网络嗅探技术-教案13

《网络安全技术实践教程》教案授课单位：授课时间：授课班级：授课教师：年月日教案13（第13号/17号）课程名称网络安全技术实践授课日期、节次班级课堂类型理论+实践地点章节（任务）名称任务6.3ARP欺骗攻击教学目标知识目标1.掌握ARP欺骗攻击的原理。2.熟悉ARP欺骗攻击的检测与防御能力目标1.能够有效检测并识别ARP欺骗攻击。2.能够针对ARP欺骗攻击进行有效的防御。素质目标1.培养学生精益求精的工匠精神。2.培养学生树立牢固的法治观念，提升网络安全意识。学情分析授课对象：计算机网络技术专业学生，包括中职与普高混合班。学生特点：计算机网络技术专业学生，基础知识存在差异，需针对性讲解与实践操作结合。学习习惯：偏爱实践性强的课程，理论学习兴趣较低。乐于通过案例和互动式教学理解知识点。重难点分析教学重点1.ARP欺骗攻击的原理。2.ARP欺骗攻击的检测与防御。教学难点1.ARP欺骗攻击的原理。2.ARP欺骗攻击的检测与防御。信息化应用方法通过课件、视频、案例分析、互动提问等多种信息化方式，借助学习通平台发布学习资源和任务，学生自主学习并完成任务。课程思政元素1.法律责任。结合网络安全法第27条、第63条，明确未经授权实施ARP攻击可能构成“非法侵入计算机信息系统罪”。2.服务意识。塑造职业精神，使学生形成运用所学专业知识为社会贡献的责任感。3.工匠精神。锻炼学生实事求是的工作态度，培养学生严谨细致的工作作风、精益求精的工匠精神。教学实施过程课前：平台发布网络嗅探技术任务3学习任务，学生预习。课中：导入新课工程师小林在排查交换机MAC地址泛洪攻击的过程中，发现内部网络中的设备存在通信延迟或无法正常访问的问题。经过分析，小林发现了伪造IP地址和MAC地址，怀疑内部网络受到了ARP欺骗攻击。因此，小林决定对ARP欺骗攻击展开详细的排查。任务知识点讲解1ARP简介ARP是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时，将包含目标IP地址的ARP请求广播到局域网上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后，将该IP地址和物理地址存入本机ARP缓存中，并保留一定时间，下次请求时可直接查询ARP缓存以节约资源。我们知道，不管网络层使用的是什么协议，在实际网络的链路上传送数据帧时，最终还是必须使用物理地址，但IP地址和物理地址因格式不同而不存在简单的映射关系。此外，在一个网络中，可能经常会有新的设备加入进来，或撤走一些旧的设备。那么怎样才能找到目的设备的物理地址？ARP就是为了解决这样的问题而出现的。解决办法是在每一个主机中都设置一个ARP高速缓存（ARPCache），其中存储了局域网内各主机和路由器的IP地址到物理地址的映射表。当主机A欲向本局域网内的某个主机B发送IP数据包时，首先在其ARP高速缓存中查看有无主机B的IP地址。如果有，就可查出其对应的物理地址，再将此物理地址写入MAC数据帧，然后通过局域网将该MAC数据帧发往此物理地址；如果没有，可能是主机B刚入网的原因，在这种情况下，主机A会自动运行ARP，然后按照以下步骤获取主机B的物理地址。（1）在本局域网内广播发送一个ARP请求分组，询问主机B的物理地址。（2）该局域网内所有主机运行的ARP进程都会收到此ARP请求分组。（3）主机B的IP地址与ARP请求分组中要查询的IP地址一致，它会向主机A发送ARP响应分组，在响应分组中写入自己的物理地址。而其他主机的IP地址都与ARP请求分组中要查询的IP地址不一致，因此都忽略这个ARP请求分组。（4）主机A收到主机B的ARP响应分组后，就在其ARP高速缓存中写入主机B的IP地址到物理地址的映射。详细过程如图6-29所示。（a）主机A广播发送ARP请求分组（b）主机B向A发送ARP响应分组图6-29使用ARP获取物理地址的流程ARP用于解决同一个局域网上的主机或路由器的IP地址到MAC地址的映射问题。从IP地址到物理地址的解析是自动进行的，主机的用户通常是不知道这种地址解析过程的。当主机或路由器要和本网络上的另一个已知IP地址的主机或路由器进行通信时，ARP就会自动地将该IP地址解析为链路层所需要的物理地址。如果所要找的主机和源主机不在同一个局域网上，就要通过ARP找到一个位于本局域网上的某个路由器的物理地址，然后把分组发送给这个路由器，由这个路由器把分组转发给下一个网络，剩下的工作就由下一个网络来完成。ARP有以下4种典型使用场景。（1）发送方是主机，要把IP数据包发送到本网络上的另一个主机。这时用ARP找到目的主机的物理地址。（2）发送方是主机，要把IP数据包发送到另一个网络上的一个主机。这时用ARP找到本网络上的一个路由器的物理地址，剩下的工作由这个路由器来完成。（3）发送方是路由器，要把IP数据包转发到本网络上的一个主机。这时用ARP找到目的主机的物理地址。（4）发送方是路由器，要把IP数据包转发到另一个网络上的一个主机。这时用ARP找到本网络上另一个路由器的物理地址，剩下的工作由这个路由器来完成。PC端常用的ARP请求命令如下。（1）查看缓存表命令：arp–a。（2）建立静态缓存表命令（在一段时间内，如果主机不与某一IP地址对应的主机通信，则动态缓存表会删除对应的地址，但是静态缓存表中的内容则是永久性的）：arp-sipmac。（3）清空缓存表命令：arp-d。2ARP欺骗攻击原理从上述ARP获取MAC地址的过程中，我们可以发现ARP请求并不安全，其信任根基脆弱。在局域网框架内，默认主机之间无条件信赖。此环境下，任意设备皆能自由发出ARP响应，而接收端则不加甄别地全部接收，并将这些响应存储到ARP缓存中，没有设置真实验证机制。正因如此，恶意攻击者得以乘虚而入，散布伪造ARP响应，悄无声息地篡改目标机器的MAC映射表，实现ARP欺骗。此类攻击的核心在于凭空捏造IP地址与MAC地址的映射，将网络淹没于海量欺诈性ARP流量之中，仅需持续发送伪造ARP响应包流，即可逐步侵蚀、修改目标缓存中的IP-MAC映射关系，导致网络中断，甚至可能使中间人攻击得逞，网络安全防线面临严峻挑战。ARP欺骗攻击原理如图6-30所示。图6-30ARP欺骗攻击原理攻击者主机B向网关C发送一个响应，其中包括主机A的IP地址、主机B的MAC地址。同时，主机B向主机A发送一个响应，其中包括网关C的IP地址、主机B的MAC地址。这时，网关C就会将缓存表里主机A的MAC地址换成主机B的MAC地址，而主机A也会将缓存表里网关C的MAC地址换成主机B的MAC地址。因此，网关C发送给主机A的消息全被主机B接收，而主机A发送给网关C的消息也全被主机B接收，主机B便成为主机A和网关C通信的“中间人”。ARP欺骗攻击主要存在于局域网中，局域网中若有一台设备感染ARP木马，则该设备将试图通过ARP欺骗手段截获网络内其他设备的通信信息，从而造成局域网内设备通信延迟或故障。3ARP欺骗攻击特点与危害ARP欺骗攻击具有如下特点。（1）攻击成本低：不需要特殊的网络设备，攻击者只要能够将计算机接入网络，就能对网络内的主机实施ARP欺骗攻击。（2）技术要求低：ARP本身比较简单，且存在明显的安全漏洞，攻击者只要了解ARP的原理，就能够利用相应的攻击软件或自行编写软件进行攻击。（3）溯源困难：虽然攻击者处在网络内部，但由于ARP数据包只在IP层传送，如果没有专门的工具，用户很难发现自己被攻击。此外，许多攻击者都会伪造主机的IP地址和MAC地址，甚至假冒其他主机的地址来实施攻击，使查找攻击主机变得更加困难。鉴于ARP欺骗攻击的这些特点，其对网络环境构成的威胁不容小觑，我们应了解ARP欺骗攻击的典型危害。（1）使同一网段内的其他用户无法上网。（2）可嗅探到交换式局域网中的所有数据包。（3）可对局域网内的信息进行篡改。（4）可控制局域网内任何主机。4ARP欺骗攻击的检测与防御鉴于ARP欺骗攻击会带来严重危害，及时对其进行检测与防御显得尤为重要，以下列举了几种常见的检测与防御措施。（1）主机级主动检测：主机定期向所在局域网发送查询自己的IP地址的ARP请求报文，如果收到另一ARP响应报文，则说明该网络上另有一台机器与自己使用相同的IP地址。（2）服务器级检测：比较同一MAC地址对应的IP地址，如果这些IP地址不同，则说明对方伪造了ARP响应报文。（3）网络级检测：配置主机定期向中心管理主机报告其ARP缓存表的内容，或者利用网络嗅探工具连续监测网络内主机物理地址与IP地址对应关系的变化。ARP欺骗攻击的防御可以从以下几个方面着手。（1）MAC地址绑定：由于ARP欺骗攻击是通过伪造IP地址和MAC地址欺骗目标主机，从而更改ARP缓存中的路由表进行攻击，因此，只要将局域网中每台计算机的IP地址与MAC地址绑定，就能有效地防御ARP欺骗攻击。（2）使用静态缓存表：如果需要更新ARP缓存表，则手动进行更新，以确保黑客无法进行ARP欺骗攻击。（3）使用ARP服务器：在确保ARP服务器不被攻击者控制的情况下，使用ARP服务器来搜索自己的ARP缓存表来响应其他客户端的ARP广播。（4）使用ARP防火墙有条件的情况下，使用ARP防火墙等防御ARP欺骗攻击的工具来进行ARP欺骗攻击的防御。（5）隔离攻击源：及时发现正在进行ARP欺骗攻击的客户端并立即对其采取隔离措施。（6）划分VLAN（VirtualLocalAreaNetwork，虚拟局域网）：在3层交换机的网络中，可以通过划分VLAN来缩小ARP欺骗攻击的影响范围。VLAN的划分不受网络端口实际物理位置的限制，用户可以根据不同客户端的功能、应用等将其从逻辑上划分在一个相对独立的VLAN中，每个客户端的主机都连接在支持该VLAN的交换机端口上。同一VLAN内的主机形成一个广播域，不同VLAN之间的广播报文能够得到有效的隔离。由于ARP欺骗攻击不能跨网段进行，因此，这种方法能够有效地将ARP欺骗攻击限制在一定范围内。但其缺点是增加了网络管理的复杂度，而且难以适应网络的动态变化。。任务实施步骤1．查看IP地址和MAC地址（1）在虚拟机攻击机上，进入命令输入界面，输入命令“ifconfig”并执行，查看攻击机IP地址和MAC地址信息，其IP地址为“192.168.124.135”，MAC地址为“00:0c:29:82:cb:54”，如图6-31所示。图6-31查看攻击机IP地址和MAC地址（2）在虚拟机靶机上，进入命令输入界面，输入命令“ipconfig/all”并执行，查看靶机的IP地址和MAC地址信息，IP地址为“192.168.124.143”，物理地址为“00-0C-29-5D-A2-36”，如图6-32所示。图6-32查看靶机IP地址和MAC地址2．实施ARP欺骗攻击（1）在Kali系统虚拟机攻击机中，进入命令输入界面，输入命令“fping-asg192.168.124.0/24”，并执行查找靶机所在网段中当前存活的主机，查看是否能看到靶机的IP地址，如图6-33所示。图6-33当前存活的主机从图6-33中可以看出，当前存活的主机有4台，分别是攻击机本机（IP地址：192.168.124.135）、宿主机（IP地址：192.168.124.143）、VMwareWorkstationPro系统所在主机（IP地址：192.168.124.1）和网关（IP地址：192.168.124.2）。（2）输入命令“arp-a”并执行，查看当前存活的主机的IP地址与MAC地址映射表，如图6-34所示。图6-34当前存活的主机的IP地址与MAC地址映射表在这里需要特别注意，网关IP地址“192.168.124.2”对应的MAC地址为“00:50:56:fa:92:df”。（3）输入命令“arpspoof-ieth0-t192.168.124.143192.168.124.2”并执行，这里的“-i”用于指定网卡，“-t”用于指定持续不断攻击。该命令执行后，攻击机会持续不断地发送ARP响应，进行ARP欺骗攻击，如图6-35所示。图6-35开启ARP欺骗攻击（4）此时，进入Windows10系统宿主机，发现已经无法正常上网，如图6-36所示。（5）进入命令输入界面，输入命令“arp-a”并执行，可以看到网关IP地址“192.168.124.2”对应的MAC地址已经变为“00-0c-29-82-cb-54”，而这个MAC地址，就是Kali系统攻击机IP地址对应的MAC地址，从而证明ARP欺骗攻击成功，如图6-37所示。图6-36目标靶机无法访问网络图6-37网关MAC地址改变（6）在攻击机命令输入窗口，按快捷键“Ctrl+C”，停止ARP欺骗攻击。再次进入目标靶机，测试发现，目标靶机已经能