实习指导一snifferpro模拟ARP攻击.docVIP

实习指导一 一、实训题目： 基于Sniffer?Pro软件的ARP协议分析、模拟攻击测试与流量分析 二、实训目的： 1.在不影响网络安全可靠运行的前提下，对网络中不同类型的协议数据进行捕获； 2.对捕获到的不同类型协议数据进行准确的分析判断，发现异常（这需要有一定的经验积累）； 3.快速有效地定位网络中的故障原因，在不投入新的设备情况下解决问题； 4. 熟悉协议封装格式及原理，明确网络协议本身是不安全的。 三、实训要求： 1.准备协议分析的软件Sniffer Pro安装软件； 2.准备ARP攻击器安装软件。 四、预习内容： 1.网络层次结构与数据封装解封装； 2.你要知道两台主机在通信过程中对数据是如何封装的？ 3. 针对ARP协议的攻击； 4. ARP协议的原理分析。 五、实训步骤： 1. 网络协议分析软件sniffer pro的安装 第一步：安装过程也很简单，双击安装程序，下一步，进入安装界面，下一步，出现许可协议，这些是软件安装的通用的步骤了，YES同意即可。接下来要求名称各公司输入即可。 第二步：下一步后，选择并设置安装的目的路径后再下一步。就开始安装了。 第三步：接下来要求填写个人信息：姓名、商业、电子邮件等，填写完成后就可以下一步了。接下来还是要求填写个人联联系方式：地址、城市、国家、邮编、电话等，填写完成后就可以下一步了。需要注意的是各项目在填写时注意格式，字母与数字要区分开。 第四步：接下来会问是如何了解本软件的？选择一个。最后的序列号要正确填写。 第五步：接下来是通过网络注册的提示。 第六步：由于我没有连网所以出现下面的界面，即无法连接，这不防碍软件的使用，只是注册用。 第七步：下一步后，出现注册结果，点完成就可以结束sniffer pro安装了。出现提示要求IE5支持，接受即可，最后点完成，询问是否重启，重启后软件就可以使用了。 2.网络协议分析软件sniffer pro的配置 第一步，启动sniffer pro软件，在主窗口的工具栏上点选捕获设置（Define Filter）按钮，可以对要捕获的协议数据设置捕获过滤条件。默认情况下捕获所有从指定网卡接收的全部协议数据。捕获到数据后停止查看按钮会由灰色不可用状态变为彩色的可用状态。 第二步，选择停止查看按钮会出现如下图所示对话框，选择最下面的Decode选项卡。即可以看捕获后的数据的解码。 3. ARP协议结构分析 利用Sniffer?Pro软件对ARP协议进行分析。在工作站1上进行，分析步骤如下： 第一步：设置Sniffer?Pro捕获ARP通信的数据包（工作站1与工作站4之间）在工作站1上安装并启动Sniffer?Pro软件，并设置捕获过滤条件（Define Filter），选择捕获ARP协议。 第二步：要想工作站1发送ARP请求给工作站4，并得到ARP回应，首先要确保工作站1的ARP缓存中没有工作站4的记录，所以先在工作站1上利用“arp -a”查看一下是否有此记录，如果有，则利用”arp –d”清除，为了看到效果在执行完清除命令后可以再执行一下“arp -a”看是否已经清除，这里不再重复了。 第三步：确认已经清除工作站1的ARP缓存中关于工作站4的IP与MAC地址对应关系记录后，就可以启动Sniffer?Pro进行协议数据捕获了。 第四步：在没有互相通信需求下，工作站1是不会主动发送ARP请求给工作站4，所以也就捕获不到ARP的协议数据，此时要在工作站1与工作站4之间进行一次通信，如可以在工作站1上ping工作站4，即：ping 10.1.103.4。 第五步：有ICMP数据回应后可以发现， Sniffer?Pro已经捕获到了协议数据。如下图1-1所示 图1-1　Sniffer?Pro捕获到的ARP请求数据解码 4.模拟ARP攻击方法 利用Sniffer?Pro软件进行基于ARP协议的攻击模拟，即让所有主机不能进行外网访问（无法与网关通信），下面在工作站1上实施攻击模拟，步骤如下： 第一步：要进行模拟实施攻击，首先要构造一个数据帧，这很麻烦，这时可以捕获一个ARP的数据帧再进行改造（可以捕获一个网关的ARP数据帧）。设置Sniffer?Pro捕获ARP通信的数据包（工作站1与网关之间）在工作站1上再次启动Sniffer?Pro软件，并设置捕获过滤条件（Define Filter），选择捕获ARP协议。 第二步：要想工作站1发送ARP请求给网关，并得到ARP回应，首先启动Sniffer?Pro捕获，然后利用”arp –d”清除ARP缓存。 第三步：在没有互相通信需求下，工作站1是不会主动发送ARP请求给网关的，所以也就捕获不到ARP的协议数据，此时要在工作站1与网关之间进行一次通信，如可以在工作站1上ping网关，即：ping 10.1.103.25