网络课程设计

1、石河子大学信息科学与技术学院<计算机网络工程技术实践>成果报告20152016学年第一学期题目名称： 利用Ettercap工具包实施交换LAN 环境下假消息攻击 专 业： 计算机科学与技术 班 级： 计科132班 学 号： 2013508063 学生姓名： 何意 指导教师： 邵 文 珠 完成日期：二一六 年 三 月 14 日目 录1.1 课题/实践任务名称：利用Ettercap工具包实施交换LAN环境下的假消息攻击- 3 -1.2 理论背景/基础知识/相关技术概述- 3 - 1.2.1 TCP/IP协议簇的四层、OSI参考模型和常用协议概述- 3 - 1.2.2 ARP协议简介-

2、6 - 1.2.3 DNS服务简介- 6 - 1.2.4 DHCP服务简介- 7 - 1.2.5 HTTP请求头、响应头格式- 7 - 1.2.6 Ettercap功能简介- 8 -1.3 实践任务环境/资源说明- 10 -1.4 实践任务内容- 11 -1.5 过程步骤说明- 11 -1.6 课题/实践任务结论- 24 -1.7 总结与体会- 25 -附录A参考文献- 26 -1.1 课题/实践任务名称：利用Ettercap工具包实施交换LAN环境下的假消息攻击任务简介：Ettercap是一个非常著名的交换环境下的高级嗅探器套件工具，号称嗅探器中的屠龙刀。事实上Ettercap的大部分特性与

3、DSniff相似。它集嗅探、拦截和记录功能于一体，作者是Alberto Ornaghi和Marco Vallerio。Ettercap支持多种主动/被动de协议分析，具有数据插入/过滤/保持连接同步等功能，其最新版本还包括许多更为强大的功能，如伪造数据包，对SSH/SSL协议的会话劫持，被动探测OS指纹，端口扫描，以及对各种口令的采集等功能，并且支持插件的方式的功能扩展机制。本题要求演示Etercap的嗅探、假消息插入等组件功能的详尽用法。本实践在虚拟环境下利用Ettercap工具对目标主机进行了简单的ARP欺骗攻击，DNS劫持和假消息注入以及用户信息的窃取几种网络攻击。1.2 理论背景/基础

4、知识/相关技术概述1.2.1 TCP/IP协议簇的四层、OSI参考模型和常用协议概述 TCP/IP协议簇的四层、OSI参考模型和常用协议如图1-1所示：图11 TCP/IP协议簇的四层、OSI参考模型和常用协议的对应关系图TCP/IP的整个数据报在数据链路层的结构如表11所示。以太网数据包头IP头TCP/UDP/ICMP/IGMP头数据表11 TCP/IP数据报的结构从上表中可以看出：一条完整数据报由四部分组成，第三部分是该数据报采用的协议，第四部分是数据报传递的数据内容，其中IP头的结构如表12所示。版本（4位）头长度（4位）服务类型（8位）封包总长度（16位）封包标识（16位）标志（3位）

5、片断偏移地址（13位）存活时间（8位）协议（8位）校验和（16位）来源IP地址（32位）目的IP地址（32位）选项（可选）填充（可选）数据表12 IP头的结构IP头结构在所有协议中都是固定的，现对表12说明如下：（1）字节和数字的存储顺序是从右到左，依次是从低位到高位，而网络存储顺序是从左到右，依次从低位到高位。（2）版本：占第一个字节的高四位。头长度：占第一个字节的低四位。（3）服务类型：前3位为优先字段权，现在已经被忽略。接着4位用来表示最小延迟、最大吞吐量、最高可靠性和最小费用。（4）封包总长度：整个IP报的长度，单位为字节。（5）存活时间：就是封包的生存时间。通常用通过的路由器的个数来

6、衡量，比如初始值设置为32，则每通过一个路由器处理就会被减一，当这个值为0的时候就会丢掉这个包，并用ICMP消息通知源主机。（6）协议：定义了数据的协议，分别为：TCP、UDP、ICMP和IGMP。定义为：define PROTOCOL_TCP 0x06define PROTOCOL_UDP 0x11define PROTOCOL_ICMP 0x06define PROTOCOL_IGMP 0x06（7）检验和：校验的首先将该字段设置为0，然后将IP头的每16位进行二进制取反求和，将结果保存在校验和字段。（8）来源IP地址：将IP地址看作是32位数值则需要将网络字节顺序转化位主机字节顺序。转化

7、的方法是：将每4个字节首尾互换，将2、3字节互换。（9）目的IP地址：转换方法和来源IP地址一样。TCP数据报的格式如图1-2所示：图1-2 TCP 报文格式TCP头结构在所有协议中都是固定的，现对图12说明如下：（1）源端口和目的端口：各占2个字节，是运输层与应用层的服务接口。（2）序号：占4个字节。TCP连接传送的数据流中的每一个字节都被编上一个序号。首部中序号字段的值指的是本报文段所发送的数据的第一个字节的序号。（3）确认号：占4个字节，是期望收到对方下一个报文段的数据的第一个字节的序号。（4）数据偏移：占4 bit，它指出报文段的数据起始处距离TCP报文段的起始处有多远。实际上就是TC

8、P报文段首部的长度。（5）保留：占6 bit，保留为今后使用。（6）紧急比特URG：当URG=1时，表明紧急指针有效。它告诉系统报文段中有紧急数据，应尽快传送。（7）确认比特ACK：ACK=1时确认号字段才有效，ACK=0时确认号字段无效。（8）推送比特PUSH：接收方接收到PUSH=1的报文段时会尽快的将其交付给接收应用进程，而不再等到整个接收缓存都填满后再向上交付。（9）复位比特RST：当RST=1时，表明TCP连接中出现严重差错，必须释放连接。复位比特还用来拒绝一个非法的报文段或拒绝打开一个连接。（10）同步比特SYN：在连接建立时用来同步序号。当SYN=1而ACK=0时，表明这是一个连

9、接请求报文段。对方若同意建立连接，应在响应的报文段中使SYN=1和ACK=1。因此，SYN=1就表示这是一个连接请求或连接接收报文。（11）终止比特FIN：当FIN=1时，表明此报文段的发送端的数据已发送完毕，并要求释放运输连接。（12）窗口：占2个字节，用来控制对方发送的数据量，单位是字节，指明对方发送窗口的上限。（13）校验和：占2个字节，校验的范围包括首部和数据两个部分，计算校验和时需要在报文段前加上12字节的伪首部。（14）紧急指针：占2个字节，指出本报文段中紧急数据最后一个字节的序号。只有当紧急比特URG=1时才有效。（15）选项：长度可变。TCP只规定了一种选项，即最大报文段长度M

10、SS (Maximum Segment Size)。1.2.2 ARP协议简介地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此

11、攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。工作原理：主机A的IP地址为，MAC地址为0A-11-22-33-44-01；主机B的IP地址为，MAC地址为0A-11-22-33-44-02；当主机A要与主机B通信时，地址解析协议可以将主机B的IP地址（）解析成主机B的MAC地址，以下为工作流

12、程：第1步：根据主机A上的路由表内容，IP确定用于访问主机B的转发IP地址是。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。第2步：如果主机A在ARP缓存中没有找到映射，它将询问的硬件地址，从而将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配，它将丢弃ARP请求。第3步：主机B确定ARP请求中的IP地址与自己的IP地址匹配，则将主机A的IP地址和MAC地址映射添加到本地A

13、RP缓存中。第4步：主机B将包含其MAC地址的ARP回复消息直接发送回主机A。第5步：当主机A收到从主机B发来的ARP回复消息时，会用主机B的IP和MAC地址映射更新ARP缓存。本机缓存是有生存期的，生存期结束后，将再次重复上面的过程。主机B的MAC地址一旦确定，主机A就能向主机B发送IP通信了。1.2.3 DNS服务简介DNS（Domain Name System，域名系统），因特网上作为域名和IP地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。通过主机名，最终得到该主机名对应的IP地址的过程叫做域名解析（或主机名解析）。DNS协议运行

14、在UDP协议之上，使用端口号53。在RFC文档中RFC 2181对DNS有规范说明，RFC 2136对DNS的动态更新进行说明，RFC 2308对DNS查询的反向缓存进行说明。1.2.4 DHCP服务简介DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）通常被应用在大型的局域网络环境中，主要作用是集中的管理、分配IP地址，使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。DHCP协议采用客户端/服务器模型，主机地址的动态分配任务由网络主机驱动。当DHCP服务器接收到来自网络主机申请地址的信

15、息时，才会向网络主机发送相关的地址配置等信息，以实现网络主机地址信息的动态配置。DHCP具有以下功能：1. 保证任何IP地址在同一时刻只能由一台DHCP客户机所使用。2. DHCP应当可以给用户分配永久固定的IP地址。3. DHCP应当可以同用其他方法获得IP地址的主机共存（如手工配置IP地址的主机）。4. DHCP服务器应当向现有的BOOTP客户端提供服务。DHCP有三种机制分配IP地址：1) 自动分配方式（Automatic Allocation），DHCP服务器为主机指定一个永久性的IP地址，一旦DHCP客户端第一次成功从DHCP服务器端租用到IP地址后，就可以永久性的使用该地址。2)

16、动态分配方式（Dynamic Allocation），DHCP服务器给主机指定一个具有时间限制的IP地址，时间到期或主机明确表示放弃该地址时，该地址可以被其他主机使用。3) 手工分配方式（Manual Allocation），客户端的IP地址是由网络管理员指定的，DHCP服务器只是将指定的IP地址告诉客户端主机。三种地址分配方式中，只有动态分配可以重复使用客户端不再需要的地址。DHCP消息的格式是基于BOOTP（Bootstrap Protocol）消息格式的，这就要求设备具有BOOTP中继代理的功能，并能够与BOOTP客户端和DHCP服务器实现交互。BOOTP中继代理的功能，使得没有必要在每

17、个物理网络都部署一个DHCP服务器。RFC 951和RFC 1542对BOOTP协议进行了详细描述。1.2.5 HTTP请求头、响应头格式HTTP请求头和响应头中包含了目标主机向服务器请求的页面的重要控制信息，如请求页面的资源类型，编码方式，所使用的HTTP版本，页面长度，是否加密等，在对HTTP 页面进行假消息注入时对页面的控制信息的分析尤为重要，优秀注入数据的欺骗性和诱导性是建立在对原有页面的保持之上的，如在注入数据时不修改页面的长度控制信息直接注入，会导致浏览器无法正常显示页面，无法达到欺骗受害者的目的。Http请求头格式Accept：客户机通过这个头，告诉服务器，它支持哪些数据类型Ac

18、cept-Charset：客户机通过这个头，告诉服务器，它支持的编码Accept-Encoding: 客户机通过这个头，告诉服务器，支持哪种数据压缩格式Accept-Language: 客户机采用的是哪个语言Host：客户机通过这个头，告诉服务器，想访问服务器哪台主机If-Modified-Since：客户机通过这个头，告诉服务器，数据缓存的时间Referer：客户机通过这个头，告诉服务器，客户机是从哪个页面来的（防盗链）User-Agent: 说明客户机操作系统信息，以及浏览器信息Cookie：客户机通过这个头，可以带点数据给服务器Connection：表示是否需要持久连接。HTTP响应头格

19、式Location：服务器通过这个头告诉浏览器去访问哪个页面，这个头通常配合302状态码使用server: 服务器通过这个头，告诉浏览器服务器类型Content-Encoding: 服务器通过这个头告诉浏览器，回送的数据采用的压缩格式Content-Length: 服务器通过这个头告诉浏览器，回送的数据的大小长度Content-Type: 服务器通过这个头告诉浏览器，回送数据的类型Last-Modified: 服务器通过这个头告诉浏览器，缓存资源的最后修改时间Refresh：服务器通过这个头告诉浏览器，定时刷新网页Content-Disposition: attachment; filenam

20、e=aaa.zip：服务器通过这个头告诉浏览器，以下载方式打开数据ETag: W/"7777-1242234904000"：缓存相关的头，为每一个资源配一个唯一的编号Expires: 0 服务器通过这个头，告诉浏览器把会送的资源缓存多长时间，-1或0，则是不缓存Cache-Control: no-cache Pragma: no-cache 这三个头组合使用，让浏览器不要缓存数据1.2.6 Ettercap功能简介Ettercap最初设计为交换网上的sniffer，但是随着发展，它获得了越来越多的功能，成为一款有效的、灵活的中介攻击工具。它支持主动及被动的协议解析并包含了许

21、多网络和主机特性（如OS指纹等）分析。 Ettercap有5种sniffing工作方式：1、IPBASED在基于IP地址的sniffing方式下，Ettercap将根据源IP-PORT和目的IP-PORT来捕获数据包。2、MACBASED在基于MAC地址的方式下，Ettercap将根据源MAC和目的MAC来捕获数据包（在捕获通过网关的数据包时，这种方式很有用）3、ARPBASED在基于ARP欺骗的方式下，Ettercap利用ARP欺骗在交换局域网内监听两个主机之间的通信（全双工）。4、SMARTARP在SMARTARP方式下，Ettercap利用ARP欺骗，监听交换网上某台主机与所有已知的其他

22、主机（存在于主机表中的主机）之间的通信（全双工）。5、PUBLICARP在PUBLICARP 方式下，Ettercap利用ARP欺骗，监听交换网上某台主机与所有其它主机之间的通信（半双工）。此方式以广播方式发送ARP响应，但是如果 Ettercap已经拥有了完整的主机地址表（或在Ettercap启动时已经对LAN上的主机进行了扫描），Ettercap会自动选取 SMARTARP方式，而且ARP响应会发送给被监听主机之外的所有主机，以避免在Win2K上出现IP地址冲突的消息。Ettercap中最常用的一些功能包括：1、在已有连接中注入数据：你可以在维持原有连接不变的基础上向服务器或客户端注入数据

23、，以达到模拟命令或响应的目的。2、SSH1支持：你可以捕获SSH1连接上的User和PASS信息，甚至其他数据。Ettercap是第一个在全双工的条件下监听SSH连接的软件。3、HTTPS支持：你可以监听http SSL连接上加密数据，甚至通过PROXY的连接。4、监听通过GRE通道的远程通信：你可以通过监听来自远程cisco路由器的GRE通道的数据流，并对它进行中间人攻击。5、Plug-in支持：你可以通过Ettercap的API创建自己的Plug-in。6、口令收集：你可以收集以下协议的口令信息，TELNET、FTP、POP、RLOGIN、SSH1、ICQ、SMB、MySQL、HTTP、

24、NNTP、 X11、NAPSTER、IRC、RIP、BGP、SOCK5、IMAP4、VNC、LDAP、NFS、SNMP、HALFLIFE、QUAKE3、 MSNYMSG（不久还会有新的协议获得支持）。7、数据包过滤和丢弃：你可以建立一个查找特定字符串（甚至包括十六近制数）的过滤链，根据这个过滤链对TCP/UDP数据包进行过滤并用自己的数据替换这些数据包，或丢弃整个数据包。8、被动的OS指纹提取：你可以被动地（不必主动发送数据包）获取局域网上计算机系统的详细信息，包括操作系统版本、运行的服务、打开的端口、IP地址、MAC地址和网卡的生产厂家等信息。9、OS指纹：你可以提取被控主机的OS指纹以及它

25、的网卡信息（利用NMAP Fyodor数据库）。10、杀死一个连接：杀死当前连接表中的连接，甚至所有连接。11、数据包生产：你可以创建和发送伪造的数据包。允许你伪造从以太报头到应用层的所有信息。12、把捕获的数据流绑定到一个本地端口：你可以通过一个客户端软件连接到该端口上，进行进一步的协议解码或向其中注入数据（仅适用于基于 ARP的方式）。1.3 实践任务环境/资源说明实践环境说明：交换LAN环境即交换局域网环境，传统的以太网中，在任意一个时刻网络中只能有一个站点发送数据，其他站点只可以接收信息，若想发送数据，只能退避等待。因此，共享式以太网的固定带宽被网络上所有站点共享，随机占用，网络中的站

26、点越多，每个站点平均可以使用的带宽就越窄，网络的响应速度就越慢。交换式局域网的出现解决了这个问题。交换式局域网所有站点都连接到一个交换式集线器或局域网交换机上。交换式集线器或局域网交换机具有交换功能，它们的特点是：所有端口平时都不连通，当工作站需要通信时，交换式集线器或局域网交换机能同时连通许多端口，使每一对端口都能像独占通信媒体那样无冲突的传输数据，通信完成后断开连接。由于消除了公共的通信媒体，每个站点独自使用一条链路，不存在冲突问题，可以提高用户的平均数据传输速率，即容量得以扩大。交换式局域网的优点：（1）采用星型拓扑结构，容易扩展，而且每个用户的带宽并不因为互连的设备增多而降低。（2）由

27、于消除了公共的通信媒体，每个站点独自使用一条链路，不存在冲突问题，可以提高用户的平均数据传输速度。交换式局域网无论是从物理上还是逻辑上都是星形拓扑结构，多台交换式集线器可以串接，连成多级星形结构。实践资源说明：本课题要求配备1台带有活动网络连接（插有网卡）、安装有VMware虚拟机软件的PC机，其中主机/服务器环境的配置如下表13所示：主机配置操作系统Windows 8.1Web 浏览器IE11.0Web 服务器Apache Tomcat/7.0.61 、IISIP地址表13 主机（/服务器）的环境配置虚拟机的环境配置如下表14和1-5所示：虚拟机WindowXP配置操作

28、系统Windows XP SP3Web浏览器IEIP地址2表14 虚拟机（/目标主机）的环境配置虚拟机Kali Linux配置操作系统Kali Linux 2.0嗅探工具Ettercap 0.8.2IP地址1表1-5 虚拟机（/攻击机）的环境配置1.4 实践任务内容1、动手实际安装VMware虚拟机工具。2、动手配置VMware虚拟机使单台PC机可虚拟出三台联网PC机（本机+虚拟机，可相互Ping通）。3、使用Ettercap对交换环境的主机之间的通信进行嗅探和分析。4、使用Ettercap对目标逐句进行ARP欺骗攻击。5、使用Ettercap的dn

29、s_spoof插件对目标主机进行DNS劫持。6、编写过滤规则利用Ettercap的过滤器功能进行假消息注入攻击，窃取受害者的用户信息。1.5 过程步骤说明主要步骤：1、VM中将两台虚拟机的网络连接方式设置为桥接模式，指定主机IP地址或让主机自动获取IP地址，保证三台主机在同一个网段内，并且可以互相Ping通，至此实验网络环境搭建完成。2、在Kali Linux中设置Ettercap的嗅探接口网卡和嗅探方式，实验中设置为混杂模式。3、将目标主机和默认网关分别加入目标一和目标二，开启ARP欺骗攻击，截获所有流经默认网关的数据流。4、改写ettercap 的DNS配置文件，设置目标主机访问的域名对应

30、的虚假IP地址，启用dns_spoof插件进行DNS劫持攻击。5、按照假消息攻击需求编写过滤规则文件，用etterfilter命令将过滤规则编译成ettercap可识别的二进制文件，再在ettercap 中加载过滤器就完成假消息攻击和受害者的用户信息窃取。具体过程/步骤说明：Step1：配置两台虚拟机，一台作为攻击机（IP：1)，一台作为目标主机（IP：2），主机和两台虚拟机之间可以互相Ping通：图1-3 虚拟机配置截图图1-4 主机Ping两台虚拟机截图Step2：在Kali Linux中启动Ettercap，选择eth0网卡，嗅探方式选择Uni

31、fied，Ettercap有两种运行方式，UNIFIED和BRIDGED。 其中，UNIFIED的方式是以中间人方式嗅探；BRIDGED方式是在双网卡情况下，嗅探两块网卡之间的数据包。 UNIFIED方式的大致原理为同时欺骗A和B，把原本要发给对方的数据包发送到第三者C上，然后由C再转发给目标。这样C就充当了一个中间人的角色。因 为数据包会通过C那里，所以C可以对数据包进行分析处理，导致了原本只属于A和B的信息泄露给了C。UNIFIED方式将完成以上欺骗并对数据包分析。 Ettercap劫持的是A和B之间的通信，在Ettercap眼中，A和B的关系是对等的。 BRIDGED方式有点像笔记本电脑

32、上有两个网卡，一个有线网卡，一个无线网卡。我们可以将有线网卡的internet连接共享给无线网卡，这样笔记本就 变成了一个无线ap。无线网卡产生的所有数据流量都将传送给有线网卡。BRIDGED方式ettercap嗅探的就是这两块网卡之间的数据包。 扫描子网内的主机，主机列表如图：图15 扫描获得的主机列表将目标主机加入目标组一，将默认网关和Web服务器假如目标组二图16 目标组主机列表启动ARP毒化，arp毒化的原理简单的说就是伪造MAC地址与IP的对应关系，导致数据包由中间人转手出去：图1-7 启动ARP毒化图1-8 ARP毒化成功图1-9 ARP毒化前目标主机的ARP表图1-10 ARP毒

33、化后的ARP表Step3：编辑ettercap的DNS配置文件，添加想要感染的域名和希望目标主机被引到IP地址：图1-11 改写Ettercap的DNS配置文件图1-12 加载dns_spoof插件图1-13 DNS劫持成功在目标主机中用浏览器打开被感染的域名:图1-14 用浏览器打开被感染的域名Step4：编过滤规则进行假消息插入攻击，Ettercap的过滤规则只有经过编译之后才能由-F参数载入到ettercap中使用。 编译过滤规则的命令是： etterfilter filter.ecf -o filter.ef。 即把filter.ecf文件编译成ettercap能识别的filter.e

34、f文件。 过滤规则的语法与C类似，但只有if语句，不支持循环语句。需要注意的地方是，if与”(”之间必须要有一个空格，且大括号不能省略。 Ettercap提供的一些常用的函数有： search(where, what) 从字符串where中查找what，若找到则返回true regex(where, regex) 从字符串where中匹配正则表达式regex，若找到则返回true replace(what, with) 把字符串what替换成字符串with log(what, where) 把字符串what记录到where文件中 msg(message) 在屏幕上显示出字符串message e

35、xit() 退出 。编写的过滤规则如下：图1-15 过滤规则过滤规则必须编译为ettercap可识别的二进制文件才能被加载，这里使用指令：etterfilter testfilter05.ecf -o testfilter05.ef来编译源文件，加载过滤器：图1-16 加载过滤器图1-17 正常页面图1-18 被注入的页面图1-19 被注入页面的源文件图1-20 被引向的输入页面图1-21 窃取到的用户信息图1-22 写入用户信息的TXT文件Step5：以上所用操作可用一条带参数的ettercap的指令完成，ettercap常用指令：-I 显示可用网卡 -i 选择网卡 -t 协议选择，tcp/udp/all，默认为all -p 不进行毒化攻击，用于嗅探本地数据包 -F 载入过滤器文件 -V text 将数据包以文本形式显示在屏幕上 -L filena