实验二网络嗅探与欺骗

中国人民公安大学

Chinese people’ public security university

网络对抗技术

实验报告

实验二

网络嗅探与欺骗

学生姓名	x
年级	x
区队	x
指导教师	x

信息技术与网络安全学院

2020年11月5日

实验任务总纲

2020-2021 学年第一学期

一、实验目的

1．加深并消化本课程授课内容，复习所学过的互联网搜索技巧、方法和技术；

2．了解并熟悉常用的网络嗅探方式，掌握常用抓包软件的使用方法和过滤技巧，能够对给定的数据包分析网络基本行为；掌握ARP欺骗的基本原理，以及基于ARP欺骗的DNS攻击方式；

3．达到巩固课程知识和实际应用的目的。

二、实验要求

1．认真阅读每个实验内容，需要截图的题目，需清晰截图并对截图进行标注和说明。

2．文档要求结构清晰，图文表达准确，标注规范。推理内容客观、合理、逻辑性强。

3．软件工具可使用office2003或2007、CAIN、Wireshark等。

4．实验结束后，保留电子文档。

三、实验步骤

1．准备

提前做好实验准备，实验前应把详细了解实验目的、实验要求和实验内容，熟悉并准备好实验用的软件工具，按照实验内容和要求提前做好实验内容的准备。

2．实验环境

描述实验所使用的硬件和软件环境（包括各种软件工具）；

开机并启动软件office2003或2007、浏览器、Wireshark、CAIN、ettercap等。

工具下载地址：
CAIN https://pan.baidu.com/s/19qDb7xbj1L_2QnoPm71KzA

Wireshark 链接：https://pan.baidu.com/s/1BeXghjVV9Mll_cAmeMCTPg 密码：mbpv

迷你FTP https://pan.baidu.com/s/16ms4hXVOmMHhDEe3WraRHQ

NetworkMiner https://pan.baidu.com/s/14e3VluLPjWFKxqNhdpYO9Q

3．实验过程

1）启动系统和启动工具软件环境。

2）用软件工具实现实验内容。

4．实验报告

按照统一要求的实验报告格式书写实验报告。把按照模板格式编写的文档嵌入到实验报告文档中，文档按照规定的书写格式书写，表格要有表说图形要有图说。

注：本次实验采用虚拟机，具体网络资产情况如下

攻击机：192.168.242.100

受害客户机：192.168.242.128

受害FTP服务器：192.168.242.145

网关/DNS服务器：192.168.242.2

第一部分 ARP欺骗

1.两个同学一组，进行实验拓扑环境如下图所示。

2.欺骗攻击前后，通过Arp-a命令验证欺骗是否成功（附截图）

3.欺骗过程中，在主机A开启Wireshark进行抓包，分析APR欺骗攻击过程中的数据包特点。（附截图）

4.欺骗过程中，在主机C开启Wireshark进行抓包，分析FTP协议的登录过程（附流程图）

5.欺骗完成后，主机C成功获取FTP用户名和密码（附截图）

首先，在开始arp攻击之前，查看一下受害主机被欺骗前的状态

攻击前受害服务器192.168.242.145的ARP缓存状态

攻击前受害客户机192.168.242.128的ARP缓存状态

攻击机kali上ettercap：监听网卡eth0，开始嗅探局域网

先ARP扫描扫出局域网里的主机，选定好我们的预设目标后，开始ARP欺骗

ARP攻击开始后，回到两台受害机上，分别查看受害主机与受害服务器上的ARP缓存表的变化，可以发现他们的ARP缓存表均已按照我们的预期被成功污染。

此时通过攻击机上wireshark监听网卡eth0，选用arp捕获过滤器。可以发现

我们对抓取到的ARP包稍作分析，即可再次印证ARP攻击的原理。这种攻击能成功的核心原理就是利用了ARP协议的一个缺陷：主机或网关收到一个ARP应答包后，并不会去验证自己是否发送过对应的ARP请求，也不会验证这个ARP应答包的MAC地址是否可信，而是直接用该应答包里的IP-MAC地址的映射关系替换掉自身ARP缓存表中原有的相应信息。

此时让受害客户机登录一下ftp服务器（受害服务器）：

通过kali的dsniff监听eth0网卡嗅探受害主机远程登陆ftp服务器的账号密码。

通过wireshark也可以嗅探到eth0上受害主机登录FTP服务器的整个会话过程。

第二部分 DNS欺骗

1. 两个同学一组，A和B。

2.A同学正常访问网站www.baidu.com

3.B同学扮演攻击者，设计攻击方法，使用CAIN，通过DNS欺骗的方式，让A同学访问www.baidu.com网址的时候，访问到另外一台机器上的伪造网站

（这里也延续以上虚拟机环境，模拟kali作为中间人劫持受害客户机查询www.baidu.com的DNS请求包，并响应一个指向了钓鱼网站的DNS响应包）

首先在攻击机上配置一个DNS缓存记录，此处使用ettercap/etc/Ettercap/etter.dns

在ARP欺骗成功的基础上，再在ettercap中激活dnsspoof，开始dns欺骗。（这是一种比较容易实现的基于MITM的DNS劫持，且网上各种DNS劫持工具原理大都也是这种基于中间人的DNS劫持欺骗）

此时在受害机上ping www.baidu.com发现返回的解析地址符合我们的预期为192.168.242.145，说明dns欺骗攻击成功。

查看受害机上内存里的DNS缓存，目标主机DNS缓存确实已被污染。

我们在192.168.242.145上布署一个钓鱼网站，受害主机访问www.baidu.com后成功跳转到钓鱼网站上，至此，基于中间人的DNS劫持成功。

注意：对于DNS劫持无效，要考虑双方是否使用了IPv6协议。例如：若局域网内各PC机除了常规的IPv4外还都开启了IPv6，正好DNS服务器也开了IPv6。此时他们都能同时支持ipv4和ipv6通信（自己除了有IPv4地址，还有IPv6地址，可以通过IPv6找到彼此），那么当攻击机对局域网内某客户主机进行IPv4的ARP欺骗后，仅污染了该主机ARP缓存表里的IPv4-MAC映射记录，但 IPv6-MAC 的映射记录并没有被污染。如此一来，只有他们双方使用IPv4时我才是中间人，当他们使用IPv6通信时，他们是可以正确的找到彼此的，我们中间人的角色就无效了。

这样就造成，我们在kali上嗅探时，有的会话流量是嗅探不到的，而且DNS劫持也基本失败。因此，我们实验时需注意关闭IPv6协议。