中国人民公安大学 Chinese people’ public security university 网络对抗技术 实验报告 实验二 网络嗅探与欺骗

中国人民公安大学

Chinese people public security university

 

网络对抗技术

实验报告

 

实验二

网络嗅探与欺骗

 

 

 

学生姓名

 陈禹

年级

2018 

区队

 网络安全与执法1区队

指导教师

高见 

 

 

信息技术与网络安全学院

2020112

 

实验任务总纲

 

一、实验目的

1.加深并消化本课程授课内容,复习所学过的互联网搜索技巧、方法和技术;

2.了解并熟悉常用的网络嗅探方式,掌握常用抓包软件的使用方法和过滤技巧,能够对给定的数据包分析网络基本行为;掌握ARP欺骗的基本原理,以及基于ARP欺骗的DNS攻击方式;

3.达到巩固课程知识和实际应用的目的。

二、实验要求

1.认真阅读每个实验内容,需要截图的题目,需清晰截图并对截图进行标注和说明。

2.文档要求结构清晰,图文表达准确,标注规范。推理内容客观、合理、逻辑性强。

3.软件工具可使用office2003或2007、CAIN、Wireshark等。

4.实验结束后,保留电子文档。

、实验步骤

1.准备

提前做好实验准备,实验前应把详细了解实验目的、实验要求和实验内容,熟悉并准备好实验用的软件工具,按照实验内容和要求提前做好实验内容的准备。

2.实验环境

描述实验所使用的硬件和软件环境(包括各种软件工具);

开机并启动软件、浏览器、Wireshark、CAIN。

 

3.实验过程

1)启动系统和启动工具软件环境。

2)用软件工具实现实验内容。

4.实验报告

按照统一要求的实验报告格式书写实验报告。把按照模板格式编写的文档嵌入到实验报告文档中,文档按照规定的书写格式书写,表格要有表说图形要有图说。

第一部分   ARP欺骗 

 

1.一共三台主机在同一个局域网内,IP地址分别为192.168.43.138(被欺骗主机)  192.168.43.181(被欺骗主机)  192.168.43.82(攻击方),进行实验。

2.欺骗攻击前后,通过Arp-a命令验证欺骗是否成功(附截图)

3.欺骗过程中,在主机A开启Wireshark进行抓包,分析APR欺骗攻击过程中的数据包特点。(附截图)

4.欺骗过程中,在主机C开启Wireshark进行抓包,分析FTP协议的登录过程(附流程图)

5.欺骗完成后,主机C成功获取FTP用户名和密码(附截图)

 

 

 

 

ARP欺骗攻击过程展示

查询受害主机被欺骗前的状态

ARP欺骗前192.168.43.138机正常缓存表

 

 

 

 

 

2、在192.168.43.82号机器上运行Evil FOCA,选择要嗅探的网卡(单网卡,默认就可以)

3、Evil FOCA 程序自动扫描局域网中的活动主机IP及MAC地址。

 

3、选中apr中间人攻击,加号添加需要欺骗的两台主机

 

 

 

 

 

点start按钮,欺骗成功。

 

4、

下图为欺骗开始后在192.168.43.138机器上用arp –a命令查询本机arp缓存表的情况,会发现缓存表中的192.168.43.181对应的MAC地址变成了192.168.43.82号机(实施ARP欺骗的机器)的MAC地址

 

 

 

 

5.登录FTP和邮箱的过程

主机192.168.43.138架设了ftp服务器如图

 

主机192.168.43.181访问ftp服务器

 

 

 中间人主机192.168.43.82使用软件wireshark抓包截图

 

 

 成功获取登录账号密码

 

 

第二部分 DNS

 

1. 两台主机分别为192.168.43.138和192.168.43.82

2.192.168.43.82主机访问网站www.ppsuc.edu.cn

3.192.168.43.138主机扮演攻击者,设计攻击方法,使用EvilFoca,通过DNS欺骗的方式,让192.168.43.82主机访问www.ppsuc.edu.cn网址的时候,访问到192.168.43.138主机上使用IIS架设伪造网站

重点步骤

 在EvilFoca中添加DNS欺骗选项

 

 

 

 

 

欺骗成功后,在被害机器上查看www.ppsuc.edu.cn的IP 查看是否被解析到了,指定的IP地址上。

 

 使用ping命令发现www.ppsuc.edu.cn的IP已经成功解析到192.168.43.138上。

 

 

 第三部分 FTP协议分析

 

1. 两台主机分别为192.168.43.138和192.168.43.82

2.192.168.43.138主机架设FTP服务器,并设置用户名和密码,账号admin ,密码123456

3.主机192.168.43.82安装Wireshark,并将其打开;之后用用户名和密码登陆主机138的FTP服务器,并上传一张图片和一个压缩包。

4.停止Wireshark抓包,分析数据包中的FTP登录过程,还原登录用户名和密码,以及上传文件。

 

 

 追踪流

 

流分析

 

还原FTP传输文件

 

posted @ 2020-11-02 10:19  p201821410006  阅读(250)  评论(0)    收藏  举报