網(wǎng)絡(luò)嗅探技術(shù)-教案13

《網(wǎng)絡(luò)安全技術(shù)實(shí)踐教程》教案授課單位：授課時(shí)間：授課班級(jí)：授課教師：年月日教案13（第13號(hào)/17號(hào)）課程名稱網(wǎng)絡(luò)安全技術(shù)實(shí)踐授課日期、節(jié)次班級(jí)課堂類型理論+實(shí)踐地點(diǎn)章節(jié)（任務(wù)）名稱任務(wù)6.3ARP欺騙攻擊教學(xué)目標(biāo)知識(shí)目標(biāo)1.掌握ARP欺騙攻擊的原理。2.熟悉ARP欺騙攻擊的檢測(cè)與防御能力目標(biāo)1.能夠有效檢測(cè)并識(shí)別ARP欺騙攻擊。2.能夠針對(duì)ARP欺騙攻擊進(jìn)行有效的防御。素質(zhì)目標(biāo)1.培養(yǎng)學(xué)生精益求精的工匠精神。2.培養(yǎng)學(xué)生樹立牢固的法治觀念，提升網(wǎng)絡(luò)安全意識(shí)。學(xué)情分析授課對(duì)象：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)學(xué)生，包括中職與普高混合班。學(xué)生特點(diǎn)：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)學(xué)生，基礎(chǔ)知識(shí)存在差異，需針對(duì)性講解與實(shí)踐操作結(jié)合。學(xué)習(xí)習(xí)慣：偏愛實(shí)踐性強(qiáng)的課程，理論學(xué)習(xí)興趣較低。樂于通過案例和互動(dòng)式教學(xué)理解知識(shí)點(diǎn)。重難點(diǎn)分析教學(xué)重點(diǎn)1.ARP欺騙攻擊的原理。2.ARP欺騙攻擊的檢測(cè)與防御。教學(xué)難點(diǎn)1.ARP欺騙攻擊的原理。2.ARP欺騙攻擊的檢測(cè)與防御。信息化應(yīng)用方法通過課件、視頻、案例分析、互動(dòng)提問等多種信息化方式，借助學(xué)習(xí)通平臺(tái)發(fā)布學(xué)習(xí)資源和任務(wù)，學(xué)生自主學(xué)習(xí)并完成任務(wù)。課程思政元素1.法律責(zé)任。結(jié)合網(wǎng)絡(luò)安全法第27條、第63條，明確未經(jīng)授權(quán)實(shí)施ARP攻擊可能構(gòu)成“非法侵入計(jì)算機(jī)信息系統(tǒng)罪”。2.服務(wù)意識(shí)。塑造職業(yè)精神，使學(xué)生形成運(yùn)用所學(xué)專業(yè)知識(shí)為社會(huì)貢獻(xiàn)的責(zé)任感。3.工匠精神。鍛煉學(xué)生實(shí)事求是的工作態(tài)度，培養(yǎng)學(xué)生嚴(yán)謹(jǐn)細(xì)致的工作作風(fēng)、精益求精的工匠精神。教學(xué)實(shí)施過程課前：平臺(tái)發(fā)布網(wǎng)絡(luò)嗅探技術(shù)任務(wù)3學(xué)習(xí)任務(wù)，學(xué)生預(yù)習(xí)。課中：導(dǎo)入新課工程師小林在排查交換機(jī)MAC地址泛洪攻擊的過程中，發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的設(shè)備存在通信延遲或無法正常訪問的問題。經(jīng)過分析，小林發(fā)現(xiàn)了偽造IP地址和MAC地址，懷疑內(nèi)部網(wǎng)絡(luò)受到了ARP欺騙攻擊。因此，小林決定對(duì)ARP欺騙攻擊展開詳細(xì)的排查。任務(wù)知識(shí)點(diǎn)講解1ARP簡(jiǎn)介ARP是根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議。主機(jī)發(fā)送信息時(shí)，將包含目標(biāo)IP地址的ARP請(qǐng)求廣播到局域網(wǎng)上的所有主機(jī)，并接收返回消息，以此確定目標(biāo)的物理地址；收到返回消息后，將該IP地址和物理地址存入本機(jī)ARP緩存中，并保留一定時(shí)間，下次請(qǐng)求時(shí)可直接查詢ARP緩存以節(jié)約資源。我們知道，不管網(wǎng)絡(luò)層使用的是什么協(xié)議，在實(shí)際網(wǎng)絡(luò)的鏈路上傳送數(shù)據(jù)幀時(shí)，最終還是必須使用物理地址，但I(xiàn)P地址和物理地址因格式不同而不存在簡(jiǎn)單的映射關(guān)系。此外，在一個(gè)網(wǎng)絡(luò)中，可能經(jīng)常會(huì)有新的設(shè)備加入進(jìn)來，或撤走一些舊的設(shè)備。那么怎樣才能找到目的設(shè)備的物理地址？ARP就是為了解決這樣的問題而出現(xiàn)的。解決辦法是在每一個(gè)主機(jī)中都設(shè)置一個(gè)ARP高速緩存（ARPCache），其中存儲(chǔ)了局域網(wǎng)內(nèi)各主機(jī)和路由器的IP地址到物理地址的映射表。當(dāng)主機(jī)A欲向本局域網(wǎng)內(nèi)的某個(gè)主機(jī)B發(fā)送IP數(shù)據(jù)包時(shí)，首先在其ARP高速緩存中查看有無主機(jī)B的IP地址。如果有，就可查出其對(duì)應(yīng)的物理地址，再將此物理地址寫入MAC數(shù)據(jù)幀，然后通過局域網(wǎng)將該MAC數(shù)據(jù)幀發(fā)往此物理地址；如果沒有，可能是主機(jī)B剛?cè)刖W(wǎng)的原因，在這種情況下，主機(jī)A會(huì)自動(dòng)運(yùn)行ARP，然后按照以下步驟獲取主機(jī)B的物理地址。（1）在本局域網(wǎng)內(nèi)廣播發(fā)送一個(gè)ARP請(qǐng)求分組，詢問主機(jī)B的物理地址。（2）該局域網(wǎng)內(nèi)所有主機(jī)運(yùn)行的ARP進(jìn)程都會(huì)收到此ARP請(qǐng)求分組。（3）主機(jī)B的IP地址與ARP請(qǐng)求分組中要查詢的IP地址一致，它會(huì)向主機(jī)A發(fā)送ARP響應(yīng)分組，在響應(yīng)分組中寫入自己的物理地址。而其他主機(jī)的IP地址都與ARP請(qǐng)求分組中要查詢的IP地址不一致，因此都忽略這個(gè)ARP請(qǐng)求分組。（4）主機(jī)A收到主機(jī)B的ARP響應(yīng)分組后，就在其ARP高速緩存中寫入主機(jī)B的IP地址到物理地址的映射。詳細(xì)過程如圖6-29所示。（a）主機(jī)A廣播發(fā)送ARP請(qǐng)求分組（b）主機(jī)B向A發(fā)送ARP響應(yīng)分組圖6-29使用ARP獲取物理地址的流程ARP用于解決同一個(gè)局域網(wǎng)上的主機(jī)或路由器的IP地址到MAC地址的映射問題。從IP地址到物理地址的解析是自動(dòng)進(jìn)行的，主機(jī)的用戶通常是不知道這種地址解析過程的。當(dāng)主機(jī)或路由器要和本網(wǎng)絡(luò)上的另一個(gè)已知IP地址的主機(jī)或路由器進(jìn)行通信時(shí)，ARP就會(huì)自動(dòng)地將該IP地址解析為鏈路層所需要的物理地址。如果所要找的主機(jī)和源主機(jī)不在同一個(gè)局域網(wǎng)上，就要通過ARP找到一個(gè)位于本局域網(wǎng)上的某個(gè)路由器的物理地址，然后把分組發(fā)送給這個(gè)路由器，由這個(gè)路由器把分組轉(zhuǎn)發(fā)給下一個(gè)網(wǎng)絡(luò)，剩下的工作就由下一個(gè)網(wǎng)絡(luò)來完成。ARP有以下4種典型使用場(chǎng)景。（1）發(fā)送方是主機(jī)，要把IP數(shù)據(jù)包發(fā)送到本網(wǎng)絡(luò)上的另一個(gè)主機(jī)。這時(shí)用ARP找到目的主機(jī)的物理地址。（2）發(fā)送方是主機(jī)，要把IP數(shù)據(jù)包發(fā)送到另一個(gè)網(wǎng)絡(luò)上的一個(gè)主機(jī)。這時(shí)用ARP找到本網(wǎng)絡(luò)上的一個(gè)路由器的物理地址，剩下的工作由這個(gè)路由器來完成。（3）發(fā)送方是路由器，要把IP數(shù)據(jù)包轉(zhuǎn)發(fā)到本網(wǎng)絡(luò)上的一個(gè)主機(jī)。這時(shí)用ARP找到目的主機(jī)的物理地址。（4）發(fā)送方是路由器，要把IP數(shù)據(jù)包轉(zhuǎn)發(fā)到另一個(gè)網(wǎng)絡(luò)上的一個(gè)主機(jī)。這時(shí)用ARP找到本網(wǎng)絡(luò)上另一個(gè)路由器的物理地址，剩下的工作由這個(gè)路由器來完成。PC端常用的ARP請(qǐng)求命令如下。（1）查看緩存表命令：arp–a。（2）建立靜態(tài)緩存表命令（在一段時(shí)間內(nèi)，如果主機(jī)不與某一IP地址對(duì)應(yīng)的主機(jī)通信，則動(dòng)態(tài)緩存表會(huì)刪除對(duì)應(yīng)的地址，但是靜態(tài)緩存表中的內(nèi)容則是永久性的）：arp-sipmac。（3）清空緩存表命令：arp-d。2ARP欺騙攻擊原理從上述ARP獲取MAC地址的過程中，我們可以發(fā)現(xiàn)ARP請(qǐng)求并不安全，其信任根基脆弱。在局域網(wǎng)框架內(nèi)，默認(rèn)主機(jī)之間無條件信賴。此環(huán)境下，任意設(shè)備皆能自由發(fā)出ARP響應(yīng)，而接收端則不加甄別地全部接收，并將這些響應(yīng)存儲(chǔ)到ARP緩存中，沒有設(shè)置真實(shí)驗(yàn)證機(jī)制。正因如此，惡意攻擊者得以乘虛而入，散布偽造ARP響應(yīng)，悄無聲息地篡改目標(biāo)機(jī)器的MAC映射表，實(shí)現(xiàn)ARP欺騙。此類攻擊的核心在于憑空捏造IP地址與MAC地址的映射，將網(wǎng)絡(luò)淹沒于海量欺詐性ARP流量之中，僅需持續(xù)發(fā)送偽造ARP響應(yīng)包流，即可逐步侵蝕、修改目標(biāo)緩存中的IP-MAC映射關(guān)系，導(dǎo)致網(wǎng)絡(luò)中斷，甚至可能使中間人攻擊得逞，網(wǎng)絡(luò)安全防線面臨嚴(yán)峻挑戰(zhàn)。ARP欺騙攻擊原理如圖6-30所示。圖6-30ARP欺騙攻擊原理攻擊者主機(jī)B向網(wǎng)關(guān)C發(fā)送一個(gè)響應(yīng)，其中包括主機(jī)A的IP地址、主機(jī)B的MAC地址。同時(shí)，主機(jī)B向主機(jī)A發(fā)送一個(gè)響應(yīng)，其中包括網(wǎng)關(guān)C的IP地址、主機(jī)B的MAC地址。這時(shí)，網(wǎng)關(guān)C就會(huì)將緩存表里主機(jī)A的MAC地址換成主機(jī)B的MAC地址，而主機(jī)A也會(huì)將緩存表里網(wǎng)關(guān)C的MAC地址換成主機(jī)B的MAC地址。因此，網(wǎng)關(guān)C發(fā)送給主機(jī)A的消息全被主機(jī)B接收，而主機(jī)A發(fā)送給網(wǎng)關(guān)C的消息也全被主機(jī)B接收，主機(jī)B便成為主機(jī)A和網(wǎng)關(guān)C通信的“中間人”。ARP欺騙攻擊主要存在于局域網(wǎng)中，局域網(wǎng)中若有一臺(tái)設(shè)備感染ARP木馬，則該設(shè)備將試圖通過ARP欺騙手段截獲網(wǎng)絡(luò)內(nèi)其他設(shè)備的通信信息，從而造成局域網(wǎng)內(nèi)設(shè)備通信延遲或故障。3ARP欺騙攻擊特點(diǎn)與危害ARP欺騙攻擊具有如下特點(diǎn)。（1）攻擊成本低：不需要特殊的網(wǎng)絡(luò)設(shè)備，攻擊者只要能夠?qū)⒂?jì)算機(jī)接入網(wǎng)絡(luò)，就能對(duì)網(wǎng)絡(luò)內(nèi)的主機(jī)實(shí)施ARP欺騙攻擊。（2）技術(shù)要求低：ARP本身比較簡(jiǎn)單，且存在明顯的安全漏洞，攻擊者只要了解ARP的原理，就能夠利用相應(yīng)的攻擊軟件或自行編寫軟件進(jìn)行攻擊。（3）溯源困難：雖然攻擊者處在網(wǎng)絡(luò)內(nèi)部，但由于ARP數(shù)據(jù)包只在IP層傳送，如果沒有專門的工具，用戶很難發(fā)現(xiàn)自己被攻擊。此外，許多攻擊者都會(huì)偽造主機(jī)的IP地址和MAC地址，甚至假冒其他主機(jī)的地址來實(shí)施攻擊，使查找攻擊主機(jī)變得更加困難。鑒于ARP欺騙攻擊的這些特點(diǎn)，其對(duì)網(wǎng)絡(luò)環(huán)境構(gòu)成的威脅不容小覷，我們應(yīng)了解ARP欺騙攻擊的典型危害。（1）使同一網(wǎng)段內(nèi)的其他用戶無法上網(wǎng)。（2）可嗅探到交換式局域網(wǎng)中的所有數(shù)據(jù)包。（3）可對(duì)局域網(wǎng)內(nèi)的信息進(jìn)行篡改。（4）可控制局域網(wǎng)內(nèi)任何主機(jī)。4ARP欺騙攻擊的檢測(cè)與防御鑒于ARP欺騙攻擊會(huì)帶來嚴(yán)重危害，及時(shí)對(duì)其進(jìn)行檢測(cè)與防御顯得尤為重要，以下列舉了幾種常見的檢測(cè)與防御措施。（1）主機(jī)級(jí)主動(dòng)檢測(cè)：主機(jī)定期向所在局域網(wǎng)發(fā)送查詢自己的IP地址的ARP請(qǐng)求報(bào)文，如果收到另一ARP響應(yīng)報(bào)文，則說明該網(wǎng)絡(luò)上另有一臺(tái)機(jī)器與自己使用相同的IP地址。（2）服務(wù)器級(jí)檢測(cè)：比較同一MAC地址對(duì)應(yīng)的IP地址，如果這些IP地址不同，則說明對(duì)方偽造了ARP響應(yīng)報(bào)文。（3）網(wǎng)絡(luò)級(jí)檢測(cè)：配置主機(jī)定期向中心管理主機(jī)報(bào)告其ARP緩存表的內(nèi)容，或者利用網(wǎng)絡(luò)嗅探工具連續(xù)監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)主機(jī)物理地址與IP地址對(duì)應(yīng)關(guān)系的變化。ARP欺騙攻擊的防御可以從以下幾個(gè)方面著手。（1）MAC地址綁定：由于ARP欺騙攻擊是通過偽造IP地址和MAC地址欺騙目標(biāo)主機(jī)，從而更改ARP緩存中的路由表進(jìn)行攻擊，因此，只要將局域網(wǎng)中每臺(tái)計(jì)算機(jī)的IP地址與MAC地址綁定，就能有效地防御ARP欺騙攻擊。（2）使用靜態(tài)緩存表：如果需要更新ARP緩存表，則手動(dòng)進(jìn)行更新，以確保黑客無法進(jìn)行ARP欺騙攻擊。（3）使用ARP服務(wù)器：在確保ARP服務(wù)器不被攻擊者控制的情況下，使用ARP服務(wù)器來搜索自己的ARP緩存表來響應(yīng)其他客戶端的ARP廣播。（4）使用ARP防火墻有條件的情況下，使用ARP防火墻等防御ARP欺騙攻擊的工具來進(jìn)行ARP欺騙攻擊的防御。（5）隔離攻擊源：及時(shí)發(fā)現(xiàn)正在進(jìn)行ARP欺騙攻擊的客戶端并立即對(duì)其采取隔離措施。（6）劃分VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)）：在3層交換機(jī)的網(wǎng)絡(luò)中，可以通過劃分VLAN來縮小ARP欺騙攻擊的影響范圍。VLAN的劃分不受網(wǎng)絡(luò)端口實(shí)際物理位置的限制，用戶可以根據(jù)不同客戶端的功能、應(yīng)用等將其從邏輯上劃分在一個(gè)相對(duì)獨(dú)立的VLAN中，每個(gè)客戶端的主機(jī)都連接在支持該VLAN的交換機(jī)端口上。同一VLAN內(nèi)的主機(jī)形成一個(gè)廣播域，不同VLAN之間的廣播報(bào)文能夠得到有效的隔離。由于ARP欺騙攻擊不能跨網(wǎng)段進(jìn)行，因此，這種方法能夠有效地將ARP欺騙攻擊限制在一定范圍內(nèi)。但其缺點(diǎn)是增加了網(wǎng)絡(luò)管理的復(fù)雜度，而且難以適應(yīng)網(wǎng)絡(luò)的動(dòng)態(tài)變化。。任務(wù)實(shí)施步驟1．查看IP地址和MAC地址（1）在虛擬機(jī)攻擊機(jī)上，進(jìn)入命令輸入界面，輸入命令“ifconfig”并執(zhí)行，查看攻擊機(jī)IP地址和MAC地址信息，其IP地址為“192.168.124.135”，MAC地址為“00:0c:29:82:cb:54”，如圖6-31所示。圖6-31查看攻擊機(jī)IP地址和MAC地址（2）在虛擬機(jī)靶機(jī)上，進(jìn)入命令輸入界面，輸入命令“ipconfig/all”并執(zhí)行，查看靶機(jī)的IP地址和MAC地址信息，IP地址為“192.168.124.143”，物理地址為“00-0C-29-5D-A2-36”，如圖6-32所示。圖6-32查看靶機(jī)IP地址和MAC地址2．實(shí)施ARP欺騙攻擊（1）在Kali系統(tǒng)虛擬機(jī)攻擊機(jī)中，進(jìn)入命令輸入界面，輸入命令“fping-asg192.168.124.0/24”，并執(zhí)行查找靶機(jī)所在網(wǎng)段中當(dāng)前存活的主機(jī)，查看是否能看到靶機(jī)的IP地址，如圖6-33所示。圖6-33當(dāng)前存活的主機(jī)從圖6-33中可以看出，當(dāng)前存活的主機(jī)有4臺(tái)，分別是攻擊機(jī)本機(jī)（IP地址：192.168.124.135）、宿主機(jī)（IP地址：192.168.124.143）、VMwareWorkstationPro系統(tǒng)所在主機(jī)（IP地址：192.168.124.1）和網(wǎng)關(guān)（IP地址：192.168.124.2）。（2）輸入命令“arp-a”并執(zhí)行，查看當(dāng)前存活的主機(jī)的IP地址與MAC地址映射表，如圖6-34所示。圖6-34當(dāng)前存活的主機(jī)的IP地址與MAC地址映射表在這里需要特別注意，網(wǎng)關(guān)IP地址“192.168.124.2”對(duì)應(yīng)的MAC地址為“00:50:56:fa:92:df”。（3）輸入命令“arpspoof-ieth0-t192.168.124.143192.168.124.2”并執(zhí)行，這里的“-i”用于指定網(wǎng)卡，“-t”用于指定持續(xù)不斷攻擊。該命令執(zhí)行后，攻擊機(jī)會(huì)持續(xù)不斷地發(fā)送ARP響應(yīng)，進(jìn)行ARP欺騙攻擊，如圖6-35所示。圖6-35開啟ARP欺騙攻擊（4）此時(shí)，進(jìn)入Windows10系統(tǒng)宿主機(jī)，發(fā)現(xiàn)已經(jīng)無法正常上網(wǎng)，如圖6-36所示。（5）進(jìn)入命令輸入界面，輸入命令“arp-a”并執(zhí)行，可以看到網(wǎng)關(guān)IP地址“192.168.124.2”對(duì)應(yīng)的MAC地址已經(jīng)變?yōu)椤?0-0c-29-82-cb-54”，而這個(gè)MAC地址，就是Kali系統(tǒng)攻擊機(jī)IP地址對(duì)應(yīng)的MAC地址，從而證明ARP欺騙攻擊成功，如圖6-37所示。圖6-36目標(biāo)靶機(jī)無法訪問網(wǎng)絡(luò)圖6-37網(wǎng)關(guān)MAC地址改變（6）在攻擊機(jī)命令輸入窗口，按快捷鍵“Ctrl+C”，停止ARP欺騙攻擊。再次進(jìn)入目標(biāo)靶機(jī)，測(cè)試發(fā)現(xiàn)，目標(biāo)靶機(jī)已經(jīng)能