网络安全工程实验指导书

网络安全工程实验指导书内容摘要：

62端 ip 数据流是通过 nat 进行传输。 （ 4）在 3660 上扩展 ping， source destination ，通过。 查看 show cry ip sa，可以发现数据通过加密进行传输。 在 1720 上打开 deb ip icmp，可以看到 echo reply信息的 dst 地址为 （ vpn client 从 vpn server 获取的 ip 地址）。 （ 5）在 3660 上扩展 ping， source destination ，不通。 网络安全工程实验指导书 14 实验二：网络 攻击 和应对 一．实验学时： 4学时 二． 实验目的： 攻击和防御是目前业内被讨论的最为热烈的安全实验室内容，通过本实验，学生可以了解到各种流行的网络攻击行为以及如何去进行这些安全事件的防御。 三．实验内容： 1． DHCP 攻击及应对 实验 2． MAC 地址的攻击及应对实验 3． ARP 欺骗的攻击及应对实验 4． SYN FLOOD 攻击及应对实验 四． 实验参考拓扑图 五．实验步骤 DHCP 攻击 （ 1）木马被安装在被感染的机器上，并在局域网中运行 DHCP 服务。 当其他机器请求一个新的 IP 地址时，该服务伪造 DHCP 数据包应答。 如果幸运的话，木马抢在真正的 DHCP服务器之前发出 DHCP 数据包，那它将修改其他计算机的网络配置。 （ 2）下图是一个网络嗅探工具详细的显示了一台被 感染的机器（地址 ）到底对所在的网络有何影响。 当一台正常的机器（地址 ）在更新它的 IP 地址（例如在 Windows 系统中使用 ipconfig /release 和 ipconfig /renew）时，它发送一个 DHCP 释放数据包然后尝试寻找 DHCP 服务器以便获得新的网络配置。 请求得到的配置将包括所有重要的信息，任何设备（ PC, Mac, Smartphone 等）都需要这些配置来接 网络安全工程实验指导书 15 入 Inter，这些信息中尤为重要的是 DNS 服务器的地址。 在一个正常的网络中我们应该看到只有合法的 DHCP 服务 器（ ）向请求端发送 DHCP OFFER 包。 然而感染木马的机器抢先发出另一个 DHCP OFFER 数据包。 感染木马的机器发出的数据包首先到达 DHCP 客户端；因此，它取代了真实的 DHCP服务器并且最终分配给客户端如下所示的 IP 配置信息： 很明显，受感染机器已经分配给这个正常的机器 （正常并且没有受到任何威胁被感染） IP 配置，现在配置中包含着一些熟知的流氓 DNS 服务器地址： 和。 按照这些 DNS 服务器的 解析进行的 Inter 访问只能出现非常糟糕的结果，这样的结果大部分都与 DNS ―changer Trojans‖ 相关，它包括了 Zlob 和 Mac OS X。 一旦 DNS 服务器被修改，攻击者可以把你的计算机重定向到任何的恶意网站或者钓鱼网站（例如，你输入 而你的计算机却访问 ―‖这个主机）。 网络安全工程实验指导书 16 ARP 欺骗与应对 在虚拟机 2 上安装 ―网络执法官 ‖软件，破坏虚拟机 1 和真实机之间的正常通信，实验步骤如下 ： （ 1） 正确配置各计算机的 IP 地址。 虚拟机 1 的网卡类型 Bridged， IP 地址是，掩码 ，网关 ， DNS 是。 虚拟机 2 的网卡类型 Bridged， IP 地址是 ，掩码 ，网关 ， DNS 是。 真实机的 IP 地址是 ，掩码 ，网关 ， DNS是。 （ 2） 在虚拟机 2 上安装 WinPcap。 解压缩 ―网络执法官 .rar‖文件，双 击 ―‖文件，开始安装 WinPcap。 在虚拟机 2 上安装网络执法官软件。 双击 ―网络执法官 破解版 .exe‖文件开始安装网络执法官。 （ 3） 运行网络执法官。 第一次运行执法官，打开对话框，提示进行监控参数选择。 因为只有一块网块，选中最上面的网卡复选框，单击 ―确定 ‖按钮。 打开监控范围选择对话框，在指定监控范围中列出网卡所在子网的所有可用 IP 地址，单击 ―添加 /修改 ‖，把范围加入后，单击 ―确定 ‖按钮。 （ 4） 攻击前测试。 在虚拟机 1 上，打开 DOS 窗口，输入 ping –t，持续的ping 真实机的 IP 地址，可以发现是通的。 不要关闭该窗口。 （ 5） 开始攻击。 网络执法官软件可以监测到同一个子网中所有在线的主机，在网络执法官的管理界面中，右键单击真实机，从快捷菜单中选择 ―手工管理 ‖。 选中第三个选项 ―禁止与所有其他主机 …‖ ，单击 ―开始 ‖，此时可以发现虚拟机 1 和真实机之间的 ping 测试开始提示 ―Request timed out‖，通信中断了。 实际环境中，还可以只选中 ―禁止与关键主机连接 …‖ ，然后单击 ―关键主机 ‖，加入网关的地址，这样被攻击计算机只会中断与网关的连接，和局域网内计 算机之间的通信不会中断。 防范和解决 ARP 攻击 方法 1：经过判断已经发现存在 ARP 攻击，如果攻击持续存在，在受害的计算机上执行 ―arp –d‖后，再执行 ―arp –a‖， –a 的作用是显示该计算机上的所有 ARP 缓存。 从中我们可能会发现有几条记录，其中一个记录是网关或要访问的目标主机，还有一条其他记录，也可能有几条。 多执行几次 ―arp –d‖、 ―arp –a‖，总结一下，出现最多的那条记录基本上就是 ARP攻击者的真实 IP 地址。 方法 2：在目标设备和受害计算机上分别进行 IP 地址和 MAC 地址的静态绑定。 网络安全工程实验指导书 17 例如 ，在计算机上执行： ―arp –s 00aa0062c609‖， 在路由或交换设备上执行： ―Cisco6509(config) arp ARPA‖ 把要保护的目标设备的 IP 地址和 MAC 地址进行绑定，使非法的 ARP 攻击无孔可入。 并不是每一个用户都有权在网关设备上把自己使用的 IP 地址和 MAC 地址进行绑定，但用户至少可以做到的是在自己的计算机上把网关的 IP 地址和 MAC 地址进行绑定，最好做成一个批处理文件，每次计算机启动时都执 行该文件，使用这种方法可以有效的避免上述的第二种泄密攻击。 方法 3：采用动态 ARP 检察技术，结合 DHCP 的功能，实现 IP 和 MAC 的自动绑定。 该方法和方法 2 类似，但绑定是自动完成的，可以在接入层交换机上部署，非法的 ARP 包将被交换机丢弃。 SYN FLOOD 攻击与应对 攻击： （ 1）在 局域网环境，有一台攻击机（ PIII667/128/mandrake），被攻击的是一台 Solaris (spark)的主机，网络设备是 Cisco 的百兆交换机。 在攻击并未进行之前，目标主机上接到的基本上都是一些普通的网络 包。 （ 2） 攻击机开始发包， DDoS 开始了， sun 主机上的 snoop 窗口开始飞速地翻屏，显示出接到数量巨大的 Syn 请求。 这时收不到刚才那些正常的网络包，只有 DDoS 包。 这时候被攻击机已经不能响应新的服务请求了，系统运行非常慢，也无法 ping 通。 用 iptables 对付 synflood 攻击 ： 在局域网内进行了一系列攻击实验 ,其中两台攻击计算机 (Win 2020) ,一台检测计算机(RedHatL inux)。 检测计算机内已有 iptables 规则脚本 ,主要测试文件到 iptables 的数据传递 ,故默认入 侵检测系统发现攻击 ip 地址并写入文件列表。 在发生攻击时 ,必定有大量的网络会话处在 SYN_RECV 状态 ,采用以下命令查看处于半连接状态的 TCP 会话 : stat nat | grep SYN_RECVtcp 0 0 10. 10. 138. 121: 1763 10. 10. 138. 52: 631 SYN_RECVtcp 0 0 10. 10. 138. 121: 859 10. 10. 138. 52: 631 SYN_RECVtcp 0 0 10. 10. 138. 121: 5278 10. 10. 138. 52: 631 SYN_RECVtcp 0 0 10. 10. 138. 121: 1425 10. 10. 138. 52: 631 SYN_RECVtcp 0 0 10. 10. 138. 121: 1698 10. 10. 138. 52: 631 SYN_RECVtcp 0 0 10. 10. 138. 121: 8653 10. 10. 138. 52: 631 SYN_RECV„„„„„„„„„ 启动脚本后 ,再次输入以上命令 :stat nat |grep SYN_RECV。 此时 ,查找不到在网络连 网络安全工程实验指导书 18 接中处于 SYN_RECV 状态的会话 （ 在 WINDOWS 系统中是 SYN_RECEIVED 状态 ） ,显示处于半连接状态的数据报都已经过滤 ,也就是系统成功地抵抗了 SYNFlood 攻击。 在实际测试中 ,采用多台计算机同时对主机进行攻击来模拟大流量、高强度 SYN Flood 攻击的复杂环境 ,同样取得了比较理想的结果。 网络安全工程实验指导书 19 实验三：网络 入侵 检测 一．实验学时： 4学时 二． 实验目的： 通过网络入侵检测实验，学生可以学习到如何识别各种安全事件，以及各 种安全事件的特性，能够较为熟练的应用一些典型的 IDS 系统及工具。 三．实验内容： 了解协议分析的方法，掌握 Sniffer 软件的使用。 学习网络数据捕获、分析及处理的方法与技术。 四． Sniffer简介： Sniffer（嗅探器）是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。 Snifffer 可以作为能够捕获网络报文的设备 ,ISS 为 Sniffer 这样定义： Sniffer 是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。 Sniffer 的正当用处主要是分析 网络的流量 ,以便找出所关心的网络中潜在的问题。 例如 ,假设网络的某一段运行得不是很好 ,报文的发送比较慢 ,而我们又不知道问题出在什么地方 ,此时就可以用嗅探器来作出精确的问题判断。 在合理的网络中， sniffer 的存在对系统管理员是致关重要的，系统管理员通过 sniffer 可以诊断出大量的不可见模糊问题，这些问题涉及两台乃至多台计算机之间的异常通讯有些甚至牵涉到各种的协议，借助于 sniffer， 系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪台主机、报文发送 占用多少时间、或着相互主机的报文传送间隔时间等等，这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。 嗅探器与一般的键盘捕获程序不同。 键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获真实的网络报文。 为了对 sniffer 的工作原理有一个深入的了解，我们先简单介绍一下 HUB 与网卡的原理。 1． HUB 工作原理 由于以太网等很多网络（常见共享 HUB 连接的内部网）是基于总线方式，物理上是广播的，当一个机器发给另一个机器的数据 时 ，共享 HUB 先收到然后把它接收到的数据再发给其他的（ 源 口不发 送 ）每一个口，所 以在共享 HUB 下面同一网段的所有机器的网卡都能接收到 该 数据。 网络安全工程实验指导书 20 交换式 HUB 的内部单片程序能记住每个口的 MAC 地址， 根据 MAC 地址把数据发往对应目的机器端口 ，而不是像共享 HUB 那样发给所有的口，所以交换 HUB 下只有 应 该接收数据的机器的网卡 才 能接收到数据，当然广播包还是发往所有口。 显然共享 HUB 的工作模式使得两个机器传输数据时 ， 其他机器别的口也 被 占用了，所以共享 HUB 决定了同一网段同一时间只能有两个机器进行数据通信，而交换 HUB 两个机器传输数据的时候别的口没有占用，所以别的口之间也可以同时传输。 这就是共享 HUB 与交换 HUB 不同的两个地方，共享 HUB 是同一时间只能一个机器发数据并且所有机器都可以接收，只要不是广播数据交换 HUB 同一时间可以有对机器进行数据传输并且数据是私有的。 2． 网卡工作原理 再讲讲网卡的工作原理。 网卡收到传输来的数据，网卡内的单片程序先接收数据头的目的 MAC 地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就在接收后产生中断信号通知 CPU，认为不该接收就丢弃不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。 CPU 得到中断信号产生中断，操作系统就根据网卡驱动程序中设置 的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。 3． 局域网如何工作 数据在网络上是以很小的称为帧 (Frame)的单位传输的。 帧由好几部分组成，不同的部分执行不同的功能。 例如，以太网的前 12 个字节存放的是源和目的的 MAC 地址，这些 内容 告诉网络：数据的来源和去处。 以太网帧的其他部分存放实际的用户数据、 TCP/IP 的报文头或 IPX。