软件学院行政局域网攻击方案.docx
- 文档编号:30643644
- 上传时间:2023-08-18
- 格式:DOCX
- 页数:16
- 大小:888.79KB
软件学院行政局域网攻击方案.docx
《软件学院行政局域网攻击方案.docx》由会员分享,可在线阅读,更多相关《软件学院行政局域网攻击方案.docx(16页珍藏版)》请在冰豆网上搜索。
软件学院行政局域网攻击方案
网络攻击技术专题(论文)
题目:
软件学院行政局域网攻击方案
班级:
电子商务班
姓名:
学号:
日期:
2012.10.19
1.需求分析
在进行攻击之前我们需要对软件学院局域网有详细的了解。
局域网规划的目的:
企业建立局域网的目的,就是为了实现自动化无纸办公等高效率、低成本的运营和管理。
对于企业而言,网络扩充和升级都是网管人员必须面对的。
因此,IP地址的分配和管理对于网管来说尤为重要。
体系化其实就是结构化、组织化,根据企业的具体需求和组织结构为原则对整个网络地址进行有条理的规划。
一般这个规划的过程是由大局、整体着眼,然后逐级由大到小分割、划分的。
从网络总体来说,体系化编制由于相邻且性质相同的办公区都在IP地址上也是连续的,这样不仅于便于网络管理,也方便网络升级。
未来,一旦某个性能相同的办公室区域要划分VLAN或者单独接入互联网,地址无需重新分配。
其实就是在初期规划时为将来的网络拓展考虑,眼光要放得长远一些,在将来很可能增大规模的区块中要留出较大的余地。
建网原则是:
行政局域网应按照精心规划、统一管理、分步实施的原则,并注意充分调动各系、各部门的积极性。
具体分以下步骤实施:
1.当先建设高速主干网的主要框架,用光缆连接主要管理基层。
具体实施目标和办法是先铺设南北区两个主结点间的光缆和两区主要大楼同结点间的连接光缆。
2、重点建成三个管理层内局域网。
学院可重点投资建设行政办公室局域网,初步建立信息管理系统。
其他办公室局域网可在学院统一管理下由各专业、各部门自己建立。
3、购置部分网络应用软件,开通电子邮件、管理信息查询、图书情报查询等部分应用。
4、用光纤或电缆等连接我院所有主要大楼,包括教师住宅楼和学生宿舍楼。
教师和学生是学校的主体,我们建设局域网的目的就是要让这一广大的主群体能够使用计算机和享受网络服务,在条件允许的条件下,应尽快满足他们的要求。
开始时我们可在图书馆、网络中心建一些计算机房,让他们上机操作、查阅资料、获得信息,条件成熟时则将微机直接延伸到学生宿舍楼甚至每一间宿舍里。
现在,软件学院的学生宿舍每间宿舍都可以直接上网,这就方便了许多。
以后,新生入校注册时,校方将向每一个人给一个学号一样也每人分配给一个E-MAIL地址,使他们可以收发电子邮件和获取信息。
5、建成3台以上主要的局域网,并同主干网相连。
教师管理的部分将就近直接连入主干网,有计划地逐步减少基于程控电话交换网的低速网用户。
7、进一部完善网络设施和各种网络应用服务。
全面充实和完善行政局域网建设,进一步配置多种强功能服务软件及各种信息资源。
使行政网成为提供教学、科研、信息和通讯服务的方便、实用、人人都离不开的环境。
在行政网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。
网络拓扑结构图
ARP协议是“AddressResolutionProtocol”(地址解析协议)的缩写。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
但这个目标MAC地址是如何获得的呢?
它就是通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的,ARP协议对网络安全具有重要的意义。
1.2ARP的工作原理:
正常情况下,每台主机都会在自己的ARP缓冲区中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。
当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;
如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。
此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。
网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。
如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。
ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。
更何况ARP协议是工作在更低于IP协议的协议层,因此它的危害就更加隐蔽。
ARP类型的攻击最早用于盗取密码之用,网内中毒电脑可以伪装成路由器,盗取用户的密码,后来发展成内藏于软件,扰乱其他局域网用户正常的网络通信,当局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包时,严重的网络堵塞就会开始。
由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然无法正常上网。
这就造成了无法访问外网的问题,另外由于很多时候网关还控制着我们的局域网LAN上网,所以这时我们的LAN访问也就出现问题了。
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。
其他用户原来直接通过路由器上网现在转由通过病毒主机上,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。
当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
目前知道的带有ARP欺骗功能的软件有“QQ第六感”、“网络执法官”、“P2P终结者”、“网吧传奇杀手”等,这些软件中,有些是人为手工操作来破坏网络的,有些是做为病毒或者木马出现,使用者可能根本不知道它的存在,所以更加扩大了ARP攻击的杀伤力。
在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。
ARP协议对网络安全具有重要的意义。
通过伪造IP地址和MAC地址实现ARP欺骗,对网络的正常传输和安全都是一个很严峻的考验。
从影响网络连接通畅的方式来看,ARP欺骗有两种攻击可能,一种是对路由器ARP表的欺骗;另一种是对内网电脑ARP表的欺骗,当然也可能两种攻击同时进行。
不管理怎么样,欺骗发送后,电脑和路由器之间发送的数据可能就被送到错误的MAC地址上,从表面上来看,就是“上不了网”,“访问不了路由器”,“路由器死机了”,因为一重启路由器,ARP表会重建,如果ARP攻击不是一直存在,就会表现为网络正常,所以网吧业主会更加确定是路由器“死机”了,而不会想到其他原因。
为此,宽带路由器背了不少“黑锅”,但实际上应该ARP协议本身的问题。
局域网是一个比较特殊的环境,它带给大家文件共享的很多便利,然后,与此同时局域网内也暗藏很多隐患,这里介绍一下如何利用“密码监听器”来发动对局域网攻击的。
利用在行动配置密码监听器,密码监听器用于监听基于网页的邮箱密码、POP3收信密码、FTP登录密码、网络游戏密码等,只需要一台电脑上运行,就可以监听局域网内任意一台电脑登录网页邮箱、使用POP3收信以及其它登录的用户名和密码,并将密码显示,保存,或发送到用户指定的邮箱。
邮箱设置下载该软件后,运行压缩包中的pswmonitor.exe,打开程序主界面点击“邮件”选项,在“邮件发送与接收参数”功能区域设置好邮箱以及密码等信息,点击“测试”,如果输入正确则会弹()出一个提示框“测试邮件发送成功”。
,设置自动发送邮件,我们还可以设置让软件自动发送监听到的密码到指定的邮箱,在“自动发送邮件设置”中,勾选“自动发送密码到指定的邮箱”,并在下面选择发送的方式,包括“每获取到一个密码发送一次”,“每获取到X个密码发送一次”,“每隔X分钟发送一次”,设置完毕后,点击“应用“按钮即可。
(3)设置密码保护为了防止别人对本软件进行设置和更改,你还可以设置一个查看密码。
(4).自动保存监听记录点击“保存”选项,勾选“自动保存”点“应用”即可。
此外,为了操作更方便,该软件还可以使()用热打开注册表,依次展开找到如下子键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\pswmonitor。
轻松监听密码经过上述的设置,然后切换到“监听”页面,就可以点击“隐藏”按钮来监听密码了,由于隐藏了软件界面,所以一切都在隐藏处进行,通常是不会发现的。
需要注意的是记住自己设置的热键,否则自己也不能打开软件来查看密码了。
只要有机器登录了邮箱,或者登录了游戏,那么很快密码就会在软件中看到,同时如果设置了自动发送,则会按你的设置发送到邮箱。
ARPDDOS攻击,ARP返回数据包欺骗,ARP请求欺骗,ARP全网请求欺骗,ARP中间人欺骗,ARPIP地址冲突,ARP网关欺骗,ARP交换机端口转发欺骗(最厉害,就是幻境网盾skiller的攻击方法.
Arp–ddos攻击其实就是连续大量发送正常ARP请求包,耗费主机带宽,这种攻击在局域网里面意义不算太大,例如ADSL猫,发送ARP请求,几分终就会让它死掉,这种数据包是属于正常包,不会被ARP防火墙和交换机过滤掉。
此解决方法,在一些交换机中做流量限制,ARP返回数据包欺骗,这种欺骗是最常见的一种欺骗,就是向主机发送ARP返回数据包,这种包把IP做成网关地址,发送端的物理地址是自己的或伪造的,让对方电脑的IP--MAC地址表出现错误,当IP报文把这个硬件地址添到数据中发送就会出现找不到正确的物理出口地址。
这种的防护比较简单,用ARP-S绑定网关,还有就是用ARP防火墙,不过这种欺骗可能会被路由器发送的正确的地址给覆盖掉。
ARP请求欺骗,ARP请求欺骗也是比较常见的,他是ARP的请求协议.在目的IP和MAC地址上都没错误,错误是请求者的MAC地址有问题,并不真的.这种欺骗和返回欺骗仅OP值不同。
防护办法和上面那种一样。
ARP全网请求欺骗,这种欺骗是请求欺骗和返回欺骗的更进一步延伸,原理就是把以太帧头的目标地址改成FF-FF-FF-FF-FF-FF就是广播到所有主机,源地址IP地址或是网关IP地址,物理地址是假的MAC地址,切记在目的IP中,是192.168.1.255组播地址。
这种防护方法和上面相同,网络执法管一类软件的全网阻断功能就是用这种方法实现。
ARP中间人欺骗,这种欺骗是在交换机下面进行的,有人说交换环境下面数据流是安全的,下面这种攻击方式就是针对交换机.
大概的流程是这样的,ABC三台电脑,A和C进行正常通讯,B发起中间攻击,B首先发送ARP欺骗告诉A我B就是C,然后告诉C我B就是A.这样A和C之间的数据传输过程就被B完全给查看到了,这种欺骗也要做一个数据转发机制,不然A和C之间的通讯就会断掉,如P2P终结者就是这类欺骗
ARPIP地址冲突,P地址冲突也是ARP数据包造成的,他就是把以太网帧头地址广播,包里面的源IP地址和目的IP地址是一样,这种包是很常见的,有可能大家都不知道,每次你PC开机的时候他都会把自己IP地址广播一下,看下有没有计算机使用相同IP地址,这种广播给它定义成”免费ARP”。
这种广播直接用ARP防火墙就可以过滤掉.其实这种包也不会造成断网,只是老弹出烦人的对话框,象长角牛网络监控就有一种是发送这样的一种包。
ARP网关欺骗,这种欺骗是从另一种欺骗方法的延伸,假如客户端做了网关静态绑定,安装了ARP防火墙你不能对它做欺骗,无法对它断开互连网,那我们就对网关进行ARP欺骗。
例如A是客户端,B是服务器。
A做了防护,并你想阻断他上互联网,那么我们对B做A的欺骗,就是把B认为是台电脑,一直给他发送A的虚假地址,这种包要连续不断的,数据量要大些。
ARP交换机欺骗{skiller},这种攻击方法是近两年来才有的,原理就是改变了交换机的转发列表。
ARP交换机欺骗攻击思路,交换机是根据以太网ARP协议的源地址目地址帧头来进行转发的,例如A在交换机的1号口,网关在3号口,交换机就按A发送的目的地址从3号口出去,因为交换机内部维护着一个动态的地址列表,里面有MAC地址和物理端口的对照表。
2.攻击机:
安装WinPcap
攻击机:
运行‘局域网终结者’,写入目标主机的IP,点‘添加到阻断列表’;
目标机:
网络连接被阻断;
4,攻击机:
取消选中地址;
5,到目标机器上验证,网络通信应该恢复正常。
WinArpAttacker攻击
WinArpAttacker的界面分为四块输出区域
第一个区域:
主机列表区,显示的信息有局域网内的机器IP、MAC、主机名、是否在线、是否在监听、是否处于被攻击状态。
另外,还有一些ARP数据包和转发数据包统计信息,如:
ArpSQ:
是该机器的发送ARP请求包的个数;ArpSP:
是该机器的发送回应包个数;ArpRQ:
是该机器的接收请求包个数;ArpRQ:
是该机器的接收回应包个数;Packets:
是转发的数据包个数,这个信息在进行SPOOF时才有用。
Traffic:
转发的流量,是K为单位,这个信息在进行SPOOF时才有用。
第二个区域是检测事件显示区,在这里显示检测到的主机状态变化和攻击事件。
主要有IP冲突、扫描、SPOOF监听、本地ARP表改变、新机器上线等。
当你用鼠标在上面移动时,会显示对于该事件的说明。
第三个区域显示的是本机的ARP表中的项,这对于实时监控本机ARP表变化,防止别人进行SPOOF攻击是很有好处的。
第四个区域是信息显示区,主要显示软件运行时的一些输出,如果运行有错误,则都会从这里输出。
3.1扫描。
当点击“Scan”工具栏的图标时,软件会自动扫描局域网上的机器。
并且显示在其中。
当点击“Scanchecked"时,要求在机器列表中选定一些机器才扫描,目的是扫描这些选定机器的情况。
当点击"Advanced"时,会弹出一个扫描框。
这个扫描框有三个扫描方式:
第一个是扫描一个主机,获得其MAC地址。
第二个方式是扫描一个网络范围,可以是一个C类地址,也可以是一个B类地址,建议不要用B类地址扫描,因为太费时间,对网络有些影响。
可设为本地的C类地址扫描,也可设为另一个C类地址,如192.168.0.1-254。
也可以扫描成功。
第三个方式是多网段扫描,如果本机存在两个以上IP地址,就会出现两个子网选项。
下面有两个选项,一个是正常扫描,扫描在不在线,另一个是反监听扫描,可以把正在监听的机器扫描出来。
3.2攻击
攻击功能有六个:
FLOOD:
不间断的IP冲突攻击。
BANGATEWAY:
禁止上网
IPConflict:
定时的IP冲突。
SniffGateway:
监听选定机器与网关的通讯。
SniffHosts:
监听选定的几台机器之间的通讯。
SniffLan:
监听整个网络任意机器之间的通讯,危险指数较高,可能会把整个网络搞乱,慎用!
所有的攻击在你觉得可以停止后都要点击STOP停止,否则将会一直进行。
FLOOD:
选定机器,在攻击中选择FLOOD攻击,FLOOD攻击默认是一千次,你可以在选项中改变这个数值。
FLOOD攻击可使对方机器弹出IP冲突对话框,导致down机,因而要小心使用。
BANGATEWAY:
选定机器,选择BANGATEWAY攻击。
可使对方机器不能上网。
IPConflict:
会使对方机器弹出IP冲突对话框。
SniffGateway:
监听对方机器的上网流量。
发动攻击后用抓包软件来抓包看内容。
我们可以看到Packets、Traffic两个统计数据正在增加。
我们现在已经可以看到对方机器的上网流量。
SniffHosts和SniffLan也类似,因而不再演示。
在选项中可以对攻击时间和行为进行控制。
除了FLOOD是次数外,其他的都是持续的时间,如果是0则不停止。
下面的三个选项,一个是攻击后自动恢复ARP表,其他两个是为了保证被监听机器能正常上网因而要进行数据转发。
建议都保持选择。
在检测事件列表中,我们刚才进行的攻击已经在检测事件列表中被检测出来。
你在这里可以看到是否有人对你进行攻击,以便反制。
3.3选项
Adapter是选择要绑定的网卡和IP地址,以及网关IP、MAC等信息。
有时一个电脑中有许多网卡,需选择正确的以太网网卡。
一个网卡也可以有多个IP地址,你要选择你要选择的那个IP地址。
网关也是一样。
如果你在GatewayMac中看到的是全0的MAC,那么可能没有正确获得网关MAC。
你可以刷新一下来重新获得。
UPDATE是针对机器列表的更新,有两个选项:
第一个是定时扫描网络来更新机器列表。
第二个是被动监听,从过往的数据包中获取新机器的信息。
定时扫描可设定扫描间隔时间。
被动监听可以选择数据包类型,因为一些数据包可以是假的,因而获得的IP和MAC对可能是错误的。
需仔细选择。
DETECT第一个选项是说是不是要一运行就开始检测,第二个数据包个数是指每秒达到多少个数据包时才被认为是扫描,这个是与检测事件输出有关的。
第三个是在多少的时间内我们把许多相同的事件认为是一个事件,如扫描,扫描一个C网段时要扫描254个机器,会产生254个事件,当这些事件都在一定时间内(默认是5分钟时,只输出一个扫描事件。
)
ANALYSIS:
只是一个保存数据包功能,供高级用户分析。
ARP代理:
当你启用代理功能之后,这些选项才会有效。
在ArpPacketSendMode中,是要选择当谁发送ARP请求包时我要回应,在Macaddress中是要选定回应什么MAC地址,可以是本机、网关或者一个任意的MAC。
当局域网内的机器要访问其他机器或网关时,它会发出ARP请求询问包,如果你启用了该功能,軟件就会自动回应你设定的MAC地址,因而你如果设的是错误的MAC,则许多机器可能都上不了网。
PROTECT:
这是一个保护功能,当有人对你或者局域网内的机器进行ARP监听攻击时,它可以自动阻止。
其中有两个选项,一个是本机防护,防护本机不被SPOOF,第二是远程防护,也就是防护其它机器。
不过估计第二个功能实现得不会好,因而SPOOF另外两机器时,ARP包是不大可能到达本机的。
但是本机防护还是较为实用。
当你对本机进行禁止上网攻击时,软件能正确地检测到四个事件:
两个禁止访问事件,说0.0.0.0发送特别ARP包禁止本机和网关192.168.253.1通讯,第三个事件说一个IP-MAC对加入到本机ARP表中,且是错误的IP-MAC对,最后一个事件说01-01-01-01-01-01已经被修改成正确的MAC:
00-11-22-33-44-54,这就是PROTECT起作用了,软件根据机器列表中的MAC地址修改了ARP中的错误MAC。
四、手动发送ARP包
再讲一下手动发送ARP包的功能,这是给高级用户使用的,要对ARP包的结构比较熟悉才行。
如果你知道ARP攻击原理,你可以在这里手工制作出任何攻击包。
按照以下步骤制作一个IP冲突包,冲突的对象是本机。
目标MAC是本机,源MAC可以是任意的MAC,目标IP和源IP都是本机IP,做完后发送试试。
如果操作正确你会看到IP冲突报警,软件也有检测出来,这是IP冲突包。
1,攻击机:
运行WinArpAttacker.exe(需预安装WinPcap3以上版本)
2,目标机:
在WinArpAttacker主界面点‘option’->‘Adapter’;
3,在Option页面中,设定本机要绑定的网卡和MAC(多网卡情况);
4,在‘update’选型卡中,勾选‘AutoScan………’;
5,在‘Detect’选项卡中,勾选‘Beginto…..’;
6,在‘Protect’选项卡中,勾选‘EnableLocal’,然后点‘Apply’;
7,返回主界面,在‘Scan’项中选‘ScanLan’,重新扫描局域网主机;
8,扫描后结果;
9,勾选要攻击的主机,点attack->IPConflict,发动IP冲突攻击;
10,到被攻击机器上查看,显示‘IP地址冲突’,网络服务中断;
11,被攻击机器上的事件察看器记录下被攻击的事件;
12,攻击机:
点attack–〉stopattack结束攻击;
总结
在这次实训中,我学到了许多东西,比如耐心,我以前做事情总是急于求成,所以很多事情做得不是很好,很容易出错的,信心也很重要,没有信心就很难做成大事,名人说过,信心是通向成功的一把钥匙。
我的计算机网络基础课学的不是很好,理论知识还很薄弱,老师刚布置任务的时候,我惊呆了,要我怎么做呀,我一点也不懂。
但是不懂不学,就永远不懂,我当时很无奈,后来想想,不管怎么样,做得好不好都要做啊,不如尽自己最大的努力去完成它,在接下来的时间中,我一点一点的操作,在网上查资料,我坚信我一定能好好的完成实训任务。
在这次实训中,让我体会最深的是理论联系实际,实践是检验真理的唯一标准。
理论知识固然重要可是无实践的理论就是空谈。
真正做到理论与实践的相结合,将理论真正用到实践中去,才能更好的将自己的才华展现出来。
以前学的那些计算机网络的理论知识,都没有得到很好的运用,总以为自己懂了,可真正用起来时就觉得很困难。
我以前总以为看书看的明白,也理解就得了,经过这次,我现在终于明白,没有实践所学的东西就不属于你的。
俗话说:
“尽信书则不如无书”我们要读好书,而不是读死书。
现在的社会需要的是动手能力强的人,而不是理论好的人,对于我们来说这更重要了。
我认为我也有很多不足的地方,我相信通过我的努力,我以后一定会改掉这些缺点的。
通过防御,采用隔离、备份的思想设计,为银行打造了一个安全、高效、稳定、易管理的办公局域网。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 软件 学院 行政 局域网 攻击 方案