• / 8
  • 下载费用:5 金币  

Wireshark分析Arp协议安全实验.pdf

关 键 词:
WIRESHARK 分析 ARP 协议 安全 实验
资源描述:
信息与通信工程学院网络及其内容安全第一次实验报告Wireshark分析Arp协议安全实验班 级: 信通5班姓 名: 王泽南学 号: 2012210127序 号: 06一.实验内容:1.学习wireshark软件的使用方法2.学习ARP协议的工作原理以及ARP分组格式3.学习使用WireShark对ARP协议进行分析二.实验原理:1.Wireshark 介绍Wireshark是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具,Wireshark是最好的开源网络分析软件。2.Wireshark 的主要应用如下(1)网络管理员用来解决网络问题(2)网络安全工程师用来检测安全隐患(3)开发人员用来测试协议执行情况(4)用来学习网络协议(5)除了上面提到的,Wireshark还可以用在其它许多场合。3.Wireshark 的主要特性(1)支持UNIX和Windows平台(2)在接口实时捕捉包(3)能详细显示包的详细协议信息(4)可以打开/保存捕捉的包(5)可以导入导出其他捕捉程序支持的包数据格式(6)可以通过多种方式过滤包(7)多种方式查找包(8)通过过滤以多种色彩显示包(9)创建多种统计分析4.wireshark 工作流程(1)确定Wireshark的位置。如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。(2)选择捕获接口。一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。(3)使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。(4)使用显示过滤器。通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。(5)使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。(6)构建图表。如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据分布情况。(7)重组数据。Wireshark的重组功能,可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现。三.实验方法与步骤:首先,我们安装wireshark软件,启动wireshark软件后,软件的主界面是这样的。主菜单包含了几个项目。File:包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark项.Edit:包括如下项目:查找包,时间参考,标记一个多个包,设置预设参数。(剪切,拷贝,粘贴不能立即执行。)View:控制捕捉数据的显示方式,包括颜色,字体缩放,将包显示在分离的窗口,展开或收缩详情面版的地树状节点GO:包含到指定包的功能Capture:允许您开始或停止捕捉、编辑过滤器。Analyze:包含处理显示过滤,允许或禁止分析协议,配置用户指定解码和追踪TCP流等功能。Statistics:包括的菜单项用户显示多个统计窗口,包括关于捕捉包的摘要,协议层次统计等等。Help:包含一些辅助用户的参考内容。如访问一些基本的帮助文件,支持的协议列表,用户手册。在线访问一些网站,“关于”等等。四.Arp包分析:1.启动WireShark2.选择端口3.开始抓包并分析ARP请求报文将Filter过滤条件设为arp,回车或者点击“Apply”按钮4.ARP请求报文分析第一行 帧基本信息分析第二行 数据链路层:Destination(目的地址):Broadcast(ff:ff:ff:ff:ff:ff)(这是个MAC地址,这个MAC地址是一个广播地址,就是局域网中的所有计算机都会接收这个数据帧)Source(源地址):8c:34:fd:36:2c:4e帧中封装的协议类型:ARP(0x0806)(这个是ARP协议的类型编号。)第三层 ARP协议:在上图中,我们可以看到如下信息:Hardwaretype(硬件类型):Ethernet(1)Protocoltype(协议类型):IP(0x0800)Hardwaresize(硬件信息在帧中占的字节数):6Protocolsize(协议信息在帧中占的字节数):4操作码(opcode):requset(0X0001)发送方的MAC地址(SenderMACaddress):8c:34:fd:36:2c:4e发送方的IP地址(SenderIPaddress):10.103.89.231目标的MAC地址(TargetMACaddress:):00:00:00:00:00:00目标的IP地址(TargetIPaddress:):10.103.89.1五.Arp包安全威胁分析1.基于头部的攻击任何针对ARP协议的头部的攻击必须由与目标主机处在同一个网络中的主机实施。无效的ARP数据包通常被主机丢弃。所以,基于头部的攻击并不有效。2.基于协议的攻击当攻击者发现一个ARP请求,用无效的ARP应答回应。这能造成ARP缓冲区中填满错误信息。由于ARP请求是广播包,因此网络中的每个设备都将发现这个请求。攻击者需要在真正的ARP应答到达以前,向受害者发送ARP应答。一些主机将探测到因相互冲突的结果导致多个ARP应答,并标识为警告。攻击的结果是一个无效的MAC地址被放到受害者的ARP缓冲区中,这将阻止受害者与目标设备之间的通信。另一个结果是在攻击者发送带有MAC地址的虚假ARP应答给另一个攻击者,造成收到这个ARP应答的主机把数据包发送到错误的主机,这常常被称为ARP缓冲区中毒。3.基于流量的攻击(雪崩攻击)攻击者能够远程制造一个ARP广播雪崩。如上图所示,目标网络是一个C类网络,所包含的主机较少。当一个来自另一个网络的数据包其目标是目标网络中的主机时,路由器检查它的ARP表以确认它是否需要向目标发送一个ARP请求。如果攻击者向目标网络中的各个地址发送一个数据包,则攻击者在完成攻击后,路由器ARP表将包含4个条目。由于主机数目可能达到254台,因此路由器可能发送多达253个ARP请求。这253个ARP请求中,249个是没有回应的,并且在一般环境下路由器对每个请求重新尝试4次,这将导致近1000个ARP请求的产生,这对其自身来说可能不是一个问题。但是,若攻击者继续扫描目标网络地址空间,向每台可能的主机发送一个数据包。每次扫描目标网络能够导致路由器发送1000个ARP请求。可以设想,多个攻击者以相同方式瞄向一个网络,这样能够导致成千上万个广播包产生。可以采取一些常见的方法来消除这种攻击,即通过路由器或其他网络设备限制进入网络的数据包数量。这能够有助于消除雪崩式的攻击,但新的问题是当这些设备阻塞或者阻止了过多的流量时,一些合理的流量也可能收到影响。一般来讲,针对流量的攻击是难以制止的。4.Arp欺骗ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。防范措施:建立DHCP服务器;建立MAC数据库;网关机器关闭机器ARP动态刷新的过程,使用静态路由;网关监听网络安全。
展开阅读全文
1
  金牌文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:Wireshark分析Arp协议安全实验.pdf
链接地址:http://www.gold-doc.com/p-255457.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们
[email protected] 2014-2018 金牌文库网站版权所有
经营许可证编号:浙ICP备15046084号-3
收起
展开