中国人民公安大学
Chinese people’ public security university
网络对抗技术
实验报告
实验二
网络嗅探与欺骗
学生姓名 王翘楚
年级 2018级
区队 五区队
指导教师 高见
信息技术与网络安全学院
2016年11月7日
实验任务总纲
2020—2021 学年 第 一 学期
一、实验目的
1.加深并消化本课程授课内容,复习所学过的互联网搜索技巧、方法和技术;
2.了解并熟悉常用的网络嗅探方式,掌握常用抓包软件的使用方法和过滤技巧,能够对给定的数据包分析网络基本行为;掌握ARP欺骗的基本原理,以及基于ARP欺骗的DNS攻击方式;
3.达到巩固课程知识和实际应用的目的。
二、实验要求
1.认真阅读每个实验内容,需要截图的题目,需清晰截图并对截图进行标注和说明。
2.文档要求结构清晰,图文表达准确,标注规范。推理内容客观、合理、逻辑性强。
3.软件工具可使用office2003或2007、CAIN、Wireshark等。
4.实验结束后,保留电子文档。
三、实验步骤
1.准备
提前做好实验准备,实验前应把详细了解实验目的、实验要求和实验内容,熟悉并准备好实验用的软件工具,按照实验内容和要求提前做好实验内容的准备。
2.实验环境
描述实验所使用的硬件和软件环境(包括各种软件工具);
开机并启动软件office2003或2007、浏览器、Wireshark、CAIN。
工具下载地址:
CAIN https://pan.baidu.com/s/19qDb7xbj1L_2QnoPm71KzA
Wireshark 链接:https://pan.baidu.com/s/1BeXghjVV9Mll_cAmeMCTPg 密码:mbpv
迷你FTP https://pan.baidu.com/s/16ms4hXVOmMHhDEe3WraRHQ
NetworkMiner https://pan.baidu.com/s/14e3VluLPjWFKxqNhdpYO9Q
3.实验过程
1)启动系统和启动工具软件环境。
2)用软件工具实现实验内容。
4.实验报告
按照统一要求的实验报告格式书写实验报告。把按照模板格式编写的文档嵌入到实验报告文档中,文档按照规定的书写格式书写,表格要有表说图形要有图说。
第一部分 ARP欺骗
1.两个同学一组,进行实验拓扑环境如下图所示。
2.欺骗攻击前后,通过Arp-a命令验证欺骗是否成功(附截图)
3.欺骗过程中,在主机A开启Wireshark进行抓包,分析APR欺骗攻击过程中的数据包特点。(附截图)
4.欺骗过程中,在主机C开启Wireshark进行抓包,分析FTP协议的登录过程(附流程图)
5.欺骗完成后,主机C成功获取FTP用户名和密码(附截图)
第1-6实验设备如下:
攻击目标:虚拟机配置如图
IP地址为192.168.222.129,默认网关地址为192.168.222.2
攻击者:本机配置如图
IP地址为192.168.222.1
(一)ARP欺骗攻击过程展示
1、查询受害主机被欺骗前的状态
ARP欺骗前192.168.222.129机正常缓存表
2、在192.168.222.1号机器上运行Evil FOCA,选择嗅探的网卡
3、嗅探到了攻击目标192.168.222.129,攻击目标的默认网关地址192.168.222.2,以及攻击目标的DHCP服务器地址192.168.222.254
4、选择MITM IPv4下的ARP spoofing,添加默认网关地址192.168.222.2,攻击目标IP地址192.168.222.129
5、点击start图标开始ARP欺骗
下图为欺骗开始后在192.168.222.129机器上用arp –a命令查询本机arp缓存表的情况,会发现缓存表中的网关对应的MAC地址变成了192.168.222.1号机(实施ARP欺骗的机器)的IP地址
6、欺骗过程中,在主机192.168.222.129开启Wireshark进行抓包,分析APR欺骗攻击过程中的数据包特点。
从抓到的ARP包中看出,攻击主机(即本机)一直向攻击目标和默认网关的两台主机发送ARP包,告诉这两台主机对方的MAC地址为自己的IP地址。如图中的第一条抓包记录,发送者Vmware_c0:00:08为攻击机的MAC地址,接受者Vmware_e7:ed:59为192.168.222.2主机(即被攻击主机的默认网关地址)所在MAC地址,攻击机告诉网关主机,192.168.222.129 is at 00:50:56:c0:00:08,但该MAC地址其实为攻击机的MAC地址;反之亦然。由抓包结果也可以看出,攻击机对攻击目标和其默认网关所在主机实行了ARP欺骗。
7、ftp抓包截获用户名和密码
攻击者主机A:192.168.31.36,被攻击者主机B:192.168.31.38和主机C:192.168.31.40,其中主机C上搭建了ftp服务器,设置的用户名为abc,密码为123456;主机B登录主机C的ftp服务器,同时在攻击者的主机A上开启抓包
a、首先在主机C上开启ftp服务器,设置用户名为abc,密码为123456:
图7-1 主机C上ftp服务器设置
b、接着在主机A上实行对主机B和主机C的ARP欺骗
图7-2 在主机A上利用EVIL FOCA对主机B和主机C进行ARP欺骗
c、在主机A上开启wireshark抓包,同时主机B登录主机C的ftp服务器
图7-3 主机B登录主机C:192.168.31.40的ftp服务器
d、在主机A上进行wireshark抓包分析
图7-2 在主机A上用wireshark进行抓包
从抓包结果来看,能够获取主机B登录主机C的ftp服务器时输入的用户名和密码
(二)DNS欺骗
沿用(一)中第7部分的攻击模式
攻击机主机A:192.168.31.36
被攻击者主机B:192.168.31.38
主机B正常访问网站www.baidu.com,主机扮演攻击者,设计攻击方法,使用Evil FOCA,通过DNS欺骗的方式,让虚拟机访问www.baidu.com网址的时候,访问到另外一台机器上的伪造网站
1、在Evil FOCA中添加欺骗选项
设置网站www.baidu.com的IP地址为1.1.1.1
2、开始ARP欺骗后,首先使用指令ipconfig /flushdns指令清空DNS缓存,然后在攻击目标上ping该网址
发现www.baidu.com的IP地址变成了1.1.1.1,DNS欺骗成功
(三)FTP协议分析
- 两个同学一组,A和B。
2.A同学架设FTP服务器,并设置用户名和密码,例如gao / gao
3.B同学在机器中安装Wireshark,并将其打开;之后用用户名和密码登陆A同学的FTP服务器,并上传一张图片和一个压缩包。
4.B同学停止Wireshark抓包,并和A同学一起分析数据包中的FTP登录过程,还原登录用户名和密码,以及上传文件。
在我的主机上建设ftp服务器,设置用户名为123,密码为123456;
另一名同学登录ftp服务器,并且上传图片111.png,上传压缩包222.rar
分析wireshark的抓包情况
在另一名同学主机上登录我的主机的ftp服务器
(1)用户名和密码的tcp追踪流
可以分析出用户名为123,密码为123456
(2)查看上传的图片和邮件
使用指令ftp-data查看上传的数据流
可以看出上传过111.png图片和222.rar压缩包
(3)还原ftp传输的文件
a、还原图片
b、还原压缩包
