢測）功能增強網(wǎng)絡(luò)安全性【背景描述】某企業(yè)的網(wǎng)絡(luò)管理員發(fā)現(xiàn)最近經(jīng)常有員工抱怨無法訪問互聯(lián)網(wǎng)，經(jīng)過故障排查后，發(fā)現(xiàn)客戶端上緩存的網(wǎng)關(guān)的綁定條目是錯誤的，從此現(xiàn)象可以判斷出網(wǎng)絡(luò)中可能出現(xiàn)了欺騙攻擊，導(dǎo)致客戶端不能獲取正確的條目，以至不能夠訪問外部網(wǎng)絡(luò)。如果通過交換機的檢查功能解決此問題，需要在每個接入端口上配置地址綁定，工作量過大，因此考慮采用功能解決欺騙攻擊的問題?！拘枨蠓治觥科垓_攻擊是目前內(nèi)部網(wǎng)絡(luò)中出現(xiàn)最頻繁的一種攻擊。對于這種攻擊，需要檢查網(wǎng)絡(luò)中報文的合法性。交換機的功能可以滿足這個要求，防止欺

2、騙攻擊。【實驗設(shè)備】二層交換機臺（支持監(jiān)聽與）三層交換機臺（支持監(jiān)聽與）機臺（其中臺需安裝服務(wù)器，另臺安裝欺騙攻擊工具（測試用）【預(yù)備知識】交換機轉(zhuǎn)發(fā)原理交換機基本配置監(jiān)聽原理原理欺騙原理【實驗原理】交換機的功能可以檢查端口收到的報文的合法性,報文，防止欺騙攻擊?！緦嶒灢襟E】第一步：配置服務(wù)器將一臺配置為服務(wù)器，可以使用者使用第三方服務(wù)器軟件。服務(wù)器中的地址池為并可以丟棄非法的配置服務(wù)器，或第三步：基本配置、監(jiān)聽配置及配置（分布層）！啟用功能第二步：基本配置及監(jiān)聽配置（接入層）并可以丟棄非法的配置服務(wù)器，或第三步：基本配置、監(jiān)聽配置及配置（分布層）！啟用功能！配置/端！配置/端1口為端口!配置

3、端口為端口!配置中繼，指明服務(wù)器地址第四步：驗證測試確保服務(wù)器可以正常工作。將客戶端和（攻擊機）配置為自動獲取地址后，接入交換機端口，此時可以看到從服務(wù)器獲得了地址。地址配置信息，獲取地址為：Ethernetadapter本地連按匕ConnMtinn-KpscifirNSSiiFfivsifmtsiLNICPhystcdilAddress.；fi-1S-F2-&C-6-fl4DltcpEnabledVesAuhnnonifEnnhledi.P；YgsITAdilres|17216SuLticttlakb*255.255.255.9Defa,ultGQcvoijyi1172.l&.l.1DHCP

4、Server-甲INLcffObtained.:200711K|J1?：38：1BLoanaBcpiroa*：ISE地址配置信息，獲取地址為iltlihmiiKlndniitF本-抽彈:ConnocciGftciwcAficSHEiltlihmiiKlndniitF本-抽彈:ConnocciGftciwcAficSHESufflxEMscritition,Kh5ic-flLA-ddiir-jE.Efidhlejd.c.P.P,Antocoinifi$!urnt1anEAblod.1PArldireasv.g,SulmPtH.kHBBbiDufaultB.DHGPServerbOhLA.,.Ly

5、&b.i-HWfBlflinFtireeCoritrftllevsaa-lfi-B3-93-22-Cfii-Y=Vne:i72.i&Pm,:i?255.2W,255+aL?2Uori172.16.1.1；Jjvtes=32time=lnsTTL=6Fteplyfroit17216.1.1：hiftts32tiiKlms：TT陰fI&nbytes-32tirtcln3TTL-t-JPeyilijFport173A6-1.1:bytrep=12time41nisTTL=G4Flnc(scatisticsfor丄72_16.1_L：Pctukels-SmiL-4,-4,Lut-Parp-aInter

6、face:172_1G.1InternetAddiwss.1172.16U.2Interface:172_1G.1InternetAddiwss.1172.16U.2IcdlAddieT/pe0015-f2-dc?6*43JJ71iI!：=|赳3葦|祜如nc|Lrlrct*5hrbjunrl.Drrvicr1?ItI2&*AJ1-st:3JJ71iI!：=|赳3葦|祜如nc|Lrlrct*5hrbjunrl.Drrvicr1?ItI2&*AJ1-st:RpTlart-c(1UMJD71UK0TL7;54rtejTb5.M衣Hf：tsCJJt全卄訴.吹A(chǔ)dMii；軸:jtd:RlSI-：-rar

7、nBFtFarEefretI4CjSJ_JBH空甌-盼賦imiiAS4317215-M在“”頁面中，選擇正確的網(wǎng)卡后，會顯示網(wǎng)卡的地址、掩碼、網(wǎng)關(guān)、地址以及網(wǎng)關(guān)的地址信息。第七步：在界面中選擇“”頁簽，界面如下顯示IHV|JVLfe3i411-曲/1緲lbJi4jj|eIHV|JVLfe3i411-曲/1緲lbJi4jj|e斶DMiTIWBJESSKFBaEil-itin占ftrIr勺口兀-Jc*.(nM的并曲Ryr*JKt=RCii-rciGrtir-gl-nc*Ld!,e,liw;-ffTcr木在“”頁面中，去掉“（）”選項,如果選中，軟件還將進(jìn)行第八步：使用中間人攻擊。配置完畢后，點擊按

8、鈕。進(jìn)行掃描單擊工具欄中的地址等信息。按鈕，軟件將會掃描網(wǎng)絡(luò)中的主機，并獲取其地址、tLkitillcJ-WiriArpSfiQQE-1口小lEilOplCir!itAtautLivUpOpcredccuTehtIPidJ切-:*卻七注血陽XP孤1TTfk|17216J.2MyftiaiV1?1.13MomAbd17MC-.11Mbhi創(chuàng)Ll/L5jt7W：1925W9.5.3(Fteifi-eD(n/!.5/r7jn：i9?5Fx憶f暉蝕刖環(huán)soyi：ij初皿甘茁riresfreell/LS/t?W;193ftvrtmii；iiin.sjtiT8in：J933rs/ehrersof益*ml弟

9、(ll/L5回】:13!JBjCQfnpleted%rAnrlngl00:00:00第九步：進(jìn)行欺騙單擊工具欄中的按鈕，軟件將進(jìn)行欺騙攻擊。第十步：驗證測試通過使用捕獲攻擊機發(fā)出的報文，可以看出攻擊機發(fā)送了經(jīng)過偽造的應(yīng)W1STirai-.gj：22;-6：6Wlicr:i!_9：22!WhTF0i_?123:4皆化昨01肩W1STirai-.gj：22;-6：6Wlicr:i!_9：22!WhTF0i_?123:4皆化昨01肩殍；耳畠witr;：rrsetW-；!T|-t：lJ：?：f.叮J心.277帀訃rmMlStroU3iS2i*MlSXi!,CrtSji3a2trtwisArcnUJ;2

10、:q6答月itrcn,J:22;cEiwlstrm_S-S2J*：-5:4-1Aawtckdk;海：*3LR,tekr：_dc:!*5:J-It5LSt*kc_CC!：L:dJJfcL.jTU!_爲(wèi)上巴Lr：,：邙MT咄?;lSaf2;di：6:a4曲懷曲憎:：uh翱冊L-J：JS!r2：i|.：hLa4oo：i3o：re!2i：4：a?3泊丄:忖則:j4鮒訊如ffh2=*5軸3QO;!：:f2:-dr瀉(i4iO：dO：tB：21KElliTldCEW：J.瑁J業(yè)W仏夫LTJ-1&-J.忙ATiau-ia忙我ml氣九：k帖i7i*44壯杭丄Wi-b1.?-ntl?2.1.1!.l1；jliT

11、a.&aM和L7Plft.3.3Isatxnxift.a.i怕dii3ST|廣Frn亡d($4faurii亍住.亦eh社aiptureSJErElhtrrtKI,srC34iunicuic：96moouji對皿工襯二歐審八iUjifjm-EEo*lyt1qtPrstQ1!(T燮衛(wèi)丫Hirctai-e1石亡：Hirctai-e1石亡：Etherr-JEt1POCOCOltLt嚴(yán)加訥Ji?)HJfcFgQ滬豐?l?fl：尋prnc-QC：1Mu；JufijjAB“平】ytTMM；JdrlrSST：22!rli!l3rWS?ri：JTjrgeTif:ir-;.応座込).17?ifJ第十二步：配置在上

12、對于配置防止第十二步：配置在上對于配置防止中的主機進(jìn)行欺騙。：Opirff172.16.1.11*72.1.1uXtli32huytecofda.ta-ReduesttiredoutHequ(ttiftsttiiwdnot.Pinqstatisticsfor172.16.1.1；Packets:Ecnt-4ReceivedH0Lat-4,Cr-aInterface：172.16.1.36x2IqiLntAdcipcQPhysicalRddvossXypc172,lb.ia0B-lS-f2dc-Vba4dsmani-C172.1&.1.2dynamic！在上啟用！在!配置端口為監(jiān)控信任端口第十二

13、步：驗證測試啟用了檢查功能后，當(dāng)交換機端口收到非法報文后，會將其丟棄。這時在機上查看緩存，發(fā)現(xiàn)表中的條目是正確的，并且可以通網(wǎng)關(guān)。注意，由于機之前緩存了錯誤的條目，所以需要等到錯誤條目超時或者使用-命令進(jìn)行手動刪除之后，才能解析出正確的網(wǎng)關(guān)地址。Ro箏fronKm舉丄yfromRf?|iTyfmnRuplyfrdn172.1G.1.1:1.1:172.16.1.1Ro箏fronKm舉丄yfromRf?|iTyfmnRuplyfrdn172.1G.1.1:1.1:172.16.1.1；bytoa_32bifles-32tino-3PGtinecafor1.72-1_Lf1:Packets:Sen

14、t=4jK&ceiued=4*Lest=ULos$*roundtinrtil：Mlnlnun=0nsrMaxlnum=3msfluerage=PinsC：eirpaInterfinternetAddress172xixi.lFliysicalAddressaG-lO-Ffi-21-41TypedynanicInterfinternetAddress172xixi.lFliysicalAddressaG-lO-Ffi-21-41Typedynanic【注意事項】監(jiān)聽只能夠配置在物理端口上，不能配置在接口上。只能夠配置在物理端口上，不能配置在接口上。如果端口所屬的啟用了，并且為端口，當(dāng)端口收到報文

15、后,若查找不到監(jiān)聽表項，則丟棄報文，造成網(wǎng)絡(luò)中斷。軟件僅可用于實驗。參考配置】vlan1vlan2!vlan100!servicedhcpiphelper-address10.1.1.1ipdhcpsnoopinginterfaceFastEthernet0/1switchportaccessvlan100ipdhcpsnoopingtrust!interfaceFastEthernet0/2!interfaceFastEthernet0/3!interfaceFastEthernet0/4!interfaceFastEthernet0/5!interfaceFastEthernet0/6!i

16、nterfaceFastEthernet0/7!interfaceFastEthernet0/8!interfaceFastEthernet0/9!interfaceFastEthernet0/10!interfaceFastEthernet0/11!interfaceFastEthernet0/12!interfaceFastEthernet0/13interfaceFastEthernet0/14網(wǎng)絡(luò)安全實驗教程endSW2#showrunning-configBuildingconfiguration.Currentconfiguration:1325bytes!hostnameSW2!

17、vlan1!vlan2!ipdhcpsnoopingiparpinspectionvlan2iparpinspection!interfaceFastEthernet0/1switchportaccessvlan2!interfaceFastEthernet0/2switchportaccessvlan2!interfaceFastEthernet0/3!interfaceFastEthernet0/4!interfaceFastEthernet0/5!interfaceFastEthernet0/6!interfaceFastEthernet0/7!interfaceFastEthernet

18、0/8interfaceFastEthernet0/9interfaceFastEthernet0/10interfaceFastEthernet0/11!interfaceFastEthernet0/121interface!FastEthernet0/13interface!FastEthernet0/14interface!FastEthernet0/15interface!FastEthernet0/16interface!FastEthernet0/17interface!FastEthernet0/18interface!FastEthernet0/19interface!FastEthernet0/20interface!FastEth