網(wǎng)絡安全實驗教程（第2版）課件 8假消息攻擊

第八章假消息攻擊建議學時：4假消息攻擊目錄contentDNS欺騙實驗2ARP欺騙實驗1HTTP中間人攻擊實驗331ARP欺騙實驗實驗原理ARP協(xié)議并沒有采用加密機制，也沒有做嚴格的身份驗證。以太網(wǎng)上的任何主機都可以冒充網(wǎng)內其他主機來發(fā)送ARP請求或響應包，無論這個數(shù)據(jù)包是請求類型還是響應類型，被欺騙主機都會將虛假的IP-MAC地址對映射于緩存。被欺騙主機今后再往該IP地址發(fā)送數(shù)據(jù)時，都會被發(fā)送到虛假MAC地址上。實驗目的通過在局域網(wǎng)內部進行ARP欺騙，實現(xiàn)對內網(wǎng)流量的嗅探，使讀者掌握ARP欺騙的實施方法，理解ARP欺騙原理。41.1實驗設計Ettercap：一款開源的基于C語言開發(fā)的網(wǎng)絡嗅探工具，支持對TCP、UDP、ICMP、WIFI等協(xié)議的主動和被動分析，可發(fā)起ARP欺騙、DNS欺騙、DHCP欺騙、會話劫持、密碼嗅探等攻擊，是實現(xiàn)局域網(wǎng)中間人攻擊的利器。Kali2021.2中默認安裝版本。實驗方法實驗工具使用Ettercap工具，修改ARP緩存，實現(xiàn)對內網(wǎng)流量的嗅探。實驗環(huán)境虛擬機1為被欺騙主機，其操作系統(tǒng)為Windows10，64位。虛擬機2為攻擊主機，其操作系統(tǒng)為Kali2021.2，64位。1.1實驗設計61.2實驗步驟環(huán)境準備，安裝虛擬機Windows10和Kali2021.2，并進行網(wǎng)絡設置啟動Ettercap圖形化界面，并進行配置使用Ettercap進行主機掃描和目標設置，開始ARP欺騙在目標主機上查看ARP緩存，Ettercap中查看嗅探信息ARP欺騙終止010203040571.3問題討論1、在ARP欺騙實驗中，還可以利用Ettercap工具在ARP欺騙的基礎上，實現(xiàn)對用戶名和口令嗅探，請通過實驗完成。82DNS欺騙實驗實驗原理DNS欺騙的過程：客戶端首先以特定的ID向DNS服務器發(fā)送域名查詢數(shù)據(jù)包；DNS服務器查詢之后以相同的ID給客戶端發(fā)送域名響應數(shù)據(jù)包；攻擊者捕獲到這個響應包后，將域名對應的IP地址修改為其他IP地址，并向客戶端返回該數(shù)據(jù)包；客戶端將收到的DNS響應數(shù)據(jù)包ID與自己發(fā)送的查詢數(shù)據(jù)包ID相比較，如果匹配則信任該響應信息。此后客戶端在訪問該域名時將被重定向到虛假的IP地址。實驗目的在ARP欺騙基礎上通過DNS欺騙攻擊實現(xiàn)對訪問網(wǎng)站的重定向，使讀者掌握DNS欺騙的實施方法，理解DNS欺騙原理。92.1實驗設計Ettercap：詳見上節(jié)的實驗工具介紹實驗方法實驗工具同8.3節(jié)ARP欺騙實驗的實驗環(huán)境實驗環(huán)境使用Ettercap工具修改DNS響應包，實現(xiàn)對訪問網(wǎng)站的重定向102.2實驗步驟環(huán)境準備，安裝虛擬機Windows10和Kali2021.2，并進行網(wǎng)絡設置分別ping和，查看解析的IP地址修改Ettercap的dns配置文件，將

的解析IP地址設置為163的IP啟動Ettercap指定對網(wǎng)關和Windows10虛擬機為目標，進行ARP欺騙，同時載入DNS欺騙的插件在Windows10虛擬機上清空DNS緩存及瀏覽器緩存，再次Ping百度，DNS欺騙成功在Kali虛擬機的Ettercap命令行執(zhí)行界面可以看到DNS欺騙的執(zhí)行情況010203040506112.3問題討論1、DNS欺騙實驗中，當DNS欺騙執(zhí)行后，在虛擬機1上打開瀏覽器輸入“”網(wǎng)址，從原理上分析本該出現(xiàn)的頁面，而實際中卻可能出現(xiàn)訪問錯誤，請動手試一下并分析原因。2、使用Wireshark工具分析Ettercap工具對DNS協(xié)議數(shù)據(jù)包的哪些內容進行了篡改。思考在未查詢到域名對應IP地址的情況下，使用Ettercap工具能否成功實施DNS欺騙？請動手驗證一下。123HTTP中間人攻擊實驗實驗原理HTTP協(xié)議內容都采用了明文定義，因此很容易受到嗅探和中間人攻擊的威脅。實驗目的在ARP欺騙基礎上通過HTTP中間人攻擊實現(xiàn)對訪問網(wǎng)站的重定向，使讀者掌握HTTP中間人攻擊的實施方法，理解HTTP中間人攻擊原理。133.1實驗設計Ettercap：詳見上節(jié)的實驗工具介紹實驗方法實驗工具同8.3節(jié)ARP欺騙實驗的實驗環(huán)境實驗環(huán)境在對目標主機和網(wǎng)關進行雙向ARP欺騙的基礎上，通過編寫Ettercap工具的filter插件，對嗅探到的302重定向數(shù)據(jù)包進行修改，實現(xiàn)對目標主機訪問網(wǎng)頁的篡改。143.2實驗步驟重復ARP欺騙實驗的過程，選擇網(wǎng)關和Windows10虛擬機作為目標在win10的瀏覽器中輸入http://

，查看瀏覽器返回頁面Kali的Ettercap圖形化界面查看嗅探到的詳細數(shù)據(jù)，找到網(wǎng)站服務器返回的代碼為302的重定向包，可以看到響應頭部的Location字段指定到https://編寫filter文件，對TCP報文中的Location字段進行查找替換，替換為”Location:http://#”，將filter文件轉化為Ettercap能夠識別的ef格式運行Ettercap，對網(wǎng)關和Win10進行ARP欺騙，同時根據(jù)修改的ef文件進行過濾在Win10瀏覽器中再次輸入http://

，顯示頁面為

主頁010203040506153.3問題討論1、HTTP中間人攻擊實驗中，還可以通過編