网络安全实验教程（第2版）课件 8假消息攻击

第八章假消息攻击建议学时：4假消息攻击目录contentDNS欺骗实验2ARP欺骗实验1HTTP中间人攻击实验331ARP欺骗实验实验原理ARP协议并没有采用加密机制，也没有做严格的身份验证。以太网上的任何主机都可以冒充网内其他主机来发送ARP请求或响应包，无论这个数据包是请求类型还是响应类型，被欺骗主机都会将虚假的IP-MAC地址对映射于缓存。被欺骗主机今后再往该IP地址发送数据时，都会被发送到虚假MAC地址上。实验目的通过在局域网内部进行ARP欺骗，实现对内网流量的嗅探，使读者掌握ARP欺骗的实施方法，理解ARP欺骗原理。41.1实验设计Ettercap：一款开源的基于C语言开发的网络嗅探工具，支持对TCP、UDP、ICMP、WIFI等协议的主动和被动分析，可发起ARP欺骗、DNS欺骗、DHCP欺骗、会话劫持、密码嗅探等攻击，是实现局域网中间人攻击的利器。Kali2021.2中默认安装版本。实验方法实验工具使用Ettercap工具，修改ARP缓存，实现对内网流量的嗅探。实验环境虚拟机1为被欺骗主机，其操作系统为Windows10，64位。虚拟机2为攻击主机，其操作系统为Kali2021.2，64位。1.1实验设计61.2实验步骤环境准备，安装虚拟机Windows10和Kali2021.2，并进行网络设置启动Ettercap图形化界面，并进行配置使用Ettercap进行主机扫描和目标设置，开始ARP欺骗在目标主机上查看ARP缓存，Ettercap中查看嗅探信息ARP欺骗终止010203040571.3问题讨论1、在ARP欺骗实验中，还可以利用Ettercap工具在ARP欺骗的基础上，实现对用户名和口令嗅探，请通过实验完成。82DNS欺骗实验实验原理DNS欺骗的过程：客户端首先以特定的ID向DNS服务器发送域名查询数据包；DNS服务器查询之后以相同的ID给客户端发送域名响应数据包；攻击者捕获到这个响应包后，将域名对应的IP地址修改为其他IP地址，并向客户端返回该数据包；客户端将收到的DNS响应数据包ID与自己发送的查询数据包ID相比较，如果匹配则信任该响应信息。此后客户端在访问该域名时将被重定向到虚假的IP地址。实验目的在ARP欺骗基础上通过DNS欺骗攻击实现对访问网站的重定向，使读者掌握DNS欺骗的实施方法，理解DNS欺骗原理。92.1实验设计Ettercap：详见上节的实验工具介绍实验方法实验工具同8.3节ARP欺骗实验的实验环境实验环境使用Ettercap工具修改DNS响应包，实现对访问网站的重定向102.2实验步骤环境准备，安装虚拟机Windows10和Kali2021.2，并进行网络设置分别ping和，查看解析的IP地址修改Ettercap的dns配置文件，将

的解析IP地址设置为163的IP启动Ettercap指定对网关和Windows10虚拟机为目标，进行ARP欺骗，同时载入DNS欺骗的插件在Windows10虚拟机上清空DNS缓存及浏览器缓存，再次Ping百度，DNS欺骗成功在Kali虚拟机的Ettercap命令行执行界面可以看到DNS欺骗的执行情况010203040506112.3问题讨论1、DNS欺骗实验中，当DNS欺骗执行后，在虚拟机1上打开浏览器输入“”网址，从原理上分析本该出现的页面，而实际中却可能出现访问错误，请动手试一下并分析原因。2、使用Wireshark工具分析Ettercap工具对DNS协议数据包的哪些内容进行了篡改。思考在未查询到域名对应IP地址的情况下，使用Ettercap工具能否成功实施DNS欺骗？请动手验证一下。123HTTP中间人攻击实验实验原理HTTP协议内容都采用了明文定义，因此很容易受到嗅探和中间人攻击的威胁。实验目的在ARP欺骗基础上通过HTTP中间人攻击实现对访问网站的重定向，使读者掌握HTTP中间人攻击的实施方法，理解HTTP中间人攻击原理。133.1实验设计Ettercap：详见上节的实验工具介绍实验方法实验工具同8.3节ARP欺骗实验的实验环境实验环境在对目标主机和网关进行双向ARP欺骗的基础上，通过编写Ettercap工具的filter插件，对嗅探到的302重定向数据包进行修改，实现对目标主机访问网页的篡改。143.2实验步骤重复ARP欺骗实验的过程，选择网关和Windows10虚拟机作为目标在win10的浏览器中输入http://

，查看浏览器返回页面Kali的Ettercap图形化界面查看嗅探到的详细数据，找到网站服务器返回的代码为302的重定向包，可以看到响应头部的Location字段指定到https://编写filter文件，对TCP报文中的Location字段进行查找替换，替换为”Location:http://#”，将filter文件转化为Ettercap能够识别的ef格式运行Ettercap，对网关和Win10进行ARP欺骗，同时根据修改的ef文件进行过滤在Win10浏览器中再次输入http://

，显示页面为

主页010203040506153.3问题讨论1、HTTP中间人攻击实验中，还可以通过编