网络嗅探技术-教案14

《网络安全技术实践教程》教案授课单位：授课时间：授课班级：授课教师：年月日图6-40仿冒DHCP服务器攻击原理3．仿冒DHCP报文攻击已获取到IP地址的合法用户可以通过DHCP向服务器发送DHCPRequest或DHCPRelease报文以续租或释放IP地址。如果攻击者冒充合法用户不断向DHCP服务器发送DHCPRequest报文来续租IP地址，会导致这些到期的IP地址无法正常回收，以致一些合法用户不能获得IP地址；若攻击者冒充合法用户发送的DHCPRelease报文被发往DHCP服务器，将会导致用户异常下线。4．DHCP中间人攻击攻击者利用ARP机制，让PC1学习到DHCP服务器的IP地址与攻击者的MAC地址的映射关系，并让DHCP服务器学习到PC1的IP地址与攻击者的MAC地址的映射关系，如此一来，PC1与DHCP服务器之间交互的IP报文都要经过攻击者进行中转。我们需要了解交换机在转发数据包的过程中，ARP缓存表中IP地址与MAC地址映射关系的变化过程，这与MAC地址欺骗类似。由于PC1与DHCP服务器之间的IP报文都会经过攻击者，攻击者就能很容易窃取到IP报文中的信息，对其进行篡改或实施其他破坏行为，从而达到直接攻击DHCP的目的。DHCP中间人攻击原理如图6-41所示。图6-41DHCP中间人攻击原理5DHCP攻击的防御措施DHCP攻击的防御措施如下。1．服务器端：设置信任端口将与DHCP服务器相连的交换机的端口分为两种类型——信任端口（Trusted端口）和非信任端口（Untrusted端口）。交换机所有端口默认都是非信任端口，将与合法DHCP服务器相连的端口配置为信任端口，这样交换机从信任端口接收到DHCP报文后，会将其正常转发，从而保证合法DHCP服务器能正常分配IP地址及其他网络参数。而其他从非信任端口接收到的DHCP报文，交换机会直接将其丢弃，不再转发，这样可以有效地阻止仿冒DHCP服务器分配假的IP地址及其他网络参数。2．服务器端：配置DHCPSnooping技术在DHCP服务器所在交换机上配置DHCPSnooping（侦听）技术，以防御DHCP耗尽攻击。交换机会对DHCPRequest报文的源MAC地址与CHADDR字段的值进行检查，如果一致则转发报文，如果不一致则丢弃报文。同时，运行DHCPSnooping的交换机会侦听往来于用户与DHCP服务器之间的信息，并从中收集用户的MAC地址（DHCP报文中的CHADDR字段中的值）、用户的IP地址（DHCP服务器分配给相应的CHADDR字段的IP地址）、IP地址租期等信息，将它们集中存放在DHCPSnooping绑定表中，交换机会动态维护DHCPSnooping绑定表。交换机接收到ARP报文后，会检查它的源IP地址和源MAC地址，若发现与DHCPSnooping绑定表中的条目不匹配，就丢弃该报文，这样可以有效地防止SpoofingIP/MAC攻击。3．服务器端：DHCPSnooping与IPSG技术的联动针对网络中常见的对源IP地址进行欺骗的攻击行为（攻击者仿冒合法用户的IP地址来向服务器发送IP报文），可以使用IPSG（IPSourceGuard，IP源防护）技术进行防御。在交换机上启用IPSG功能后，会对进入交换机端口的报文进行合法性检查，然后对报文进行过滤（检查结果合法，则转发；检查结果非法，则丢弃）。DHCPSnooping技术可以与IPSG技术进行联动，即对于进入交换机端口的报文进行DHCPSnooping绑定表的匹配检查，如果报文的信息与绑定表的一致，则允许通过；如果不一致，则丢弃该报文。报文的检查项可以是源IP地址、源MAC地址、VLAN和物理端口号等组合。如在交换机的端口视图下可支持IP地址+MAC地址、IP地址+VLAN、IP地址+MAC地址+VLAN等组合检查，在交换机的VLAN视图下可支持IP地址+MAC地址、IP地址+物理端口号、IP地址+MAC地址+物理端口号等组合检查。4．客户端：安装防病毒软件从客户端层面来看，可以将客户端的IP地址和MAC地址以及网关的IP地址和MAC地址进行ARP绑定，或者在客户端安装ARP防病毒软件来防御DHCP攻击。任务实施步骤1．配置交换机和路由器（1）绘制拓扑图，进入交换机LSW1配置界面，启动DHCP功能，配置DHCPSnooping，配置接入口启用DHCPSnooping功能，代码如下。sysnameLSW1#启用DHCP功能dhcpenable#启用DHCPSnooping功能dhcpsnoopingenable#将接入终口启用全部DHCPSnooping功能port-groupgroup-memberGigabitEthernet0/0/1toGigabitEthernet0/0/2dhcpsnoopingenable#将DHCP_Server连接端口设置为信任端口interfaceGigabitEthernet0/0/24dhcpsnoopingtrusted（2）进入路由器AR1配置界面，配置DHCP服务，代码如下。sysnameDHCPServer#IP地址配置interfaceGigabitEthernet0/0/0ipaddress192.168.150.254255.255.255.0#DHCP服务器配置配置DNS服务器为114.114.114.114/8.8.8.8dhcpenableippoolIP_150gateway-list192.168.150.254network192.168.150.0mask255.255.255.0dns-list114.114.114.1148.8.8.8#设置全局配置模式interfaceGigabitEthernet0/0/0dhcpselectglobal2．Kali攻击机接入eNSP网络（1）在eNSP中，双击“Cloud1”图标，进入配置界面，直接单击“增加”按钮，添加第一个接口用于连接交换机LSW1，如图6-43所示。图6-43添加第一个接口（2）在“端口创建”的“绑定信息”下拉列表中选择“VMwareNetworkAdapterVMnet8—

IP:192.168.124.1”，单击右上方的“增加”按钮，添加第二个接口，如图6-44所示，用于连接Kali攻击机。将“端口映射设置”中的“出端口编号”修改为“2”，勾选“双向通道”复选框，单击左下方“增加”按钮，完成Cloud1的配置。图6-44添加第二个接口3．PC1和Kali攻击机获取IP地址（1）进入PC1配置界面，选中“IPv4配置”下的“DHCP”，如图6-45所示，单击“应用”按钮，PC1自动获取DHCP服务器分配的IP地址。图6-45自动获取IP地址（2）进入命令输入界面，输入命令“ipconfig”并执行，就可以看到PC1获取到的IP地址、网关和DNS等信息，如图6-46所示。图6-46获取到的IP地址、网关和DNS等信息（3）打开VMwareWorkstation界面。依次单击“编辑”→“虚拟网络编辑器”，在弹出的“虚拟网络编辑器”界面，单击右下角的“更改设置”按钮，如图6-47所示。（4）在“虚拟网络编辑器”对话框中，选择“VMnet8”，将“使用本地DHCP服务将IP地址分配给虚拟机”取消勾选，单击“应用”按钮，如图6-48所示。图6-47“虚拟网络编辑器”界面图6-48修改VMnet8网络参数（5）进入Kali攻击机系统，在工具栏中选择“RootTerminalEmulator”，输入Kali系统密码后，进入命令输入界面，输入命令“dhclient”并执行，自动获取路由器AR1上的DHCP服务器分配的IP地址。输入命令“ipad”并执行，查看当前获取到的IP地址信息，如图6-49所示。图6-49获取并查看IP地址信息（6）进入路由器AR1配置界面，输入命令“displayippoolnameIP_150used”并执行，查看当前已经分配的IP地址信息，如图6-50所示。图6-50查看当前已经分配的IP地址信息4．使用dhcpstarv工具攻击（1）在eNSP的工具栏中选择“数据抓包”，在弹出的对话框中，选择路由器“AR1”的“GE0/0/0”接口，单击“开始抓包”按钮，使Wireshark工具开始抓包，如图6-51所示。（2）进入Kali攻击机，在命令输入窗口输入“dhcpstarv-v-ieth0”并执行，可以看到dhcpstarv一直在向192.168.150.0/24网段持续、大量发送DHCPRequest报文请求IP地址，如图6-52所示。图6-51启动路由器抓包图6-52dhcpstarv攻击（3）在路由器AR1上，再次输入命令“displayippoolnameIP_150used”并执行，此时，可以看到DHCPServer的地址池被占满了，如图6-53所示。图6-53地址池被占满（4）进入Wireshark工具抓包界面，当出现dhcpstarv攻击时，DHCPServer也在持续、大量回复DHCPOffer报文，当Kali攻击机收到报文后，发送DHCPRequest报文请求占用DHCP服务器地址，DHCPServer以为是正常的DHCP_Client获取地址，于是发送DHCPACK确报文认，如图6-54所示。图6-54DHCP分配IP地址抓包（5）双击打开两条DHCPACK数据流，可以发现，在dhcpstarv攻击中，源MAC地址是不会改变的，只有CHADDR地址会改变，如图6-55所示。图6-55CHADDER地址改变（6）在交换机LSW1中，输入命令“displaydhcpsnoopinguser-bindall”并执行，可以看到DCHPSnooping绑定表也被占满了。在dhcpstarv攻击中，CHADDR地址会改变，DHCPSnooping并不能进行防御，如图6-56所示。图6-56DCHPSnooping绑定表被占满5．对dhcpstarv攻击的防御（1）在交换机LSW1上开启SnoopingCheck检查，检查源MAC地址和CHADDR地址是否一致，一致则通过，不一致则丢弃。配置命令如下。#将接入口都配置check检查(检查源MAC地址和CHADDR地址是否一致)port-groupgroup-memberGigabitEthernet0/0/1toGigabitEthernet0/0/2dhcpsnoopingcheckdhcp-chaddrenable（2）在路由器AR1上，清空DHCP服务器地址池。配置命令如下。resetippoolnameIp_150all（3）Kali攻击机再次进行dhcpstarv攻击，输入命令“dhcpstarv-v-ieth0”并执行，此时发送的DHCP请求一直处于timeout状态，如图6-57所示。图6-57攻击失败（4）此时查看DHCPServer地址池，可以发现DHCPServer地址池并没有被占满，如图6-58所示。图6-58DHCPServer地址池未占满所以，当攻击者不修改源MAC地址而仅修改CHADDR地址进行DHCP攻击时，可以使用CHADDRCheck检查，检查源MAC地址与CHADDR地址是否一致，一致则通过，不一致则丢弃。6．使用yersinia工具攻击（1）如图6-51所示，在路由器AR1的“GE0/0/0”接口，再次开启Wireshark工具抓包。（2）由于之前已经清空路由器AR1的DHCP服务器地址池，所以要进入Kali攻击机，再次输入命令“dhclient”并执行，自动获取路由器AR1上的DHCP服务器分配的IP地址。输入命令“ipad”并执行，查看当前获取到的IP地址信息，如图6-59所示。图6-59再次获取并查看IP地址（3）在命令输入界面输入“yersiniadhcp-interfaceeth0-attack1”并执行。yersinia一直在后台向192.168.150.0/24网段持续、大量发送DHCPDiscover报文，如图6-60所示。图6-60yersinia发送DHCPDiscover报文（4）进入路由器AR1，查看DHCPServer地址池占用情况，发现已经被占满，如图6-61所示。图6-61DHCPServer地址池被占满（5）进入Wireshark抓包工具，双击打开两条DHCPDiscover数据流，可以发现，在yersinia攻击中，源MAC地址和CHADDR地址都发生了变化，如图6-62所示。图6-62源MAC地址和CHADDR地址变化7．对yersinia攻击的防御（1）由图6-62可以发现，在yersinia攻击中，若源MAC地址和CHADDR地址同时被修改，CHADDRCheck检查并不能起到作用。当Kali频繁切换MAC地址，发送DHCPDiscover报文时，MAC地址表也会存在很多MAC地址，如图6-63所示。图6-63MAC地址表（2）在交换机LSW1上开启端口安全，设置最大MAC地址数为1，如果超出，则关闭端口。命令如下。#将接入口最大MAC地址数设置为1port-groupgroup-memberGigabitEthernet0/0/1toGigabitEthernet0/0/2port-securit