《网络工程技术实践》课件项目八任务三ARP欺骗攻击.pptx

1、1 项目八 网络设备攻击与防范项目八 网络设备攻击与防范2 项目八 网络设备攻击与防范【项目概述】每个企业都有自己的局域网，在家庭里无线网络也得到了普及，随着局域网的广泛使用，针对局域网的攻击也经常出现。这些攻击通常来自网络内部，网络管理员很容易忽视这些攻击，并且基于网络的硬件防火墙也不能阻止这些攻击。用户的计算机一般都是通过接入层的交换机接入到网络，因此常见的局域网攻击主要是针对接入层的网络设备。本项目将介绍局域网中最主要的、最典型的攻击措施和防范，包括MAC泛洪攻击、DHCP欺骗、ARP欺骗以及这些攻击的防范措施。在项目实施中以思科网络设备为例，其他厂商的网络设备可以查找相似的配置。3 项

2、目八 网络设备攻击与防范l【项目分析】l网络中，针对网络设备的攻击种类较多，包括MAC泛洪攻击、DHCP欺骗、ARP欺骗、VLAN跳跃攻击、VTP攻击和WiFi密码破解，攻击者通过破坏、揭露、修改等操作，使设备无法正常运行，相关软件或服务失去功能，攻击者在没有得到授权的情况下偷取或访问计算机中的数据或对计算机进行破坏，造成合法用户无法正常获取网络服务或信息安全遭到损坏。l本项目通过以下内容讲述网络设备的攻击与防范技术：l1.MAC泛洪攻击。l2.DHCP欺骗攻击。l3.ARP欺骗攻击。4 项目八 网络设备攻击与防范项目主要内容：任务一 MAC泛洪攻击任务二 DHCP欺骗攻击任务三 ARP欺骗攻

3、击5 项目八 网络设备攻击与防范任务三 ARP欺骗攻击6 项目八 网络设备攻击与防范l任务描述 ARP协议本身存在众多缺陷，ARP欺骗攻击轻则会造成整个网络无法连接Internet，重则可以做广告弹出、挂马、窃取密码等，常常成为从外网渗透到内网的手段。请分别以Windows系统和Linux系统环境模拟ARP欺骗攻击过程，加强ARP欺骗攻击的防范。7 项目八 网络设备攻击与防范l1.ARP的工作过程。l在以太网中，帧在发送前必须包含目的MAC地址。但是计算机之间在通信前，只知道对方的IP地址，并不知道对方的MAC地址。ARP协议能够帮助计算机获取对方的MAC地址。图8-57 ARP工作原理（1）

4、8 项目八 网络设备攻击与防范图8-58 ARP工作原理（2）9 项目八 网络设备攻击与防范图8-59 ARP工作原理（3）10 项目八 网络设备攻击与防范l（1）ARP请求阶段。如图8-57至图8-58所示，计算机A（IP为10.10.0.1）若想与计算机C通信，需要先查看其ARP表，若ARP表中没有C的条目，就需要发送ARP广播请求，请求C（10.10.0.3）的MAC地址。该网络中的所有主机（包括计算机C）将收到这个请求。l（2）ARP应答阶段。计算机C收到ARP请求后检查目的IPv4地址并将它与自己的IPv4地址进行比较，若发现它就是请求的目标，就会生成一个ARP应答，以单播形式对该A

5、RP请求做出响应。这样计算机A就获得了计算机C的MAC地址。l（3）ARP缓存。计算机A获得计算机C的MAC地址后，会将其MAC地址存储到ARP表中，如果后续还有多个数据包需要发送给计算机C，计算机就不会再发送ARP请求。同时，ARP表会对每个条目加上时间戳，如果在ARP缓存定时器指定时间内未使用过某个条目，就会删除该条目，下次再通信时，重新请求ARP。11 项目八 网络设备攻击与防范l2.ARP欺骗攻击原因。l从ARP工作过程可以看出，ARP请求者在收到ARP响应后，并没有对响应者的身份进行验证，如果有恶意的计算机响应错误的MAC地址，ARP请求者也将采用这个响应。l另外，计算机并不是只有在

6、发出ARP请求后，才会接收ARP响应的。即使没有发送ARP请求，如果计算机收到ARP应答，计算机也会将这个ARP缓存进ARP表中。这样设计的原因是为了减少ARP包的数量，但是也为ARP欺骗攻击提供了可能。l3.ARP欺骗攻击原理。lARP欺骗攻击的花样很多，其中中间人（Man-in-the-Middle Attack，简称MITM攻击）攻击的危害性很大。其大致过程如下。12 项目八 网络设备攻击与防范图8-60 ARP欺骗（中间人）攻击原理13 项目八 网络设备攻击与防范l（1）正常ARP请求过程。计算机PC1（IP为10.10.0.1）需要访问Internet，发送ARP请求网关的MAC地址

7、，网关为10.10.0.3。网关（路由器）收到ARP请求后，会发送ARP应答，回应10.1.1.1的MAC为C.C.C.C。这样PC1和路由器就互相获得对方的MAC地址。l（2）ARP欺骗攻击过程。PC1在发送ARP请求时，黑客所控制的计算机PC2也会收到PC1的请求，稍作延时在网关响应之后发送恶意ARP响应，保证这个响应迟于网关的响应到达PC1，PC2的应答内容为10.10.0.1和10.10.0.3的MAC地址均为B.B.B.B。由于ARP条目会采用最新的响应，PC1就会误认为10.10.0.3的MAC为B.B.B.B，R1也误认为10.10.0.1的MAC为B.B.B.B。l（3）ARP

8、毒化。PC2也可以在收到PC1的ARP请求之前进行响应，主动、反复地向PC1和R1发送ARP响应，这种攻击称为ARP毒化（ARP Poisioning Routing，APR）。l（4）ARP欺骗攻击结果。PC1和R1遭受ARP欺骗攻击后，PC1发到R1的数据帧的目的MAC就是PC2的MAC地址（B.B.B.B）；而R1发送给PC1的数据帧的目的MAC也是PC2的MAC地址（B.B.B.B）。这样PC1和R1之间的来回通信都经过了PC2，PC2就成为PC1和R1之间的中间人，实现在交换网络中窃听数据。14 项目八 网络设备攻击与防范l任务实施l本次任务实施的拓扑示意图如图8-61所示。图8-6

9、1 ARP欺骗攻击任务拓扑示意图15 项目八 网络设备攻击与防范l（2）被攻击者收发邮件配置。l步骤1 在Windows Server 2003-1上打开Outlook Express，单击菜单栏中的“工具”，然后选择“帐户”，点击“邮件”标签，点击右侧的“添加”按钮，在弹出的菜单中选择“邮件”，打开Internet连接向导，如图8-62所示。16 项目八 网络设备攻击与防范图8-62 配置Outlook Express的Internet连接向导17 项目八 网络设备攻击与防范l步骤2 单击“下一步”，输入电子邮件地址，如图8-63所示。图8-63 配置Internet电子邮件地址18 项目八

10、 网络设备攻击与防范l步骤3 单击“下一步”，输入电子邮件服务器名，如图8-64所示。图8-64 配置电子邮件服务器名19 项目八 网络设备攻击与防范l步骤4 单击“下一步”，输入电子邮件帐户名和密码，如图8-65所示。然后单击“下一步”即可完成电子邮件配置。图8-65 配置电子邮件帐户名和密码20 项目八 网络设备攻击与防范l步骤5 点击Outlook Express左上角的“创建邮件”，发送一封新邮件，如图8-66所示。图8-66 发送新邮件21 项目八 网络设备攻击与防范l（3）ARP欺骗攻击过程。l步骤1 在Windows Server 2003-2上安装Cain&Abel软件，安装过

11、程中只需要全部单击“next”按钮即可，安装完成后界面如图8-66所示。Cain&Abel软件在黑客软件中排行前几名，是由Oxid.it开发的一个针对Microsoft操作系统的免费口令恢复工具。它的工具十分强大，可以网络嗅探、网络欺骗、破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议，甚至还可以监听内网中他人使用VOIP拨打电话。22 项目八 网络设备攻击与防范图8-67 Cain&Abel软件界面23 项目八 网络设备攻击与防范l步骤2 点击图8-67工具栏中的“Configure”，配置Sniffer的网卡，如图8-68所示。图8-68 配置Sniffer的网卡24

12、 项目八 网络设备攻击与防范l步骤3 点击图8-67工具栏中的“Sniffer”，然后点击下方的“Hosts”按钮，如图8-69所示。图8-69 Sniffer工具界面25 项目八 网络设备攻击与防范l步骤4 在图8-69中右键单击空白处，选择“Scan MAC Address”，进行扫描范围设置，这里可以设置扫描整个网段，如图8-70所示。然后单击下方的“OK”按钮即可开始扫描，扫描结果如图8-71所示。图8-70 设置扫描范围26 项目八 网络设备攻击与防范图8-71 Sniffer扫描结果27 项目八 网络设备攻击与防范l在图8-71中，192.168.137.2为Windows Ser

13、ver 2003-2的网关，192.168.137.1为物理机上VMnet8网卡的IP地址，192.168.137.254为Windows Server 2003-2的DHCP服务器的IP地址，192.168.137.131为Windows Server 2003-1的IP地址。l步骤5 点击图8-71中下方的APR按钮，点击右边空白处，然后点击工具栏中的“+”按钮，即“Add to list”按钮，打开ARP毒化路由设置对话框，如图8-72所示。图8-72 ARP毒化路由设置对话框28 项目八 网络设备攻击与防范l步骤6 在图8-72中，左侧框中选择地址192.168.137.1，右侧框中选

14、择地址192.168.137.131，如图8-73所示。然后点击“OK”按钮，将被攻击者地址加入到ARP毒化对象中，如图7-74所示。图8-73 设定ARP毒化对象29 项目八 网络设备攻击与防范图8-74 APR列表30 项目八 网络设备攻击与防范l步骤7 点击图8-74下方的“Passwords”选项，然后选择POP3，可以查看到所抓取的Outlook Express邮箱的用户名和密码，如图8-75所示。图8-75 查看捕获的用户名和密码31 项目八 网络设备攻击与防范l步骤8 在物理主机和Windows Server 2003-1上查看ARP表，结果分别如图8-76和图8-77所示。可见

15、，两台主机均已将对方的物理地址标记为攻击者Windows Server 2003-2的MAC地址，即00-0c-29-9c-fb-b9，攻击者成功的进行了ARP攻击。图8-76 攻击后物理主机的ARP表32 项目八 网络设备攻击与防范图8-77 攻击后Windows Server 2003-1的ARP表33 项目八 网络设备攻击与防范l 2.Linux系统中ARP欺骗攻击过程。l本次任务实施的拓扑示意图如图8-78所示。图8-78 Linux系统中ARP欺骗攻击任务拓扑示意图34 项目八 网络设备攻击与防范l（2）ARP欺骗攻击过程。l步骤1 查看ubuntu和kali虚拟机的IP地址和MAC

16、地址，如图8-79和图8-80所示。图8-79 ubuntu虚拟机的IP地址和MAC地址35 项目八 网络设备攻击与防范图8-80 kali虚拟机的IP地址和MAC地址36 项目八 网络设备攻击与防范l步骤2 查看ubuntu虚拟机的ARP表，以便与攻击后的ARP表进行对比，查看结果如图8-81所示。图8-81 攻击前ubuntu虚拟机的ARP表可见在ubuntu虚拟机的ARP表中所记录的kali虚拟机的MAC地址为00:0c:29:5c:21:56，网关192.168.137.1所对应的MAC地址为00:50:56:c0:00:08。37 项目八 网络设备攻击与防范l步骤3 在kali虚拟机

17、中使用kali自带的spoof工具进行攻击，如图8-82所示。图8-82 使用spoof工具进行攻击38 项目八 网络设备攻击与防范l在普通账户模式下使用spoof命令，需要在前面加上sudo。命令arpspoof i eth0 t 192.168.137.140 r 192.168.137.1中，-i选项表示攻击采用的网卡，-t选项表示被攻击者的IP地址，-r选项表示攻击者要伪装的IP，这里攻击者要伪装成网关。l步骤4 再次查看ubuntu虚拟机的ARP表，可见ARP表中对应的网关192.168.137.1的MAC地址已经发生了变化，MAC地址同图8-80 中kali虚拟机的MAC地址一样，

18、查看结果如图8-83所示，攻击者成功的欺骗了被攻击者。图8-83 攻击后ubuntu虚拟机的ARP表39 项目八 网络设备攻击与防范l步骤5 在ubuntu虚拟机中尝试访问外网，可以发现虚拟机一直无法访问外网，如图8-84所示。这是因为访问外网时的网关已经被指向kali虚拟机，发送给外网的数据包均被发送到kali虚拟机中，kali虚拟机如果没有把数据包转发给正确的网关，ubuntu虚拟机就会一直无法上网。图8-84 ubuntu虚拟机无法访问外网40 项目八 网络设备攻击与防范l步骤6 为了使被攻击者无法发现自己被ARP毒化攻击了，攻击者可以将被攻击者的消息转发给网关，此时要开启kali的消息

19、转发功能。首先切换至管理员账户，然后输入命令echo“1”/proc/sys/net/ipv4/ip_forward，开启kali的消息转发功能，如图8-85所示。图8-85 开启kali的消息转发功能41 项目八 网络设备攻击与防范l步骤7 再次在ubuntu虚拟机中尝试访问外网，发现虚拟机可以访问外网，如图8-86所示。图8-86 ubuntu虚拟机可以访问外网42 项目八 网络设备攻击与防范l步骤8 在ubuntu虚拟机中使用wireshark进行抓包，如图8-87所示，源MAC地址末6位为5c:21:56的主机发送到MAC地址末6位为4b:8b:47的主机和MAC地址末6位为c0:00

20、:08的主机的数据包的目的MAC地址均被指向00:0c:29:5c:21:56，这样攻击者就可以拦截被攻击者和网关之间的消息了。43 项目八 网络设备攻击与防范图8-87 wireshark抓取ARP攻击数据包44 项目八 网络设备攻击与防范l3.ARP欺骗攻击的防范。l （1）静态ARP表。l 步骤1 在可能被攻击的计算机上配置静态ARP表，如图8-88所示，将网络中192.168.137.1主机的MAC地址绑定为00-50-56-c0-00-08。由于静态ARP不会超时，也不会被覆盖，因此可以防止ARP欺骗。但是静态ARP需要在所有计算机上配置，不仅工作量大，而且对于一般的用户来讲，使用A

21、RP命令的难度太大。图8-88 为计算机配置静态ARP表45 项目八 网络设备攻击与防范l（2）ARP防火墙。l还可以在可能被攻击的计算机上安装ARP防火墙，目前市场上有各种ARP防火墙，而且是免费的。ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、网络畅通以及通讯数据不受第三者控制，包括拦截ARP攻击、拦截IP冲突、Dos攻击抑制、ARP数据分析等功能。l如图8-89所示为360ARP防火墙，安装完成后，ARP防护默认已开启。46 项目八 网络设备攻击与防范图8-89 360ARP防火墙47 项目

22、八 网络设备攻击与防范l（3）交换机上启动DAI功能。l不管是静态ARP还是ARP防火墙，都需要在每一台可能被攻击的计算机上进行配置，这个工作是分散的，因此工作量大。可以在这些计算机所连接的接入层交换机上配置动态ARP检查（Dynamic ARP Inspection，DAI）来防止ARP欺骗。由于在交换机上的配置是管理员集中进行，因此效率更高，更容易管理。lDAI基于DHCP Snooping进行工作，DHCP Snooping监听并产生绑定表，包括IP地址与MAC地址的绑定信息，并将其与特定的交换机端口相关联。DAI可以用这个表检查所有非信任端口的ARP请求和应答，确保应答来自真正的MAC

23、所有者。交换机通过检查端口记录的DHCP绑定信息和ARP应答的IP地址决定是否为真正的MAC所有者，不合法的ARP包将被拒绝转发。简单的说，交换机通过DHCP Snooping知道每一个接口上所接计算机的IP地址、MAC地址，若这些计算机发送虚假的ARP包、IP包，就会被交换机丢弃。48 项目八 网络设备攻击与防范l任务二中，已经完成DHCP Snooping的配置，可以在此基础上进一步配置DAI，防止ARP欺骗攻击。在图8-53中的交换机上进行如图8-90所示配置。图8-90 在交换机上配置DAI 以上配置，在VLAN1上启用了DAI，配置DAI要检查ARP报文（包括请求和响应）中的源MAC

24、地址、目的MAC地址、源IP地址和DHCP Snooping绑定的信息是一致的，最后把fa0/2和fa0/4接口配置为可信任接口。49 项目八 网络设备攻击与防范l【项目拓展】l1.本项目介绍了网络设备攻击与防范技术，请根据任务三的内容，在进行有效的ARP欺骗攻击后，被攻击者还能正常访问Internet的情况下，使用Cain&Abel软件中的“APR-DNS”功能进行DNS欺骗。l2.根据任务三的内容，设置Outlook Express采用加密协议（安全连接SSL）收发邮件，然后再进行ARP欺骗攻击，实现加密协议的破解。50 项目八 网络设备攻击与防范l【项目总结】l本项目主要讲述了网络设备攻击与防范技术，包括MAC泛洪攻击、DHCP欺骗攻击、ARP欺骗攻击。本章知识点总结如下图所示。51 项目八 网络设备攻击与防范52 项目八 网络设备攻击与防范THANKS