網(wǎng)絡(luò)安全技術(shù)實(shí)踐教程（微課版）-教案 網(wǎng)絡(luò)嗅探技術(shù)

《網(wǎng)絡(luò)安全技術(shù)實(shí)踐教程》教案授課單位：授課時(shí)間：授課班級(jí)：授課教師：年月日教案12（第12號(hào)/17號(hào)）課程名稱網(wǎng)絡(luò)安全技術(shù)實(shí)踐授課日期、節(jié)次班級(jí)課堂類型理論+實(shí)踐地點(diǎn)章節(jié)（任務(wù)）名稱任務(wù)6.1網(wǎng)絡(luò)嗅探、6.2MAC地址泛洪攻擊教學(xué)目標(biāo)知識(shí)目標(biāo)1.掌握網(wǎng)絡(luò)嗅探技術(shù)的基本概念、原理和工作機(jī)制。2.了解嗅探器的工作原理，以及其在網(wǎng)絡(luò)中的作用和影響。3.熟悉網(wǎng)絡(luò)協(xié)議和通信過程，以及嗅探器如何捕獲和分析數(shù)據(jù)包。能力目標(biāo)1.能夠熟練使用網(wǎng)絡(luò)嗅探工具進(jìn)行數(shù)據(jù)包的捕獲和分析。2.能夠綜合運(yùn)用MAC地址洪泛攻擊實(shí)現(xiàn)復(fù)雜網(wǎng)絡(luò)環(huán)境下的嗅探。素質(zhì)目標(biāo)1.培養(yǎng)學(xué)生樹立網(wǎng)絡(luò)安全意識(shí)，保護(hù)個(gè)人和組織的信息安全。2.培養(yǎng)學(xué)生分析問題和解決問題的能力。3.培養(yǎng)學(xué)生的團(tuán)隊(duì)合作精神和溝通能力。學(xué)情分析授課對(duì)象：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)學(xué)生，包括中職與普高混合班。學(xué)生特點(diǎn)：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)學(xué)生，基礎(chǔ)知識(shí)存在差異，需針對(duì)性講解與實(shí)踐操作結(jié)合。學(xué)習(xí)習(xí)慣：偏愛實(shí)踐性強(qiáng)的課程，理論學(xué)習(xí)興趣較低。樂于通過案例和互動(dòng)式教學(xué)理解知識(shí)點(diǎn)。重難點(diǎn)分析教學(xué)重點(diǎn)1.網(wǎng)絡(luò)嗅探技術(shù)的原理和工作機(jī)制。2.MAC地址洪泛攻擊原理。教學(xué)難點(diǎn)嗅探器如何捕獲和分析數(shù)據(jù)包MAC地址洪泛攻擊的實(shí)現(xiàn)信息化應(yīng)用方法通過課件、視頻、案例分析、互動(dòng)提問等多種信息化方式，借助學(xué)習(xí)通平臺(tái)發(fā)布學(xué)習(xí)資源和任務(wù)，學(xué)生自主學(xué)習(xí)并完成任務(wù)。課程思政元素1.法律意識(shí)。未經(jīng)授權(quán)的情況下，網(wǎng)絡(luò)嗅探可能會(huì)侵犯?jìng)€(gè)人隱私和社會(huì)安全，屬于違法行為。2.服務(wù)意識(shí)。塑造職業(yè)精神，使學(xué)生形成運(yùn)用所學(xué)專業(yè)知識(shí)為社會(huì)貢獻(xiàn)的責(zé)任感。3.工匠精神。鍛煉學(xué)生實(shí)事求是的工作態(tài)度，培養(yǎng)學(xué)生嚴(yán)謹(jǐn)細(xì)致的工作作風(fēng)、精益求精的工匠精神。教學(xué)實(shí)施過程課前：平臺(tái)發(fā)布網(wǎng)絡(luò)嗅探技術(shù)任務(wù)1任務(wù)2學(xué)習(xí)任務(wù)，學(xué)生預(yù)習(xí)。課中：導(dǎo)入新課某學(xué)校網(wǎng)絡(luò)信息中心近期發(fā)現(xiàn)其內(nèi)部網(wǎng)絡(luò)中出現(xiàn)了異常流量，懷疑有人利用網(wǎng)絡(luò)嗅探技術(shù)竊取學(xué)校信息。由于眾智科技正在進(jìn)行該校的等保測(cè)評(píng)工作，學(xué)校便委托眾智科技針對(duì)此事件展開調(diào)查。公司安排工程師小林分析網(wǎng)絡(luò)異常流量數(shù)據(jù)，確定是否存在嗅探攻擊，定位嗅探攻擊的來源，然后確定攻擊者的身份。任務(wù)一知識(shí)點(diǎn)講解1網(wǎng)絡(luò)嗅探簡(jiǎn)介網(wǎng)絡(luò)嗅探是指利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種手段。網(wǎng)絡(luò)嗅探需要用到嗅探器，其最早為網(wǎng)絡(luò)管理員使用的技術(shù)工具。有了嗅探器，網(wǎng)絡(luò)管理員可以實(shí)時(shí)掌握網(wǎng)絡(luò)的實(shí)際情況，查找網(wǎng)絡(luò)漏洞和檢測(cè)網(wǎng)絡(luò)性能。當(dāng)網(wǎng)絡(luò)性能急劇下降的時(shí)候，網(wǎng)絡(luò)管理員可以通過嗅探器分析網(wǎng)絡(luò)流量，找出網(wǎng)絡(luò)阻塞的原因。網(wǎng)絡(luò)嗅探是網(wǎng)絡(luò)監(jiān)控系統(tǒng)的實(shí)現(xiàn)基礎(chǔ)。網(wǎng)絡(luò)的特點(diǎn)之一就是數(shù)據(jù)總是在流動(dòng)，從一處到另一處，而互聯(lián)網(wǎng)是由錯(cuò)綜復(fù)雜的各種網(wǎng)絡(luò)交匯而成的，當(dāng)數(shù)據(jù)從網(wǎng)絡(luò)中的一臺(tái)計(jì)算機(jī)到另一臺(tái)計(jì)算機(jī)的時(shí)候，通常會(huì)經(jīng)過大量不同的網(wǎng)絡(luò)設(shè)備，使用traceroute命令可以看到具體的路徑。在數(shù)據(jù)傳輸過程中，如果設(shè)備的網(wǎng)卡被置于混雜模式，該網(wǎng)卡將能接收到一切通過它的數(shù)據(jù)，而不管實(shí)際上數(shù)據(jù)的目的地址是不是自身。這就意味著，假如傳送的數(shù)據(jù)是企業(yè)的機(jī)密文件，或是賬戶密碼，就存在被黑客嗅探并截獲的風(fēng)險(xiǎn)。網(wǎng)絡(luò)嗅探主要可在兩種網(wǎng)絡(luò)中實(shí)現(xiàn)。一種是交換式網(wǎng)絡(luò)：在這種網(wǎng)絡(luò)下，需將嗅探器放到網(wǎng)絡(luò)連接設(shè)備（如網(wǎng)關(guān)服務(wù)器、路由器）上或者放到可以控制網(wǎng)絡(luò)連接設(shè)備的計(jì)算機(jī)上。當(dāng)然，要實(shí)現(xiàn)偵聽效果，需要借助于交換機(jī)的鏡像功能，將所有需要的數(shù)據(jù)鏡像到監(jiān)控端口，也可通過其他黑客技術(shù)來實(shí)現(xiàn)該效果。另一種是共享式網(wǎng)絡(luò)：針對(duì)共享式連接的局域網(wǎng)，嗅探器放到任意一臺(tái)主機(jī)上就可以實(shí)現(xiàn)對(duì)整個(gè)局域網(wǎng)的偵聽。共享式網(wǎng)絡(luò)集線器設(shè)備接收到數(shù)據(jù)時(shí)，并不是直接將其發(fā)送到指定主機(jī)，而是通過廣播方式將其發(fā)送到每臺(tái)主機(jī)，局域網(wǎng)內(nèi)所有主機(jī)都會(huì)收到數(shù)據(jù)信息，存在安全隱患。網(wǎng)絡(luò)嗅探技術(shù)是一把雙刃劍，作為管理工具，其可以監(jiān)視網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)流量以及信息傳輸?shù)龋W(wǎng)絡(luò)嗅探技術(shù)也常被黑客用于竊聽網(wǎng)絡(luò)中流經(jīng)的數(shù)據(jù)包，獲取敏感信息，如用戶正在訪問什么網(wǎng)站、用戶的郵箱密碼是多少等。很多攻擊方式（如會(huì)話劫持）都是建立在網(wǎng)絡(luò)嗅探的基礎(chǔ)上的，網(wǎng)絡(luò)嗅探技術(shù)是一種很重要的網(wǎng)絡(luò)攻防技術(shù)，屬于被動(dòng)攻擊技術(shù)，具有隱蔽性。2常用的網(wǎng)絡(luò)嗅探工具工具分為軟件和硬件兩種，這里主要介紹常用的網(wǎng)絡(luò)嗅探軟件，主要有以下幾種。1．WiresharkWireshark是最經(jīng)典、最著名的網(wǎng)絡(luò)分析器和密碼破解工具之一，它是一個(gè)開源免費(fèi)的高性能網(wǎng)絡(luò)協(xié)議分析軟件，前身為網(wǎng)絡(luò)協(xié)議分析軟件Ethereal。通常，技術(shù)人員使用Wireshark對(duì)網(wǎng)絡(luò)進(jìn)行故障排查、檢查安全問題，以及了解有關(guān)網(wǎng)絡(luò)協(xié)議內(nèi)部的更多信息，同時(shí)也可以將其作為學(xué)習(xí)各種網(wǎng)絡(luò)協(xié)議的教學(xué)工具等。Wireshark支持現(xiàn)在市面上的絕大多數(shù)以太網(wǎng)網(wǎng)卡，以及主流的無線網(wǎng)卡。Wireshark具有如下特點(diǎn)。（1）支持多種操作系統(tǒng)平臺(tái)，可以運(yùn)行于Windows、Linux、MacOSX10.5.5、Solaris和FreeBSD等操作系統(tǒng)平臺(tái)上。（2）支持超過上千種網(wǎng)絡(luò)協(xié)議，并且還會(huì)不斷地增加對(duì)新協(xié)議的支持。（3）支持實(shí)時(shí)捕捉數(shù)據(jù)，可在離線狀態(tài)下對(duì)其進(jìn)行分析。（4）支持對(duì)VoIP（VoiceoverIP，互聯(lián)網(wǎng)電話）數(shù)據(jù)包進(jìn)行分析。（5）支持對(duì)通過IPsec、ISAKMP（InternetSecurityAssociationandKeyManagementProtocol，互聯(lián)網(wǎng)安全聯(lián)合密鑰管理協(xié)議）、Kerberos、SNMPv3、SSL/TLS（TransportLayerSecurity，傳輸層安全協(xié)議）、WEP（WiredEquivalentPrivacy，有線等效保密）和WPA（WiFiProtectedAccess，WiFi保護(hù)接入）/WPA2等協(xié)議加密的數(shù)據(jù)包進(jìn)行解密。（6）可以實(shí)時(shí)獲取來自以太網(wǎng)、IEEE802.11、PPP（Point-to-PointProtocal，點(diǎn)到點(diǎn)協(xié)議）/HDLC（High-levelDataLinkControl，高級(jí)數(shù)據(jù)鏈路控制）、ATM（AsynchronousTransferMode，異步傳輸方式）、藍(lán)牙、令牌環(huán)和FDDI（FiberDistributedDataInterface，光纖分布式數(shù)據(jù)接口）等網(wǎng)絡(luò)中的數(shù)據(jù)包。（7）支持讀取和分析許多其他網(wǎng)絡(luò)嗅探軟件保存的文件，包括tcpdump、SnifferPro、EtherPeek、MicrosoftNetworkMonitor和CiscoSecureIDS等軟件。（8）支持以各種過濾條件進(jìn)行捕捉，支持通過設(shè)置顯示過濾來顯示指定的內(nèi)容，并能以不同的顏色顯示過濾后的報(bào)文。（9）具有網(wǎng)絡(luò)報(bào)文數(shù)據(jù)統(tǒng)計(jì)功能。（10）可以將捕捉到的數(shù)據(jù)導(dǎo)出為XML、PostScript、CSV及普通文本文件格式。2．tcpdumptcpdump是一個(gè)老牌的使用頻繁的網(wǎng)絡(luò)協(xié)議分析軟件，它是一個(gè)基于命令行的工具。tcpdump通過使用基本的命令表達(dá)式，來過濾網(wǎng)卡上要捕捉的流量。它支持現(xiàn)在市面上的絕大多數(shù)以太網(wǎng)適配器。tcpdump是一個(gè)工作在被動(dòng)模式下的嗅探器。我們可以用它在Linux系統(tǒng)下捕獲網(wǎng)絡(luò)中進(jìn)出某臺(tái)主機(jī)接口卡的數(shù)據(jù)包，或者整個(gè)網(wǎng)絡(luò)段中的數(shù)據(jù)包，然后對(duì)這些捕獲到的網(wǎng)絡(luò)協(xié)議（如TCP、ARP）數(shù)據(jù)包進(jìn)行分析和輸出，來發(fā)現(xiàn)網(wǎng)絡(luò)中正在發(fā)生的各種狀況。tcpdump可以很好地運(yùn)行在UNIX、Linux和MacOSX操作系統(tǒng)上，可以從官網(wǎng)下載它的二進(jìn)制包。tcpdump在Windows系統(tǒng)下的版本名稱為Windump，它也是一個(gè)免費(fèi)的基于命令行的網(wǎng)絡(luò)分析協(xié)議軟件。3．dsniffdsniff是一個(gè)非常強(qiáng)大的網(wǎng)絡(luò)嗅探軟件套件，它是最先將傳統(tǒng)的被動(dòng)嗅探方式向主動(dòng)嗅探方式改進(jìn)的網(wǎng)絡(luò)嗅探軟件之一。dsniff中包含許多具有特殊功能的網(wǎng)絡(luò)嗅探軟件，這些特殊的網(wǎng)絡(luò)嗅探軟件可以使用一系列的主動(dòng)攻擊方法，將網(wǎng)絡(luò)流量重新定向到嗅探器主機(jī)，使得嗅探器有機(jī)會(huì)捕獲到網(wǎng)絡(luò)中某臺(tái)主機(jī)或整個(gè)網(wǎng)絡(luò)的流量。這樣一來，我們就可以將dsniff在交換或路由的網(wǎng)絡(luò)環(huán)境中，以及在撥號(hào)上網(wǎng)的環(huán)境中使用。甚至，當(dāng)安裝有dsniff的嗅探器不直接連接到目標(biāo)網(wǎng)絡(luò)當(dāng)中，它依然可以通過遠(yuǎn)程的方式捕獲到目標(biāo)網(wǎng)絡(luò)中的網(wǎng)絡(luò)報(bào)文。dsniff支持Telnet、FTP、SMTP、POPv3（PostOfficeProtocolversion3，郵局協(xié)議第3版）、HTTP，以及其他的一些高層網(wǎng)絡(luò)應(yīng)用協(xié)議。它的套件當(dāng)中，有一些網(wǎng)絡(luò)嗅探軟件具有特殊的竊取密碼的方法，可以用來支持對(duì)使用SSL和SSH加密的數(shù)據(jù)進(jìn)行捕獲和解密。dsniff支持現(xiàn)在市面上的絕大多數(shù)以太網(wǎng)網(wǎng)卡。4．EttercapEttercap是一個(gè)高級(jí)網(wǎng)絡(luò)嗅探軟件，它可以在使用交換機(jī)的網(wǎng)絡(luò)環(huán)境中使用。Ettercap能夠?qū)Υ蠖鄶?shù)的網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包進(jìn)行解碼，不論數(shù)據(jù)包是否加密過。它也支持現(xiàn)在市面上的絕大多數(shù)以太網(wǎng)網(wǎng)卡。Ettercap擁有一些獨(dú)特的方法，以捕獲主機(jī)或整個(gè)網(wǎng)絡(luò)的流量，并對(duì)這些流量進(jìn)行相應(yīng)的分析。5．ScapyScapy是一種非常流行且有用的數(shù)據(jù)包制作工具，可通過處理數(shù)據(jù)包來工作，可解碼來自多種協(xié)議的數(shù)據(jù)包。Scapy能夠捕獲數(shù)據(jù)包、關(guān)聯(lián)發(fā)送請(qǐng)求和答復(fù)等。Scapy還可以用于掃描、跟蹤路由、探測(cè)或發(fā)現(xiàn)網(wǎng)絡(luò)。Scapy可替代其他工具，如Nmap、arpspoof、tcpdump、p0f等。6．KismetKismet是一款開源的無線網(wǎng)絡(luò)嗅探器和入侵檢測(cè)系統(tǒng)，能夠捕獲和分析IEEE802.11無線網(wǎng)絡(luò)流量。Kismet不依賴被動(dòng)模式的無線網(wǎng)卡，可以在不發(fā)送任何數(shù)據(jù)包的情況下監(jiān)控?zé)o線網(wǎng)絡(luò)，這使得它成為一款極其強(qiáng)大的無線網(wǎng)絡(luò)分析工具。它的主要特點(diǎn)如下。（1）被動(dòng)嗅探：無需發(fā)送數(shù)據(jù)包即可捕獲無線網(wǎng)絡(luò)流量。（2）多協(xié)議支持：支持IEEE802.11、Bluetooth、RTL433和其他無線協(xié)議。（3）擴(kuò)展性強(qiáng)：支持插件和外部工具，能夠擴(kuò)展其功能。（4）實(shí)時(shí)檢測(cè)：實(shí)時(shí)檢測(cè)和報(bào)告無線網(wǎng)絡(luò)中的設(shè)備和活動(dòng)。（5）跨平臺(tái)：支持Linux、macOS和Windows系統(tǒng)。7．NetworkMinerNetworkMiner由網(wǎng)絡(luò)安全軟件供應(yīng)商N(yùn)etresec創(chuàng)建。Netresec專門研究、開發(fā)用于網(wǎng)絡(luò)取證和網(wǎng)絡(luò)流量分析的軟件和程序。NetworkMiner常被用作被動(dòng)嗅探器或數(shù)據(jù)包捕獲工具，以檢測(cè)各種會(huì)話、主機(jī)名、開放端口、操作系統(tǒng)等。它還可用于解析PCAP文件以進(jìn)行脫機(jī)分析，并能夠重組傳輸?shù)臄?shù)據(jù)文件并從PCAP文件進(jìn)行認(rèn)證。在以太網(wǎng)中，有一些網(wǎng)絡(luò)嗅探軟件也是比較常用的。例如，SnifferPro網(wǎng)絡(luò)協(xié)議分析軟件，它可以在多種平臺(tái)下運(yùn)行，用來對(duì)網(wǎng)絡(luò)運(yùn)行狀況進(jìn)行實(shí)時(shí)分析，而且具有豐富的圖示功能；Analyzer，它是一個(gè)運(yùn)行在Windows操作系統(tǒng)下的免費(fèi)的網(wǎng)絡(luò)嗅探軟件。另外，還有一些商用的網(wǎng)絡(luò)嗅探軟件，需要支付一定的費(fèi)用才能使用，但功能也更加強(qiáng)大。3網(wǎng)絡(luò)嗅探的危害與防范在網(wǎng)絡(luò)中，黑客可能會(huì)用網(wǎng)絡(luò)嗅探來做一些危害網(wǎng)絡(luò)安全的事。他們能夠捕獲專用的或者機(jī)密的信息，例如金融賬號(hào)等。許多用戶過于放心地在網(wǎng)上使用自己的信用卡或現(xiàn)金賬號(hào)，然而sniffer可以很輕松地截獲在網(wǎng)上傳送的用戶姓名、口令、信用卡號(hào)碼、賬號(hào)等。此外，黑客可以通過攔截?cái)?shù)據(jù)包偷窺機(jī)密或敏感的信息，甚至攔截整個(gè)會(huì)話過程。為了有效抵御網(wǎng)絡(luò)嗅探攻擊，確保敏感信息在網(wǎng)絡(luò)中的安全傳輸，可以通過以下幾個(gè)方面進(jìn)行防范。（1）對(duì)數(shù)據(jù)進(jìn)行加密：對(duì)數(shù)據(jù)進(jìn)行加密是保障安全的必要條件，其安全級(jí)別取決于加密算法的強(qiáng)度和密鑰的強(qiáng)度。通過使用加密技術(shù)，可以防止使用明文傳輸信息。（2）實(shí)時(shí)檢測(cè)嗅探器：監(jiān)測(cè)網(wǎng)絡(luò)異常情況，及時(shí)發(fā)現(xiàn)可能存在的嗅探器。（3）使用安全的拓?fù)浣Y(jié)構(gòu)：將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，網(wǎng)絡(luò)分段越細(xì)，則安全程度越高。任務(wù)一實(shí)施步驟1．在主機(jī)上架設(shè)FTP服務(wù)器（1）打開主機(jī)控制面板下的網(wǎng)絡(luò)連接，將除了“VMwareNetworkAdapterVMnet8”網(wǎng)卡之外的所有網(wǎng)卡禁用。在主機(jī)上安裝FTP服務(wù)器軟件，設(shè)置賬戶名稱為“admin”，賬戶密碼為“123456”，并設(shè)置該用戶相應(yīng)的訪問目錄（C:\users\deng\Desktop\網(wǎng)絡(luò)嗅探）和賬戶權(quán)限，如圖6-1所示。圖6-1FTP服務(wù)器配置（2）進(jìn)入訪問目錄，新建一個(gè)名為“測(cè)試文本”的文本文件，打開文件，輸入文本內(nèi)容；然后任意添加一張JPG圖片，將其重命名為“測(cè)試圖片”，如圖6-2所示。圖6-2添加FTP服務(wù)器資源2．啟動(dòng)Wireshark嗅探器（1）在主機(jī)上啟動(dòng)Wireshark嗅探器，選擇網(wǎng)卡“VMwareNetworkAdapterVMnet8”，開始實(shí)時(shí)嗅探該網(wǎng)卡的數(shù)據(jù)流，如圖6-3所示。LINKWord.Document.8C:\\Users\\Administrator\\Desktop\\個(gè)人資料\\網(wǎng)絡(luò)安全教材編寫\\PPT制作\\ZW.docOLE_LINK2\a\r圖6-3啟動(dòng)嗅探器（2）在虛擬機(jī)靶機(jī)上訪問FTP服務(wù)器，輸入用戶名和密碼，登錄訪問目錄，打開目錄下的文本和圖片資源，如圖6-4所示。圖6-4在靶機(jī)上訪問FTP資源3．嗅探用戶名和密碼（1）在Wireshark嗅探器的過濾器搜索框中輸入“ftp”，找到FTP相關(guān)的數(shù)據(jù)包，選擇一行數(shù)據(jù)包并右擊，在彈出的快捷菜單中依次選擇“追蹤流”→“TCPStream”，如圖6-5所示。圖6-5追蹤數(shù)據(jù)流（2）在打開的窗口中，修改右下角的“流”為“1”，這樣就能夠看到用戶名和密碼信息，結(jié)果如圖6-6所示。圖6-6嗅探用戶名和密碼4．嗅探文本文件和圖片文件（1）在Wireshark嗅探器的過濾器搜索框中輸入“ftp-data”，找到FTP傳輸數(shù)據(jù)相關(guān)的數(shù)據(jù)包，選擇“Info”下擴(kuò)展名為“txt”的那一行數(shù)據(jù)包并右擊，在彈出的快捷菜單中依次選擇“追蹤流”→“TCPStream”，這樣就能看到本次FTP傳輸?shù)奈谋疚募?nèi)容。結(jié)果如圖6-7所示。圖6-7嗅探文本文件內(nèi)容（2）在上述窗口中，修改右下角的“流”為“5”，“Showdataas”選擇“原始數(shù)據(jù)”，如圖6-8所示。圖6-8嗅探到圖片文件（3）單擊“另存為…”按鈕，在打開的窗口中將文件名修改為“嗅探到的圖片”，并將文件保存至計(jì)算機(jī)中的合適位置，如圖6-9所示。圖6-9保存原始數(shù)據(jù)（4）使用010Editor軟件，單擊“打開”按鈕，選擇路徑，打開剛剛保存的文件，如圖6-10所示。圖6-10用010Editor打開文件（5）利用百度搜索到JPG文件的文件頭為“FFD8”，如圖6-11所示。圖6-11搜索JPG文件的文件頭（6）在010Editor軟件中，按快捷鍵“Ctrl+F”查找“FFD8”，在“FFD8”之后的十六進(jìn)制數(shù)據(jù)就是我們需要的圖片數(shù)據(jù)。如果“FFD8”的前面也有數(shù)據(jù)，則其是HTTP請(qǐng)求頭，可直接刪除。最終效果如圖6-12所示。圖6-12確定圖片數(shù)據(jù)（7）將修改后的文件另存為JPG格式，打開保存后的文件，即可顯示還原后的圖片，如圖6-13所示。圖6-13還原圖片任務(wù)2知識(shí)講解1MAC地址簡(jiǎn)介MAC地址也叫物理地址、硬件地址，由網(wǎng)絡(luò)設(shè)備廠商在生產(chǎn)時(shí)燒錄在網(wǎng)卡的EPROM（ErasableProgrammableRead-OnlyMemory，可擦可編程只讀存儲(chǔ)器，一種閃存芯片，通常可以通過程序擦寫）中。MAC地址用于在網(wǎng)絡(luò)中唯一標(biāo)識(shí)一塊網(wǎng)卡，一臺(tái)設(shè)備若有一塊或多塊網(wǎng)卡，則每塊網(wǎng)卡都有一個(gè)唯一的MAC地址。MAC地址的長(zhǎng)度為48位（6個(gè)字節(jié)），通常表示為12個(gè)十六進(jìn)制數(shù)，例如，00-16-EA-AE-3C-40就是一個(gè)MAC地址。其中第1位代表單播或多播地址，用0或1標(biāo)識(shí)；第2位代表全局或本地地址，用0或1標(biāo)識(shí)；第3～24位，由IEEE管理，保證各個(gè)廠商提供的MAC地址不重復(fù)；第25～48位，由廠商自行分配，代表該廠商所制造的某個(gè)網(wǎng)絡(luò)產(chǎn)品（如網(wǎng)卡）的序列號(hào)。形象地說，MAC地址就如同身份證上的身份證號(hào)碼，具有唯一性。我們可以通過在PC端的“命令提示符”窗口中執(zhí)行ipconfig-all來查詢?cè)O(shè)備的MAC地址，如圖6-14所示。圖6-14查詢MAC地址在正常的網(wǎng)絡(luò)通信過程中，IP地址和MAC地址相互搭配，IP地址負(fù)責(zé)標(biāo)識(shí)設(shè)備網(wǎng)絡(luò)層地址，MAC地址負(fù)責(zé)標(biāo)識(shí)設(shè)備的數(shù)據(jù)鏈路層地址。無論是局域網(wǎng)，還是廣域網(wǎng)中設(shè)備之間的通信，最終都表現(xiàn)為將數(shù)據(jù)包從初始節(jié)點(diǎn)發(fā)出，從一個(gè)節(jié)點(diǎn)傳遞到另一個(gè)節(jié)點(diǎn)，最終傳遞到目的節(jié)點(diǎn)。數(shù)據(jù)包在這些節(jié)點(diǎn)之間的移動(dòng)都是由ARP將IP地址映射到MAC地址來完成的。2泛洪簡(jiǎn)介泛洪（Flooding）是交換機(jī)使用的一種數(shù)據(jù)流傳遞技術(shù)，它將從某個(gè)接口收到的數(shù)據(jù)流發(fā)送到除該接口之外的所有接口。如圖6-15所示，PC1向PC2發(fā)送數(shù)據(jù)，數(shù)據(jù)幀在經(jīng)過交換機(jī)的時(shí)候，交換機(jī)會(huì)把數(shù)據(jù)幀中的源MAC地址和進(jìn)入的交換機(jī)端口號(hào)記錄到MAC地址表中。由于一開始MAC地址表中沒有PC2的MAC地址和端口號(hào)綁定信息，所以交換機(jī)會(huì)將這個(gè)數(shù)據(jù)幀進(jìn)行全網(wǎng)轉(zhuǎn)發(fā)，這就是泛洪。圖6-15泛洪原理3MAC地址泛洪攻擊原理在介紹MAC地址泛洪攻擊之前，我們要先了解交換機(jī)的數(shù)據(jù)轉(zhuǎn)發(fā)原理。交換機(jī)是基于MAC地址轉(zhuǎn)發(fā)數(shù)據(jù)幀的，在轉(zhuǎn)發(fā)過程中依靠對(duì)CAM（ContentAddressableMemory，內(nèi)容尋址存儲(chǔ)）表（一張記錄MAC地址的表）的查詢來確定正確的轉(zhuǎn)發(fā)接口。為了完成數(shù)據(jù)的快速轉(zhuǎn)發(fā)，該表具有自主學(xué)習(xí)機(jī)制，交換機(jī)會(huì)將學(xué)習(xí)到的MAC地址存儲(chǔ)在該表里。但是CAM表的容量是有限的，只能存儲(chǔ)不有限數(shù)量的條目，并且MAC地址存在老化時(shí)間（一般為300s）。當(dāng)CAM表記錄的MAC地址達(dá)到上限后，新的條目將不會(huì)被添加到CAM表中，一旦在查詢過程中無法找到相關(guān)目的MAC地址對(duì)應(yīng)的條目，則此數(shù)據(jù)幀將被作為廣播幀來處理，廣播到所有接口。MAC地址泛洪攻擊正是利用這一特性，通過不斷地生成不同的虛擬MAC地址發(fā)送給交換機(jī)，使得交換機(jī)進(jìn)行大量學(xué)習(xí)。這將導(dǎo)致交換機(jī)MAC地址表緩存溢出，讓其無法學(xué)習(xí)新的正確的MAC地址。如果這時(shí)交換機(jī)需要轉(zhuǎn)發(fā)一個(gè)正常的數(shù)據(jù)幀，因?yàn)槠銫AM表已經(jīng)被偽造MAC地址填滿，所以交換機(jī)會(huì)廣播數(shù)據(jù)幀到所有接口，攻擊者利用這個(gè)機(jī)制就可以獲取該正常數(shù)據(jù)幀的信息，達(dá)到MAC地址泛洪攻擊的目的。4如何防御MAC地址泛洪攻擊MAC地址泛洪攻擊的防御措施具體如下。（1）設(shè)置交換機(jī)端口最大可通過的MAC地址數(shù)量。限制交換機(jī)每個(gè)端口可學(xué)習(xí)MAC地址的最大數(shù)量（假如為20個(gè)），當(dāng)一個(gè)端口學(xué)習(xí)的MAC地址數(shù)量超過這個(gè)限制數(shù)值時(shí)，將超出的MAC地址舍棄。（2）靜態(tài)MAC地址寫入。在交換機(jī)端口上設(shè)置MAC地址綁定，指定只能是某些MAC地址通過該端口。（3）對(duì)超過一定數(shù)量的MAC地址進(jìn)行禁止通過處理。任務(wù)二實(shí)訓(xùn)練習(xí)1．繪制拓?fù)鋱D，完成設(shè)備配置（1）繪制圖6-16所示網(wǎng)絡(luò)拓?fù)鋱D，配置Server1的IP地址，打開Server1的“服務(wù)器信息”配置選項(xiàng)卡，選擇“FtpServer”，設(shè)置好“文件根目錄”，單擊“啟動(dòng)”按鈕，得到圖6-17所示結(jié)果。（2）配置Cilent1的IP地址，打開Cilent1的“客戶端信息”配置選項(xiàng)卡，選擇“FtpCilent”，設(shè)置服務(wù)器地址為“0”，用戶名為“admin”，密碼為“123456”，單擊“登錄”按鈕，可以看到，能夠正常訪問FTP服務(wù)器，效果如圖6-18所示。圖6-17配置Server1的服務(wù)器信息圖6-18配置Cilent1的客戶端信息（3）雙擊拓?fù)鋱D中的設(shè)備Cloud1，在打開窗口的“綁定信息”下拉列表中，選擇“VMwareNetworkAdapterVMnet8--IP：”，單擊“增加”按鈕，創(chuàng)建一個(gè)新的端口。將“端口映射設(shè)置”中的“出端口編號(hào)”修改為“2”，勾選“雙向通道”復(fù)選框，單擊“增加”按鈕，完成Cloud1的配置，如圖6-19所示。圖6-19配置Cloud1端口（4）將LSW1與Cloud1連接起來，使得Kali虛擬機(jī)靶機(jī)能夠通過動(dòng)態(tài)設(shè)備接口連接到eNSP的局域網(wǎng)中。2．配置Kali虛擬機(jī)靶機(jī)（1）選中Kali虛擬機(jī)靶機(jī)，在VMware工具欄上依次選擇“虛擬機(jī)”→“設(shè)置”，彈出“虛擬機(jī)設(shè)置”對(duì)話框，選中“網(wǎng)絡(luò)適配器”，在右側(cè)的“網(wǎng)絡(luò)連接”中選中“自定義(U):特定虛擬網(wǎng)絡(luò)”，在其下拉列表中選擇“VMnet8(僅NAT模式)”，如圖6-20所示。圖6-20設(shè)置網(wǎng)絡(luò)連接（2）在Kali系統(tǒng)中，在工具欄中選擇“RootTerminalEmulator”，輸入Kali系統(tǒng)密碼后，進(jìn)入命令輸入界面，輸入命令“ping0”并執(zhí)行，測(cè)試Kali系統(tǒng)與局域網(wǎng)服務(wù)器是否連通，如圖6-21所示。圖6-21測(cè)試Kali系統(tǒng)與局域網(wǎng)服務(wù)器是否連通（3）在eNSP中，雙擊交換機(jī)LSW1，進(jìn)入命令輸入界面，輸入命令“displaymac-address”并執(zhí)行，這里因?yàn)橹癈ilent1客戶端已經(jīng)登錄Server1服務(wù)器的FTP服務(wù)，所以在MAC地址表中能夠看到GE0/0/1和GE0/0/2。輸入“undomac-address”命令并執(zhí)行，清空MAC地址表，如圖6-22所示。圖6-22查看并清空MAC地址表3．MAC地址泛洪攻擊（1）在Kali系統(tǒng)中，開啟MAC地址泛洪攻擊，輸入命令“macof”并執(zhí)行，可以看到大量的偽造的MAC地址不斷地被發(fā)送給交換機(jī)LSW1，效果如圖6-23所示。圖6-23Kali系統(tǒng)開啟MAC地址泛洪攻擊如果Kali系統(tǒng)中沒有安裝macof，需要先執(zhí)行“aptinstalldsniff”命令，安裝dsniff，再進(jìn)行命令“macof”。（2）如圖6-24所示，打開Cilent1“客戶端信息”選項(xiàng)卡，再次單擊“登錄”按鈕，發(fā)現(xiàn)此時(shí)已經(jīng)無法登錄。（3）查看交換機(jī)LSW1的MAC地址表，發(fā)現(xiàn)MAC地址表已經(jīng)被占滿，如圖6-25所示。圖6-24FTP服務(wù)無法登錄圖6-25交換機(jī)MAC地址表占滿4．嗅探用戶名和密碼（1）在Kali系統(tǒng)命令輸入界面，按快捷鍵“Ctrl+C”，停止macof攻擊，打開Kali系統(tǒng)下的Wireshark工具，網(wǎng)絡(luò)接口選擇“eth0”，開啟網(wǎng)絡(luò)嗅探，如圖6-26所示。圖6-26開啟網(wǎng)絡(luò)嗅探（2）打開Client1的“客戶端信息”選項(xiàng)卡，單擊“登錄”按鈕，因?yàn)镸AC地址泛洪攻擊已經(jīng)停止，所以能夠正常登錄服務(wù)器Server1，如圖6-27所示。圖6-27登錄FTP服務(wù)器（3）在Wireshark嗅探器的過濾器搜索框中輸入“tcp.streameq0”，選擇任意一行數(shù)據(jù)包并右擊，在彈出的對(duì)話框中依次選擇“追蹤流”→“TCPStream”，在打開的界面中就可以看到用戶名和密碼信息，如圖6-28所示。圖6-28嗅探到用戶名和密碼課后：1.任務(wù)總結(jié)2.教師答疑3.布置預(yù)習(xí)任務(wù)作業(yè)布置1.請(qǐng)搭建嗅探測(cè)試環(huán)境并使用網(wǎng)絡(luò)嗅探軟件對(duì)網(wǎng)絡(luò)進(jìn)行探測(cè)。搭建一個(gè)模擬的企業(yè)網(wǎng)絡(luò)環(huán)境，包括兩臺(tái)計(jì)算機(jī)、一臺(tái)交換機(jī)。在網(wǎng)絡(luò)中的一臺(tái)計(jì)算機(jī)上安裝并運(yùn)行所選的網(wǎng)絡(luò)嗅探軟件。配置嗅探軟件，使其能夠捕獲同一局域網(wǎng)內(nèi)的數(shù)據(jù)包。分析捕獲的數(shù)據(jù)包，識(shí)別出其中的敏感信息（如用戶名、密碼、文件等）。2.假如你是一家公司的網(wǎng)絡(luò)安全管理員，公司內(nèi)網(wǎng)中的一臺(tái)核心交換機(jī)連接了多個(gè)重要服務(wù)器和客戶端。最近，你接到報(bào)告稱網(wǎng)絡(luò)性能出現(xiàn)異常，懷疑可能是交換機(jī)遭受了MAC地址泛洪攻擊。為了驗(yàn)證這一懷疑并采取相應(yīng)的防范措施，你打算在模擬環(huán)境中進(jìn)行一次演練。要求設(shè)置一個(gè)包含至少兩臺(tái)交換機(jī)和若干臺(tái)主機(jī)的模擬網(wǎng)絡(luò)環(huán)境。使用網(wǎng)絡(luò)攻擊工具構(gòu)造大量具有不同MAC地址的數(shù)據(jù)包，并將這些數(shù)據(jù)包發(fā)送至交換機(jī)，模擬MAC地址泛洪攻擊。觀察交換機(jī)在受到攻擊后的行為變化，如是否出現(xiàn)數(shù)據(jù)廣播風(fēng)暴、網(wǎng)絡(luò)性能下降等現(xiàn)象。實(shí)施防范策略以阻止MAC地址泛洪攻擊。可以實(shí)施的防范措施包括啟用端口安全功能、限制MAC地址學(xué)習(xí)數(shù)量、配置靜態(tài)MAC地址綁定等。教學(xué)反思以能力培養(yǎng)為核心，深化思政與技術(shù)融合。網(wǎng)絡(luò)嗅探是網(wǎng)絡(luò)安全攻防的基礎(chǔ)技能，是學(xué)習(xí)網(wǎng)絡(luò)協(xié)議、安全思維重要載體，讓學(xué)生理解不能隨意進(jìn)行網(wǎng)絡(luò)嗅探，提升法律意識(shí)?！毒W(wǎng)絡(luò)安全技術(shù)實(shí)踐教程》教案授課單位：授課時(shí)間：授課班級(jí)：授課教師：年月日教案13（第13號(hào)/17號(hào)）課程名稱網(wǎng)絡(luò)安全技術(shù)實(shí)踐授課日期、節(jié)次班級(jí)課堂類型理論+實(shí)踐地點(diǎn)章節(jié)（任務(wù)）名稱任務(wù)6.3ARP欺騙攻擊教學(xué)目標(biāo)知識(shí)目標(biāo)1.掌握ARP欺騙攻擊的原理。2.熟悉ARP欺騙攻擊的檢測(cè)與防御能力目標(biāo)1.能夠有效檢測(cè)并識(shí)別ARP欺騙攻擊。2.能夠針對(duì)ARP欺騙攻擊進(jìn)行有效的防御。素質(zhì)目標(biāo)1.培養(yǎng)學(xué)生精益求精的工匠精神。2.培養(yǎng)學(xué)生樹立牢固的法治觀念，提升網(wǎng)絡(luò)安全意識(shí)。學(xué)情分析授課對(duì)象：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)學(xué)生，包括中職與普高混合班。學(xué)生特點(diǎn)：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)學(xué)生，基礎(chǔ)知識(shí)存在差異，需針對(duì)性講解與實(shí)踐操作結(jié)合。學(xué)習(xí)習(xí)慣：偏愛實(shí)踐性強(qiáng)的課程，理論學(xué)習(xí)興趣較低。樂于通過案例和互動(dòng)式教學(xué)理解知識(shí)點(diǎn)。重難點(diǎn)分析教學(xué)重點(diǎn)1.ARP欺騙攻擊的原理。2.ARP欺騙攻擊的檢測(cè)與防御。教學(xué)難點(diǎn)1.ARP欺騙攻擊的原理。2.ARP欺騙攻擊的檢測(cè)與防御。信息化應(yīng)用方法通過課件、視頻、案例分析、互動(dòng)提問等多種信息化方式，借助學(xué)習(xí)通平臺(tái)發(fā)布學(xué)習(xí)資源和任務(wù)，學(xué)生自主學(xué)習(xí)并完成任務(wù)。課程思政元素1.法律責(zé)任。結(jié)合網(wǎng)絡(luò)安全法第27條、第63條，明確未經(jīng)授權(quán)實(shí)施ARP攻擊可能構(gòu)成“非法侵入計(jì)算機(jī)信息系統(tǒng)罪”。2.服務(wù)意識(shí)。塑造職業(yè)精神，使學(xué)生形成運(yùn)用所學(xué)專業(yè)知識(shí)為社會(huì)貢獻(xiàn)的責(zé)任感。3.工匠精神。鍛煉學(xué)生實(shí)事求是的工作態(tài)度，培養(yǎng)學(xué)生嚴(yán)謹(jǐn)細(xì)致的工作作風(fēng)、精益求精的工匠精神。教學(xué)實(shí)施過程課前：平臺(tái)發(fā)布網(wǎng)絡(luò)嗅探技術(shù)任務(wù)3學(xué)習(xí)任務(wù)，學(xué)生預(yù)習(xí)。課中：導(dǎo)入新課工程師小林在排查交換機(jī)MAC地址泛洪攻擊的過程中，發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的設(shè)備存在通信延遲或無法正常訪問的問題。經(jīng)過分析，小林發(fā)現(xiàn)了偽造IP地址和MAC地址，懷疑內(nèi)部網(wǎng)絡(luò)受到了ARP欺騙攻擊。因此，小林決定對(duì)ARP欺騙攻擊展開詳細(xì)的排查。任務(wù)知識(shí)點(diǎn)講解1ARP簡(jiǎn)介ARP是根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議。主機(jī)發(fā)送信息時(shí)，將包含目標(biāo)IP地址的ARP請(qǐng)求廣播到局域網(wǎng)上的所有主機(jī)，并接收返回消息，以此確定目標(biāo)的物理地址；收到返回消息后，將該IP地址和物理地址存入本機(jī)ARP緩存中，并保留一定時(shí)間，下次請(qǐng)求時(shí)可直接查詢ARP緩存以節(jié)約資源。我們知道，不管網(wǎng)絡(luò)層使用的是什么協(xié)議，在實(shí)際網(wǎng)絡(luò)的鏈路上傳送數(shù)據(jù)幀時(shí)，最終還是必須使用物理地址，但I(xiàn)P地址和物理地址因格式不同而不存在簡(jiǎn)單的映射關(guān)系。此外，在一個(gè)網(wǎng)絡(luò)中，可能經(jīng)常會(huì)有新的設(shè)備加入進(jìn)來，或撤走一些舊的設(shè)備。那么怎樣才能找到目的設(shè)備的物理地址？ARP就是為了解決這樣的問題而出現(xiàn)的。解決辦法是在每一個(gè)主機(jī)中都設(shè)置一個(gè)ARP高速緩存（ARPCache），其中存儲(chǔ)了局域網(wǎng)內(nèi)各主機(jī)和路由器的IP地址到物理地址的映射表。當(dāng)主機(jī)A欲向本局域網(wǎng)內(nèi)的某個(gè)主機(jī)B發(fā)送IP數(shù)據(jù)包時(shí)，首先在其ARP高速緩存中查看有無主機(jī)B的IP地址。如果有，就可查出其對(duì)應(yīng)的物理地址，再將此物理地址寫入MAC數(shù)據(jù)幀，然后通過局域網(wǎng)將該MAC數(shù)據(jù)幀發(fā)往此物理地址；如果沒有，可能是主機(jī)B剛?cè)刖W(wǎng)的原因，在這種情況下，主機(jī)A會(huì)自動(dòng)運(yùn)行ARP，然后按照以下步驟獲取主機(jī)B的物理地址。（1）在本局域網(wǎng)內(nèi)廣播發(fā)送一個(gè)ARP請(qǐng)求分組，詢問主機(jī)B的物理地址。（2）該局域網(wǎng)內(nèi)所有主機(jī)運(yùn)行的ARP進(jìn)程都會(huì)收到此ARP請(qǐng)求分組。（3）主機(jī)B的IP地址與ARP請(qǐng)求分組中要查詢的IP地址一致，它會(huì)向主機(jī)A發(fā)送ARP響應(yīng)分組，在響應(yīng)分組中寫入自己的物理地址。而其他主機(jī)的IP地址都與ARP請(qǐng)求分組中要查詢的IP地址不一致，因此都忽略這個(gè)ARP請(qǐng)求分組。（4）主機(jī)A收到主機(jī)B的ARP響應(yīng)分組后，就在其ARP高速緩存中寫入主機(jī)B的IP地址到物理地址的映射。詳細(xì)過程如圖6-29所示。（a）主機(jī)A廣播發(fā)送ARP請(qǐng)求分組（b）主機(jī)B向A發(fā)送ARP響應(yīng)分組圖6-29使用ARP獲取物理地址的流程ARP用于解決同一個(gè)局域網(wǎng)上的主機(jī)或路由器的IP地址到MAC地址的映射問題。從IP地址到物理地址的解析是自動(dòng)進(jìn)行的，主機(jī)的用戶通常是不知道這種地址解析過程的。當(dāng)主機(jī)或路由器要和本網(wǎng)絡(luò)上的另一個(gè)已知IP地址的主機(jī)或路由器進(jìn)行通信時(shí)，ARP就會(huì)自動(dòng)地將該IP地址解析為鏈路層所需要的物理地址。如果所要找的主機(jī)和源主機(jī)不在同一個(gè)局域網(wǎng)上，就要通過ARP找到一個(gè)位于本局域網(wǎng)上的某個(gè)路由器的物理地址，然后把分組發(fā)送給這個(gè)路由器，由這個(gè)路由器把分組轉(zhuǎn)發(fā)給下一個(gè)網(wǎng)絡(luò)，剩下的工作就由下一個(gè)網(wǎng)絡(luò)來完成。ARP有以下4種典型使用場(chǎng)景。（1）發(fā)送方是主機(jī)，要把IP數(shù)據(jù)包發(fā)送到本網(wǎng)絡(luò)上的另一個(gè)主機(jī)。這時(shí)用ARP找到目的主機(jī)的物理地址。（2）發(fā)送方是主機(jī)，要把IP數(shù)據(jù)包發(fā)送到另一個(gè)網(wǎng)絡(luò)上的一個(gè)主機(jī)。這時(shí)用ARP找到本網(wǎng)絡(luò)上的一個(gè)路由器的物理地址，剩下的工作由這個(gè)路由器來完成。（3）發(fā)送方是路由器，要把IP數(shù)據(jù)包轉(zhuǎn)發(fā)到本網(wǎng)絡(luò)上的一個(gè)主機(jī)。這時(shí)用ARP找到目的主機(jī)的物理地址。（4）發(fā)送方是路由器，要把IP數(shù)據(jù)包轉(zhuǎn)發(fā)到另一個(gè)網(wǎng)絡(luò)上的一個(gè)主機(jī)。這時(shí)用ARP找到本網(wǎng)絡(luò)上另一個(gè)路由器的物理地址，剩下的工作由這個(gè)路由器來完成。PC端常用的ARP請(qǐng)求命令如下。（1）查看緩存表命令：arp–a。（2）建立靜態(tài)緩存表命令（在一段時(shí)間內(nèi)，如果主機(jī)不與某一IP地址對(duì)應(yīng)的主機(jī)通信，則動(dòng)態(tài)緩存表會(huì)刪除對(duì)應(yīng)的地址，但是靜態(tài)緩存表中的內(nèi)容則是永久性的）：arp-sipmac。（3）清空緩存表命令：arp-d。2ARP欺騙攻擊原理從上述ARP獲取MAC地址的過程中，我們可以發(fā)現(xiàn)ARP請(qǐng)求并不安全，其信任根基脆弱。在局域網(wǎng)框架內(nèi)，默認(rèn)主機(jī)之間無條件信賴。此環(huán)境下，任意設(shè)備皆能自由發(fā)出ARP響應(yīng)，而接收端則不加甄別地全部接收，并將這些響應(yīng)存儲(chǔ)到ARP緩存中，沒有設(shè)置真實(shí)驗(yàn)證機(jī)制。正因如此，惡意攻擊者得以乘虛而入，散布偽造ARP響應(yīng)，悄無聲息地篡改目標(biāo)機(jī)器的MAC映射表，實(shí)現(xiàn)ARP欺騙。此類攻擊的核心在于憑空捏造IP地址與MAC地址的映射，將網(wǎng)絡(luò)淹沒于海量欺詐性ARP流量之中，僅需持續(xù)發(fā)送偽造ARP響應(yīng)包流，即可逐步侵蝕、修改目標(biāo)緩存中的IP-MAC映射關(guān)系，導(dǎo)致網(wǎng)絡(luò)中斷，甚至可能使中間人攻擊得逞，網(wǎng)絡(luò)安全防線面臨嚴(yán)峻挑戰(zhàn)。ARP欺騙攻擊原理如圖6-30所示。圖6-30ARP欺騙攻擊原理攻擊者主機(jī)B向網(wǎng)關(guān)C發(fā)送一個(gè)響應(yīng)，其中包括主機(jī)A的IP地址、主機(jī)B的MAC地址。同時(shí)，主機(jī)B向主機(jī)A發(fā)送一個(gè)響應(yīng)，其中包括網(wǎng)關(guān)C的IP地址、主機(jī)B的MAC地址。這時(shí)，網(wǎng)關(guān)C就會(huì)將緩存表里主機(jī)A的MAC地址換成主機(jī)B的MAC地址，而主機(jī)A也會(huì)將緩存表里網(wǎng)關(guān)C的MAC地址換成主機(jī)B的MAC地址。因此，網(wǎng)關(guān)C發(fā)送給主機(jī)A的消息全被主機(jī)B接收，而主機(jī)A發(fā)送給網(wǎng)關(guān)C的消息也全被主機(jī)B接收，主機(jī)B便成為主機(jī)A和網(wǎng)關(guān)C通信的“中間人”。ARP欺騙攻擊主要存在于局域網(wǎng)中，局域網(wǎng)中若有一臺(tái)設(shè)備感染ARP木馬，則該設(shè)備將試圖通過ARP欺騙手段截獲網(wǎng)絡(luò)內(nèi)其他設(shè)備的通信信息，從而造成局域網(wǎng)內(nèi)設(shè)備通信延遲或故障。3ARP欺騙攻擊特點(diǎn)與危害ARP欺騙攻擊具有如下特點(diǎn)。（1）攻擊成本低：不需要特殊的網(wǎng)絡(luò)設(shè)備，攻擊者只要能夠?qū)⒂?jì)算機(jī)接入網(wǎng)絡(luò)，就能對(duì)網(wǎng)絡(luò)內(nèi)的主機(jī)實(shí)施ARP欺騙攻擊。（2）技術(shù)要求低：ARP本身比較簡(jiǎn)單，且存在明顯的安全漏洞，攻擊者只要了解ARP的原理，就能夠利用相應(yīng)的攻擊軟件或自行編寫軟件進(jìn)行攻擊。（3）溯源困難：雖然攻擊者處在網(wǎng)絡(luò)內(nèi)部，但由于ARP數(shù)據(jù)包只在IP層傳送，如果沒有專門的工具，用戶很難發(fā)現(xiàn)自己被攻擊。此外，許多攻擊者都會(huì)偽造主機(jī)的IP地址和MAC地址，甚至假冒其他主機(jī)的地址來實(shí)施攻擊，使查找攻擊主機(jī)變得更加困難。鑒于ARP欺騙攻擊的這些特點(diǎn)，其對(duì)網(wǎng)絡(luò)環(huán)境構(gòu)成的威脅不容小覷，我們應(yīng)了解ARP欺騙攻擊的典型危害。（1）使同一網(wǎng)段內(nèi)的其他用戶無法上網(wǎng)。（2）可嗅探到交換式局域網(wǎng)中的所有數(shù)據(jù)包。（3）可對(duì)局域網(wǎng)內(nèi)的信息進(jìn)行篡改。（4）可控制局域網(wǎng)內(nèi)任何主機(jī)。4ARP欺騙攻擊的檢測(cè)與防御鑒于ARP欺騙攻擊會(huì)帶來嚴(yán)重危害，及時(shí)對(duì)其進(jìn)行檢測(cè)與防御顯得尤為重要，以下列舉了幾種常見的檢測(cè)與防御措施。（1）主機(jī)級(jí)主動(dòng)檢測(cè)：主機(jī)定期向所在局域網(wǎng)發(fā)送查詢自己的IP地址的ARP請(qǐng)求報(bào)文，如果收到另一ARP響應(yīng)報(bào)文，則說明該網(wǎng)絡(luò)上另有一臺(tái)機(jī)器與自己使用相同的IP地址。（2）服務(wù)器級(jí)檢測(cè)：比較同一MAC地址對(duì)應(yīng)的IP地址，如果這些IP地址不同，則說明對(duì)方偽造了ARP響應(yīng)報(bào)文。（3）網(wǎng)絡(luò)級(jí)檢測(cè)：配置主機(jī)定期向中心管理主機(jī)報(bào)告其ARP緩存表的內(nèi)容，或者利用網(wǎng)絡(luò)嗅探工具連續(xù)監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)主機(jī)物理地址與IP地址對(duì)應(yīng)關(guān)系的變化。ARP欺騙攻擊的防御可以從以下幾個(gè)方面著手。（1）MAC地址綁定：由于ARP欺騙攻擊是通過偽造IP地址和MAC地址欺騙目標(biāo)主機(jī)，從而更改ARP緩存中的路由表進(jìn)行攻擊，因此，只要將局域網(wǎng)中每臺(tái)計(jì)算機(jī)的IP地址與MAC地址綁定，就能有效地防御ARP欺騙攻擊。（2）使用靜態(tài)緩存表：如果需要更新ARP緩存表，則手動(dòng)進(jìn)行更新，以確保黑客無法進(jìn)行ARP欺騙攻擊。（3）使用ARP服務(wù)器：在確保ARP服務(wù)器不被攻擊者控制的情況下，使用ARP服務(wù)器來搜索自己的ARP緩存表來響應(yīng)其他客戶端的ARP廣播。（4）使用ARP防火墻有條件的情況下，使用ARP防火墻等防御ARP欺騙攻擊的工具來進(jìn)行ARP欺騙攻擊的防御。（5）隔離攻擊源：及時(shí)發(fā)現(xiàn)正在進(jìn)行ARP欺騙攻擊的客戶端并立即對(duì)其采取隔離措施。（6）劃分VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)）：在3層交換機(jī)的網(wǎng)絡(luò)中，可以通過劃分VLAN來縮小ARP欺騙攻擊的影響范圍。VLAN的劃分不受網(wǎng)絡(luò)端口實(shí)際物理位置的限制，用戶可以根據(jù)不同客戶端的功能、應(yīng)用等將其從邏輯上劃分在一個(gè)相對(duì)獨(dú)立的VLAN中，每個(gè)客戶端的主機(jī)都連接在支持該VLAN的交換機(jī)端口上。同一VLAN內(nèi)的主機(jī)形成一個(gè)廣播域，不同VLAN之間的廣播報(bào)文能夠得到有效的隔離。由于ARP欺騙攻擊不能跨網(wǎng)段進(jìn)行，因此，這種方法能夠有效地將ARP欺騙攻擊限制在一定范圍內(nèi)。但其缺點(diǎn)是增加了網(wǎng)絡(luò)管理的復(fù)雜度，而且難以適應(yīng)網(wǎng)絡(luò)的動(dòng)態(tài)變化。。任務(wù)實(shí)施步驟1．查看IP地址和MAC地址（1）在虛擬機(jī)攻擊機(jī)上，進(jìn)入命令輸入界面，輸入命令“ifconfig”并執(zhí)行，查看攻擊機(jī)IP地址和MAC地址信息，其IP地址為“35”，MAC地址為“00:0c:29:82:cb:54”，如圖6-31所示。圖6-31查看攻擊機(jī)IP地址和MAC地址（2）在虛擬機(jī)靶機(jī)上，進(jìn)入命令輸入界面，輸入命令“ipconfig/all”并執(zhí)行，查看靶機(jī)的IP地址和MAC地址信息，IP地址為“43”，物理地址為“00-0C-29-5D-A2-36”，如圖6-32所示。圖6-32查看靶機(jī)IP地址和MAC地址2．實(shí)施ARP欺騙攻擊（1）在Kali系統(tǒng)虛擬機(jī)攻擊機(jī)中，進(jìn)入命令輸入界面，輸入命令“fping-asg/24”，并執(zhí)行查找靶機(jī)所在網(wǎng)段中當(dāng)前存活的主機(jī)，查看是否能看到靶機(jī)的IP地址，如圖6-33所示。圖6-33當(dāng)前存活的主機(jī)從圖6-33中可以看出，當(dāng)前存活的主機(jī)有4臺(tái)，分別是攻擊機(jī)本機(jī)（IP地址：35）、宿主機(jī)（IP地址：43）、VMwareWorkstationPro系統(tǒng)所在主機(jī)（IP地址：）和網(wǎng)關(guān)（IP地址：）。（2）輸入命令“arp-a”并執(zhí)行，查看當(dāng)前存活的主機(jī)的IP地址與MAC地址映射表，如圖6-34所示。圖6-34當(dāng)前存活的主機(jī)的IP地址與MAC地址映射表在這里需要特別注意，網(wǎng)關(guān)IP地址“”對(duì)應(yīng)的MAC地址為“00:50:56:fa:92:df”。（3）輸入命令“arpspoof-ieth0-t43”并執(zhí)行，這里的“-i”用于指定網(wǎng)卡，“-t”用于指定持續(xù)不斷攻擊。該命令執(zhí)行后，攻擊機(jī)會(huì)持續(xù)不斷地發(fā)送ARP響應(yīng)，進(jìn)行ARP欺騙攻擊，如圖6-35所示。圖6-35開啟ARP欺騙攻擊（4）此時(shí)，進(jìn)入Windows10系統(tǒng)宿主機(jī)，發(fā)現(xiàn)已經(jīng)無法正常上網(wǎng)，如圖6-36所示。（5）進(jìn)入命令輸入界面，輸入命令“arp-a”并執(zhí)行，可以看到網(wǎng)關(guān)IP地址“”對(duì)應(yīng)的MAC地址已經(jīng)變?yōu)椤?0-0c-29-82-cb-54”，而這個(gè)MAC地址，就是Kali系統(tǒng)攻擊機(jī)IP地址對(duì)應(yīng)的MAC地址，從而證明ARP欺騙攻擊成功，如圖6-37所示。圖6-36目標(biāo)靶機(jī)無法訪問網(wǎng)絡(luò)圖6-37網(wǎng)關(guān)MAC地址改變（6）在攻擊機(jī)命令輸入窗口，按快捷鍵“Ctrl+C”，停止ARP欺騙攻擊。再次進(jìn)入目標(biāo)靶機(jī)，測(cè)試發(fā)現(xiàn)，目標(biāo)靶機(jī)已經(jīng)能夠正常訪問網(wǎng)絡(luò)。在命令輸入窗口再次輸入“arp-a”并執(zhí)行，發(fā)現(xiàn)網(wǎng)關(guān)IP地址對(duì)應(yīng)的MAC地址也已經(jīng)恢復(fù)正常，如圖6-38所示。圖6-38目標(biāo)靶機(jī)恢復(fù)正常課后：1.任務(wù)總結(jié)2.教師答疑3.布置預(yù)習(xí)任務(wù)作業(yè)布置搭建一個(gè)ARP欺騙攻擊模擬網(wǎng)絡(luò)環(huán)境，至少包括兩臺(tái)主機(jī)。使用ARP欺騙攻擊工具發(fā)起ARP欺騙攻擊，觀察其對(duì)網(wǎng)絡(luò)的影響，包括目標(biāo)主機(jī)是否能夠正常訪問網(wǎng)絡(luò)、其他主機(jī)與目標(biāo)主機(jī)之間的通信是否受到影響，然后分析ARP欺騙攻擊如何影響網(wǎng)絡(luò)通信以及如何防御ARP欺騙攻擊等。教學(xué)反思加強(qiáng)法律教育。引入案例：某企業(yè)員工因?yàn)锳RP攻擊導(dǎo)致局域網(wǎng)癱瘓被判刑，強(qiáng)調(diào)技術(shù)亂用需要承擔(dān)法律后果。《網(wǎng)絡(luò)安全技術(shù)實(shí)踐教程》教案授課單位：授課時(shí)間：授課班級(jí)：授課教師：年月日?qǐng)D6-40仿冒DHCP服務(wù)器攻擊原理3．仿冒DHCP報(bào)文攻擊已獲取到IP地址的合法用戶可以通過DHCP向服務(wù)器發(fā)送DHCPRequest或DHCPRelease報(bào)文以續(xù)租或釋放IP地址。如果攻擊者冒充合法用戶不斷向DHCP服務(wù)器發(fā)送DHCPRequest報(bào)文來續(xù)租IP地址，會(huì)導(dǎo)致這些到期的IP地址無法正?；厥?，以致一些合法用戶不能獲得IP地址；若攻擊者冒充合法用戶發(fā)送的DHCPRelease報(bào)文被發(fā)往DHCP服務(wù)器，將會(huì)導(dǎo)致用戶異常下線。4．DHCP中間人攻擊攻擊者利用ARP機(jī)制，讓PC1學(xué)習(xí)到DHCP服務(wù)器的IP地址與攻擊者的MAC地址的映射關(guān)系，并讓DHCP服務(wù)器學(xué)習(xí)到PC1的IP地址與攻擊者的MAC地址的映射關(guān)系，如此一來，PC1與DHCP服務(wù)器之間交互的IP報(bào)文都要經(jīng)過攻擊者進(jìn)行中轉(zhuǎn)。我們需要了解交換機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)包的過程中，ARP緩存表中IP地址與MAC地址映射關(guān)系的變化過程，這與MAC地址欺騙類似。由于PC1與DHCP服務(wù)器之間的IP報(bào)文都會(huì)經(jīng)過攻擊者，攻擊者就能很容易竊取到IP報(bào)文中的信息，對(duì)其進(jìn)行篡改或?qū)嵤┢渌茐男袨椋瑥亩_(dá)到直接攻擊DHCP的目的。DHCP中間人攻擊原理如圖6-41所示。圖6-41DHCP中間人攻擊原理5DHCP攻擊的防御措施DHCP攻擊的防御措施如下。1．服務(wù)器端：設(shè)置信任端口將與DHCP服務(wù)器相連的交換機(jī)的端口分為兩種類型——信任端口（Trusted端口）和非信任端口（Untrusted端口）。交換機(jī)所有端口默認(rèn)都是非信任端口，將與合法DHCP服務(wù)器相連的端口配置為信任端口，這樣交換機(jī)從信任端口接收到DHCP報(bào)文后，會(huì)將其正常轉(zhuǎn)發(fā)，從而保證合法DHCP服務(wù)器能正常分配IP地址及其他網(wǎng)絡(luò)參數(shù)。而其他從非信任端口接收到的DHCP報(bào)文，交換機(jī)會(huì)直接將其丟棄，不再轉(zhuǎn)發(fā)，這樣可以有效地阻止仿冒DHCP服務(wù)器分配假的IP地址及其他網(wǎng)絡(luò)參數(shù)。2．服務(wù)器端：配置DHCPSnooping技術(shù)在DHCP服務(wù)器所在交換機(jī)上配置DHCPSnooping（偵聽）技術(shù)，以防御DHCP耗盡攻擊。交換機(jī)會(huì)對(duì)DHCPRequest報(bào)文的源MAC地址與CHADDR字段的值進(jìn)行檢查，如果一致則轉(zhuǎn)發(fā)報(bào)文，如果不一致則丟棄報(bào)文。同時(shí)，運(yùn)行DHCPSnooping的交換機(jī)會(huì)偵聽往來于用戶與DHCP服務(wù)器之間的信息，并從中收集用戶的MAC地址（DHCP報(bào)文中的CHADDR字段中的值）、用戶的IP地址（DHCP服務(wù)器分配給相應(yīng)的CHADDR字段的IP地址）、IP地址租期等信息，將它們集中存放在DHCPSnooping綁定表中，交換機(jī)會(huì)動(dòng)態(tài)維護(hù)DHCPSnooping綁定表。交換機(jī)接收到ARP報(bào)文后，會(huì)檢查它的源IP地址和源MAC地址，若發(fā)現(xiàn)與DHCPSnooping綁定表中的條目不匹配，就丟棄該報(bào)文，這樣可以有效地防止SpoofingIP/MAC攻擊。3．服務(wù)器端：DHCPSnooping與IPSG技術(shù)的聯(lián)動(dòng)針對(duì)網(wǎng)絡(luò)中常見的對(duì)源IP地址進(jìn)行欺騙的攻擊行為（攻擊者仿冒合法用戶的IP地址來向服務(wù)器發(fā)送IP報(bào)文），可以使用IPSG（IPSourceGuard，IP源防護(hù)）技術(shù)進(jìn)行防御。在交換機(jī)上啟用IPSG功能后，會(huì)對(duì)進(jìn)入交換機(jī)端口的報(bào)文進(jìn)行合法性檢查，然后對(duì)報(bào)文進(jìn)行過濾（檢查結(jié)果合法，則轉(zhuǎn)發(fā)；檢查結(jié)果非法，則丟棄）。DHCPSnooping技術(shù)可以與IPSG技術(shù)進(jìn)行聯(lián)動(dòng)，即對(duì)于進(jìn)入交換機(jī)端口的報(bào)文進(jìn)行DHCPSnooping綁定表的匹配檢查，如果報(bào)文的信息與綁定表的一致，則允許通過；如果不一致，則丟棄該報(bào)文。報(bào)文的檢查項(xiàng)可以是源IP地址、源MAC地址、VLAN和物理端口號(hào)等組合。如在交換機(jī)的端口視圖下可支持IP地址+MAC地址、IP地址+VLAN、IP地址+MAC地址+VLAN等組合檢查，在交換機(jī)的VLAN視圖下可支持IP地址+MAC地址、IP地址+物理端口號(hào)、IP地址+MAC地址+物理端口號(hào)等組合檢查。4．客戶端：安裝防病毒軟件從客戶端層面來看，可以將客戶端的IP地址和MAC地址以及網(wǎng)關(guān)的IP地址和MAC地址進(jìn)行ARP綁定，或者在客戶端安裝ARP防病毒軟件來防御DHCP攻擊。任務(wù)實(shí)施步驟1．配置交換機(jī)和路由器（1）繪制拓?fù)鋱D，進(jìn)入交換機(jī)LSW1配置界面，啟動(dòng)DHCP功能，配置DHCPSnooping，配置接入口啟用DHCPSnooping功能，代碼如下。sysnameLSW1#啟用DHCP功能dhcpenable#啟用DHCPSnooping功能dhcpsnoopingenable#將接入終口啟用全部DHCPSnooping功能port-groupgroup-memberGigabitEthernet0/0/1toGigabitEthernet0/0/2dhcpsnoopingenable#將DHCP_Server連接端口設(shè)置為信任端口interfaceGigabitEthernet0/0/24dhcpsnoopingtrusted（2）進(jìn)入路由器AR1配置界面，配置DHCP服務(wù)，代碼如下。sysnameDHCPServer#IP地址配置interfaceGigabitEthernet0/0/0ipaddress54#DHCP服務(wù)器配置配置DNS服務(wù)器為14/dhcpenableippoolIP_150gateway-list54networkmaskdns-list14#設(shè)置全局配置模式interfaceGigabitEthernet0/0/0dhcpselectglobal2．Kali攻擊機(jī)接入eNSP網(wǎng)絡(luò)（1）在eNSP中，雙擊“Cloud1”圖標(biāo)，進(jìn)入配置界面，直接單擊“增加”按鈕，添加第一個(gè)接口用于連接交換機(jī)LSW1，如圖6-43所示。圖6-43添加第一個(gè)接口（2）在“端口創(chuàng)建”的“綁定信息”下拉列表中選擇“VMwareNetworkAdapterVMnet8—

IP:”，單擊右上方的“增加”按鈕，添加第二個(gè)接口，如圖6-44所示，用于連接Kali攻擊機(jī)。將“端口映射設(shè)置”中的“出端口編號(hào)”修改為“2”，勾選“雙向通道”復(fù)選框，單擊左下方“增加”按鈕，完成Cloud1的配置。圖6-44添加第二個(gè)接口3．PC1和Kali攻擊機(jī)獲取IP地址（1）進(jìn)入PC1配置界面，選中“IPv4配置”下的“DHCP”，如圖6-45所示，單擊“應(yīng)用”按鈕，PC1自動(dòng)獲取DHCP服務(wù)器分配的IP地址。圖6-45自動(dòng)獲取IP地址（2）進(jìn)入命令輸入界面，輸入命令“ipconfig”并執(zhí)行，就可以看到PC1獲取到的IP地址、網(wǎng)關(guān)和DNS等信息，如圖6-46所示。圖6-46獲取到的IP地址、網(wǎng)關(guān)和DNS等信息（3）打開VMwareWorkstation界面。依次單擊“編輯”→“虛擬網(wǎng)絡(luò)編輯器”，在彈出的“虛擬網(wǎng)絡(luò)編輯器”界面，單擊右下角的“更改設(shè)置”按鈕，如圖6-47所示。（4）在“虛擬網(wǎng)絡(luò)編輯器”對(duì)話框中，選擇“VMnet8”，將“使用本地DHCP服務(wù)將IP地址分配給虛擬機(jī)”取消勾選，單擊“應(yīng)用”按鈕，如圖6-48所示。圖6-47“虛擬網(wǎng)絡(luò)編輯器”界面圖6-48修改VMnet8網(wǎng)絡(luò)參數(shù)（5）進(jìn)入Kali攻擊機(jī)系統(tǒng)，在工具欄中選擇“RootTerminalEmulator”，輸入Kali系統(tǒng)密碼后，進(jìn)入命令輸入界面，輸入命令“dhclient”并執(zhí)行，自動(dòng)獲取路由器AR1上的DHCP服務(wù)器分配的IP地址。輸入命令“ipad”并執(zhí)行，查看當(dāng)前獲取到的IP地址信息，如圖6-49所示。圖6-49獲取并查看IP地址信息（6）進(jìn)入路由器AR1配置界面，輸入命令“displayippoolnameIP_150used”并執(zhí)行，查看當(dāng)前已經(jīng)分配的IP地址信息，如圖6-50所示。圖6-50查看當(dāng)前已經(jīng)分配的IP地址信息4．使用dhcpstarv工具攻擊（1）在eNSP的工具欄中選擇“數(shù)據(jù)抓包”，在彈出的對(duì)話框中，選擇路由器“AR1”的“GE0/0/0”接口，單擊“開始抓包”按鈕，使Wireshark工具開始抓包，如圖6-51所示。（2）進(jìn)入Kali攻擊機(jī)，在命令輸入窗口輸入“dhcpstarv-v-ieth0”并執(zhí)行，可以看到dhcpstarv一直在向/24網(wǎng)段持續(xù)、大量發(fā)送DHCPRequest報(bào)文請(qǐng)求IP地址，如圖6-52所示。圖6-51啟動(dòng)路由器抓包圖6-52dhcpstarv攻擊（3）在路由器AR1上，再次輸入命令“displayippoolnameIP_150used”并執(zhí)行，此時(shí)，可以看到DHCPServer的地址池被占滿了，如圖6-53所示。圖6-53地址池被占滿（4）進(jìn)入Wireshark工具抓包界面，當(dāng)出現(xiàn)dhcpstarv攻擊時(shí)，DHCPServer也在持續(xù)、大量回復(fù)DHCPOffer報(bào)文，當(dāng)Kali攻擊機(jī)收到報(bào)文后，發(fā)送DHCPRequest報(bào)文請(qǐng)求占用DHCP服務(wù)器地址，DHCPServer以為是正常的DHCP_Client獲取地址，于是發(fā)送DHCPACK確報(bào)文認(rèn)，如圖6-54所示。圖6-54DHCP分配IP地址抓包（5）雙擊打開兩條DHCPACK數(shù)據(jù)流，可以發(fā)現(xiàn)，在dhcpstarv攻擊中，源MAC地址是不會(huì)改變的，只有CHADDR地址會(huì)改變，如圖6-55所示。圖6-55CHADDER地址改變（6）在交換機(jī)LSW1中，輸入命令“