中國人民公安大學(xué)
Chinese people’ public security university
網(wǎng)絡(luò)對抗技術(shù)
實驗報告
|
實驗二 |
|
網(wǎng)絡(luò)嗅探與欺騙 |
|
學(xué)生姓名 |
馮正豪 |
|
年級 |
2018 |
|
區(qū)隊 |
18網(wǎng)一 |
|
指導(dǎo)教師 |
高見 |
信息技術(shù)與網(wǎng)絡(luò)安全學(xué)院
2016年11月7日
實驗任務(wù)總綱
2016—2017 學(xué)年 第 一 學(xué)期
一、實驗?zāi)康?/strong>
1.加深并消化本課程授課內(nèi)容,復(fù)習所學(xué)過的互聯(lián)網(wǎng)搜索技巧、方法和技術(shù);
2.了解并熟悉常用的網(wǎng)絡(luò)嗅探方式,掌握常用抓包軟件的使用方法和過濾技巧,能夠?qū)o定的數(shù)據(jù)包分析網(wǎng)絡(luò)基本行為;掌握ARP欺騙的基本原理,以及基于ARP欺騙的DNS攻擊方式;
3.達到鞏固課程知識和實際應(yīng)用的目的。
二、實驗要求
1.認真閱讀每個實驗內(nèi)容,需要截圖的題目,需清晰截圖并對截圖進行標注和說明。
2.文檔要求結(jié)構(gòu)清晰,圖文表達準確,標注規(guī)范。推理內(nèi)容客觀、合理、邏輯性強。
3.軟件工具可使用office2003或2007、CAIN、Wireshark等。
4.實驗結(jié)束后,保留電子文檔。
三、實驗步驟
1.準備
提前做好實驗準備,實驗前應(yīng)把詳細了解實驗?zāi)康摹嶒炓蠛蛯嶒瀮?nèi)容,熟悉并準備好實驗用的軟件工具,按照實驗內(nèi)容和要求提前做好實驗內(nèi)容的準備。
2.實驗環(huán)境
描述實驗所使用的硬件和軟件環(huán)境(包括各種軟件工具);
開機并啟動軟件office2003或2007、瀏覽器、Wireshark、CAIN。
工具下載地址:
CAIN https://pan.baidu.com/s/19qDb7xbj1L_2QnoPm71KzA
Wireshark 鏈接:https://pan.baidu.com/s/1BeXghjVV9Mll_cAmeMCTPg 密碼:mbpv
迷你FTP https://pan.baidu.com/s/16ms4hXVOmMHhDEe3WraRHQ
NetworkMiner https://pan.baidu.com/s/14e3VluLPjWFKxqNhdpYO9Q
3.實驗過程
1)啟動系統(tǒng)和啟動工具軟件環(huán)境。
2)用軟件工具實現(xiàn)實驗內(nèi)容。
4.實驗報告
按照統(tǒng)一要求的實驗報告格式書寫實驗報告。把按照模板格式編寫的文檔嵌入到實驗報告文檔中,文檔按照規(guī)定的書寫格式書寫,表格要有表說圖形要有圖說。
第一部分 ARP欺騙
- 兩個同學(xué)一組,進行實驗拓撲環(huán)境如下圖所示。
攻擊者:192.168.43.82
訪問者:192.168.43.181
受訪問者:192.168.43.138
2.欺騙攻擊前后,通過Arp-a命令驗證欺騙是否成功(附截圖)
欺騙前192.168.43.138的arp緩存表中192.168.43.181的物理地址如下:
欺騙后192.168.43.138的arp緩存表中192.168.43.181的物理地址變成攻擊主機的地址。
3.欺騙過程中,在主機A開啟Wireshark進行抓包,分析APR欺騙攻擊過程中的數(shù)據(jù)包特點。(附截圖)
如圖所有欺騙攻擊過程中抓取的每個數(shù)據(jù)包都會有兩個相同的包。
4.欺騙過程中,在攻擊方主機開啟Wireshark進行抓包,分析FTP協(xié)議的登錄過程(附流程圖)
5.欺騙完成后,攻擊方主機成功獲取FTP用戶名和密碼(附截圖)
用戶名:admin,密碼:123456
ARP欺騙攻擊過程展示(僅供參考)
查詢受害主機被欺騙前的狀態(tài)
ARP欺騙前192.168.43.138機正常緩存表(實驗中的IP可能和本IP不一樣)
2、在192.168.43.82號機器上運行FOCA,選擇要嗅探的網(wǎng)卡WLEN
3、掃描局域網(wǎng)中的活動主機IP及MAC地址, 除網(wǎng)關(guān)外,掃描到了攻擊目標訪問者:192.168.43.181、受訪問者:192.168.43.138
4、點擊工具欄第三個圖標(start ARP)就可以ARP欺騙了
5.下圖為欺騙開始后在192.168.43.138機器上用arp –a命令查詢本機arp緩存表的情況,會發(fā)現(xiàn)緩存表中的192.168.43.181對應(yīng)的MAC地址變成了192.168.43.82號機(實施ARP欺騙的機器)的IP地址
第二部分 DNS
1. 兩個同學(xué)一組,A和B。
2.A同學(xué)正常訪問網(wǎng)站www.ppsuc.edu.cn
3.B同學(xué)扮演攻擊者,設(shè)計攻擊方法,使用CAIN,通過DNS欺騙的方式,讓A同學(xué)訪問www.ppsuc.edu.cn網(wǎng)址的時候,訪問到另外一臺機器上的偽造網(wǎng)站
重點步驟
在FOCA中添加DNS欺騙選項
欺騙成功后,在被害機器上查看www.ppsuc.edu.cn的IP 查看是否被解析到了,指定的IP地址上。
第三部分 FTP協(xié)議分析
1. 兩個同學(xué)一組,A和B。
2.A同學(xué)架設(shè)FTP服務(wù)器,并設(shè)置用戶名和密碼,例如gao / gao
3.B同學(xué)在機器中安裝Wireshark,并將其打開;之后用用戶名和密碼登陸A同學(xué)的FTP服務(wù)器,并上傳一張圖片和一個壓縮包。
4.B同學(xué)停止Wireshark抓包,并和A同學(xué)一起分析數(shù)據(jù)包中的FTP登錄過程,還原登錄用戶名和密碼,以及上傳文件。
將抓取的數(shù)據(jù)包保存為文件實驗二ftp數(shù)據(jù)包.pcapng。
打開數(shù)據(jù)包文件,過濾出ftp數(shù)據(jù)包。
Info信息中控制命令USER、PASS分別對應(yīng)賬號和密碼。
控制命令RETR下載、STOR上傳。
跟蹤溜,顯示FTP傳輸信息,我們要查看傳輸?shù)臄?shù)據(jù),因此關(guān)閉該窗口,將過濾命令前加!(過溜掉傳輸信息數(shù)據(jù)包)。
Ctrl+f打開搜索功能,快速找到文件所在的幀數(shù),JPG格式的二進制表示為JFIF,RAR格式為RAR。
找到數(shù)據(jù)所在楨,F(xiàn)ollow TCP Stream,保存至桌面。
成功打開,還原數(shù)據(jù)成功。
浙公網(wǎng)安備 33010602011771號