云安全产品配置与应用 产品配置与实践 网络及信息窃听类事件的处理.doc

网络及信息窃听类事件的处理(SEC-W07-005.1) ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（也就是相当于OSI的第三层）地址解析为数据链路层（也就是相当于OSI的第二层）的物理地址(注:此处物理地址并不一定指MAC地址)。　　ARP原理：主机A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A会以广播包方式发送一个ARP请求报文（携带主机A的IP地址Ia及物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括 B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡驱动附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。　　ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器C向A和B分别发送一个原MAC地址为自己的伪造ARP应答，则A与B之间的通讯将会被C监听到。这就是一个简单的ARP监听。 实验目的 通过使用演示工具模拟ARP监听过程，加深对网络数据传输安全风险的了解，学习ARP协议的基本意义，了解网络数据包分析软件 Wireshark 的使用。 实验拓扑 实验准备 从指定服务器下载实验所需的工具及软件,并安装Mid-Sniffer工具 在学生实验机上安装抓包工具Wireshark.（安装过程略，请自行安装） 1.在学生实验机安装Mid-Sniffer工具,在解压文件夹中,双击setup.exe文件进行安装操作: 图1-1 2.在打开的欢迎安装界面，点击“下一步”安钮，开始进行安装；如下图所示： 图1-2 3.设置安装路径，请保持默认设置，点击“下一步”安钮，如下图所示： 图1-3 4.点击“下一步”安钮，等待安装完成后，点击“关闭”安钮，即可完成Mid-Sniffer工具安装； 图1-4 5.安装完成后,在相应的目录下可以启动Mid-Sniffer工具，如下图所示： 图1-5 实验步骤 模拟ARP监听过程的步骤 1.远程登录实验主机，检查主机当前的ARP缓存 2.在实验主机上的命令行用 ping 工具发送一个icmp包到管理平台机 3.再次检查实验主机的ARP缓存 4.启动 Mid-Sniffer 程序，向实验主机及管理平台主机发送伪造ARP包 5.检查实验主机的ARP缓存 6.在实验主机上的命令行用 ping 工具发送一个icmp包到管理平台机 7.在学生机用 Wireshark 工具监听实验主机与管理平台机的通讯 8.在实验主机上用浏览器访问演示登录页面，并查看监听到的密码 检查实验主机的ARP缓存 1.在学生机用远程桌面连接登录实验主机。如图2-1所示用户名 Administrator密 码 Sn1ff3r 图2-1 2.在实验主机点击开始--运行，输入 cmd 并确定以启动命令行窗口。在命令行中输入 arp -a 查看当前 arp 缓存。如图2-2所示 图2-2 Ping管理平台主机，再次检查ARP缓存 1.在实验主机上的命令行用 ping 工具发送一个icmp包到管理平台机，如图2-3所示：命令格式为： ping 管理平台主机ip地址 -n 1 参数 -n 1 表示发送的 echo 请求包的数量为1。 图2-3 2.再次检查实验主机的ARP缓存，如图2-4所示： 图2-4 发送伪造ARP包，检查ARP缓存 1.在本地学生机器上启动 Mid-Sniffer 程序，向实验主机与管理平台主机发送伪造ARP包，如图2-5所示：在目标主机-1 IP 后填入实验主机的IP，管理平台IP后填入管理平台IP，不要勾选“监听时进行篡改”。点击开始以发送伪造 ARP 包。 图2-5 2.切换到远程登录的实验主机，在实验主机的命令行窗口中用 arp -a 查看此时的arp缓存。如图2-6所示：此时我们可以看到，arp缓存中的管理平台主机的MAC地址已经被修改为欺骗主机（学生主机）的MAC地址了。 图2-6 Ping管理平台主机，捕获、分析数据包 1.启动Wireshark,点击第一个图标按钮打开网卡选择窗口，如图2-7、图2-8所示： 图2-7 图2-8 2.点击与学生机IP