XXXX网络安全实验指导书

《网络安全》实验指导1《网络安全》实训指导《网络安全》实训指导2目录实验一ARP模拟攻击测试与流量分析··············································1实验二利用PGP实施非对称加密·················································16实验三利用数字证书保护通信····················································28实验四利用隧道技术连接企业与分支···········································38实验五基于路由器实现VPN连接·················································45实验六基本防火墙功能配置·······················································61实验七软件防火墙配置保护主机与内部网络··································79实验八基于Sessionwall入侵检测功能配置·································92实验九基于Snort入侵检测功能配置··········································105实验十网络管理技术的SNMP实现···············································120《网络安全》实验指导1实验一ARP模拟攻击测试与流量分析实验目的：1、在不影响网络安全可靠运行的前提下，对网络中不同类型的协议数据进行捕获；2、能对捕获到的不同类型协议数据进行准确的分析判断，发现异常；3、快速有效地定位网络中的故障原因，在不投入新的设备情况下解决问题；4、熟悉协议封装格式及原理，明确网络协议本身是不安全的。实验要求：1、复习网络层次及协议对应关系，协议封装，重点对ARP协议数据结构进行分析；2、工具及软件选用：安装SnifferPro软件、捕获前的设置；3、捕获ARP协议数据，并进行分析；4、明确ARP协议的缺陷，制定模拟ARP攻击方法；5、实施ARP协议模拟攻击与攻击结果检查；6、确定ARP攻击流量并加以分析；7、针对此类攻击的防范。实验工具与软件：1、协议分析软件Snifferpro；2、ARP攻击器；3、在实际工作中建议使用笔记本电脑配置一条直通双绞线和一条交换机配置线。实验原理：在以太网同一网段内部，当一个基于TCP/IP的应用程序需要从一台主机发送数据给另一台主机时，它把信息分割并封装成包，附上目的主机的IP地址。然后，寻找IP地址到实际MAC地址的映射，这需要发送ARP广播消息。当ARP找到了目的主机MAC地址后，就可以形成待发送帧的完整以太网帧头（在以太网中，同一局域网内的通信是通过MAC寻址来完成的，所以在IP数据包前要封装以太网数据实验一ARP模拟攻击测试与流量分析2帧，当然要有明确的目的主机的MAC地址方可正常通信）。最后，协议栈将IP包封装到以太网帧中进行传送。在下图中，当工作站1要和工作站4通信（如工作站1Ping工作站4）时。工作站1会先检查其ARP缓存内是否有工作站4的MAC地址。如果没有，工作站1会发送一个ARP请求广播包，此包内包含着其欲与之通信的主机的IP地址，也就是工作站4的IP地址。当工作站4收到此广播后，会将自己的MAC地址利用ARP响应包传给工作站1，并更新自己的ARP缓存，也就是同时将工作站1的IP地址/MAC地址对保存起来，以供后面使用。工作站1在得到工作站4的MAC地址后，就可以与工作站4通信了。同时，工作站1也将工作站4的IP地址/MAC地址对保存在自己的ARP缓存内。图1实验拓扑结构如果想查看ARP缓存中的所有记录，可以在用命令“arp-a”；如果想清除ARP缓存中的动态记录，可以在用命令“arp-d”。ARP攻击的特点是：当同一局域网内的一台或多台计算机感染了ARP攻击程序后，会不断发送伪造的ARP攻击包，如果这个攻击包的源MAC地址伪造为一个假的MAC地址（M1），源IP伪造成网关的IP地址，目的MAC为广播地址。这样所有同一网段内的主机都会收到，误以为网关的MAC地址已经变为M1，于是进行ARP缓存更新，把网关的真实IP与这个假的MAC地址进行关联。当这些被攻击的主机想进行外部网络访问时会把数据送到网关，即封装网关的IP与MAC，主机会先查询本机内的ARP缓存记录，查找网关IP对应的MAC地址，由于这个MAC是假的，所以外发的数据无法送达网关。因此，造成的现象就是被攻击的主机无法访问外网或互联网。《网络安全》实验指导3实验步骤：1、网络协议分析软件snifferpro的安装第一步：安装过程也很简单，双击安装程序，下一步，进入安装界面，下一步，出现许可协议，这些是软件安装的通用的步骤了，YES同意即可。接下来要求名称各公司输入即可。第二步：下一步后，选择并设置安装的目的路径后再下一步。就开始安装了。第三步：接下来要求填写个人信息：姓名、商业、电子邮件等，填写完成后就可以下一步了。接下来还是要求填写个人联联系方式：地址、城市、国家、邮编、电话等，填写完成后就可以下一步了。需要注意的是各项目在填写时注意格式，字母与数字要区分开。图2图3第四步：接下来会问是如何了解本软件的？选择一个。最后的序列号要正确填写。实验一ARP模拟攻击测试与流量分析4图4第五步：接下来是通过网络注册的提示。第六步：由于我没有连网所以出现下面的界面，即无法连接，这不防碍软件的使用，只是注册用。图5图6第七步：下一步后，出现注册结果，点完成就可以结束snifferpro安装了。出现提示要求IE5支持，接受即可，最后点完成，询问是否重启，重启后软件就可以使用了。SN序列号《网络安全》实验指导5图72、网络协议分析软件snifferpro的配置启动snifferpro软件，在主窗口的工具栏上点选捕获设置（DefineFilter）按钮，可以对要捕获的协议数据设置捕获过滤条件。默认情况下捕获所有从指定网卡接收的全部协议数据。捕获到数据后停止查看按钮会由灰色不可用状态变为彩色的可用状态。实验一ARP模拟攻击测试与流量分析6图8选择停止查看按钮会出现如下图所示对话框，选择最下面的Decode选项卡。即可以看捕获后的数据的解码。图9图103、下面利用SnifferPro软件对ARP协议进行分析。在工作站1上进行，分析步骤如下：停止查看启动捕获捕获设置《网络安全》实验指导71)设置SnifferPro捕获ARP通信的数据包（工作站1与工作站4之间）在工作站1上安装并启动SnifferPro软件，并设置捕获过滤条件（DefineFilter），选择捕获ARP协议。如图11所示：图112）要想工作站1发送ARP请求给工作站4，并得到ARP回应，首先要确保工作站1的ARP缓存中没有工作站4的记录，所以先在工作站1上利用“arp-a”查看一下是否有此记录，如果有，则利用”arp–d”清除，为了看到效果在执行完清除命令后可以再执行一下“arp-a”看是否已经清除，这里不再重复了。3）确认已经清除工作站1的ARP缓存中关于工作站4的IP与MAC地址对应关系记录后，就可以启动SnifferPro进行协议数据捕获了。4）在没有互相通信需求下，工作站1是不会主动发送ARP请求给工作站4，所以也就捕获不到ARP的协议数据，此时要在工作站1与工作站4之间进行一次通信，如可以在工作站1上ping工作站4，即：ping10.1.103.4。5）命令执行过程结果如图12所示：实验一ARP模拟攻击测试与流量分析8图126）有ICMP数据回应后可以发现，SnifferPro已经捕获到了协议数据。选择停止并查看，结果如图13所示，工作站1发送给工作站4的ARP查询请求数据帧的具体协议数据：图13捕获到的ARP请求数据解码7）工作站4应答工作站1的ARP回应数据帧的具体协议数据格式所图14所《网络安全》实验指导9示：图14捕获到的ARP回应数据解码4、ARP协议攻击模拟下面利用SnifferPro软件进行基于ARP协议的攻击模拟，即让图1中的所有主机不能进行外网访问（无法与网关通信），下面在工作站1上实施攻击模拟，步骤如下：1)要进行模拟实施攻击，首先要构造一个数据帧，这很麻烦，这时可以捕获一个ARP的数据帧再进行改造（可以捕获一个网关的ARP数据帧）。设置SnifferPro捕获ARP通信的数据包（工作站1与网关之间）在工作站1上再次启动SnifferPro软件，并设置捕获过滤条件（DefineFilter），选择捕获ARP协议。2)要想工作站1发送ARP请求给网关，并得到ARP回应，首先启动SnifferPro捕获，然后利用”arp–d”清除ARP缓存。3)在没有互相通信需求下，工作站1是不会主动发送ARP请求给网关的，所以也实验一ARP模拟攻击测试与流量分析10就捕获不到ARP的协议数据，此时要在工作站1与网关之间进行一次通信，如可以在工作站1上ping网关，即：ping10.1.103.254。4)有ICMP数据回应后可以发现，SnifferPro已经捕获到了协议数据。选择停止并查看，在第1帧数据包（具体数据结构参见图17）上点击右键，并选择“SendCurrentFrame…”。如图15所示图15SnifferPro捕获到的工作站1发出去的ARP请求数据帧5)出现如图16所示对话框，其中的数据（Data）即是工作站1发出去查询网关MAC地ARP请求数据，已经放入发送缓冲区内，此时可以进行修改了。图16《网络安全》实验指导11图17工作站1发出去的ARP请求数据帧数据6)数据（Data）是工作站1发出去查询网关MAC地ARP请求数据，具体解释参见图18。图18图197）对工作站1发出去查询网关MAC地ARP请求数据（Data）进行如图17所示的伪造修改，即这个帧是被伪造为网关IP（10.1.103.254）地址和MAC地址（伪造为假的：112233445566）发出去的查询10.1.103.153（十六进制数为：0a016799）实验一ARP模拟攻击测试与流量分析12的MAC地址的ARP广播帧，这样所有本地网段内的主机都会收到并更新记录，以为网关（IP为10.1.103.254）的MAC地址变为了112233445566，并将这一错误关联加入各自的ARP缓存中（包括工作站自身）。8）修改后的帧缓冲区中的数据如图19所示，修改后在发送（Send）次数下选择连续发送（Continuously），发送类型（SendType）下选择每隔10毫秒一次。后点击确定，伪造的数据帧即开始按此间隔时间不断发送了，想停止发送按图11所示操作即可，这里先不停止。5、ARP模拟攻击与结果检查1）在工作站1上通过远程桌面连接到工作站4，在未发送伪造的数据帧之前工作站4是可以和网关10.1.103.254进行通信，当启动包生成器发送伪造的数据帧后，还能PING通网关了，在工作站4上用“arp-a”命令查看网关IP对应的MAC地址已经变为网络中不存在的伪造的MAC地址：112233445566。所以无法访问网关也无法进行外网连接了，如图十九所示。图20此时在工作站1上用“arp-a”命令查看网关IP对应的MAC地址也已经变为网络中不《网络安全》实验指导13存在的伪造的MAC地址：112233445566。2）此时，停止发送伪造帧，即停止攻击，并分别在两台工作站上执行“arp-d”命令，重新PING网关后又可以进行连接并访问外网了。至此针对ARP协议的分析、捕获与模拟攻击过程结束。6、流量分析1）在工作站1上开启SnifferPro并设置对ARP协议进行捕获，启动捕获。2）开启WinArpAttacker软件，先进行Scan扫描本局域网内的存活主机。在要攻击的目标主机前选中，然后选择Attack-BanGateway。这里选择两