首先使用“快照 X”恢复 Windows/Linux 系统环境。
一. ARP欺骗攻击
实验需求:
(1)本实验使用交换网络结构(参见附录 B),组一、二和三间通过交换模
块连接(主机 A、C、E通过交换模块连接,主机 B、D、F 也通过交换模块连接) 。
因此,正常情况下,主机 C无法以嗅探方式监听到主机 A 与主机 E间通信数据,
同样主机 D 也无法监听到主机 B 与主机 F 间的通信数据。
(2)主机 C要监听主机 A 和主机 E间的通信数据;主机 D 要监听主机 B 与
主机 F 间的通信数据。
分析:
黑客主机通过对目标主机进行 ARP欺骗攻击,获取目标主机间的通信数据。
1.正常通信
(1)目标主机二单击工具栏“ UDP工具”按钮,启动 UDP连接工具,创建
2513/udp 服务端。
(2)目标主机一启动 UDP连接工具,将“目标机器” IP 地址指定为目标主
机二的地址,目标端口与服务器一致。在“数据”文本框中输入任意内容,单击
“发送”按钮,向服务端发送数据。服务端确定接收到数据。
( 3 ) 黑 客 主 机 单 击 工 具 栏 “ 控 制 台 ” 按 钮 , 切 换 至
/opt/ExpNIS/NetAD-Lab/Tools/ids/目录( Snort 目录),执行如下命令:
通过上述命令 snort 仅会监听源 IP 地址为目标主机一的、传输协议类型为
UDP的网络数据
(4)目标主机一再次向目标主机二发送消息,黑客主机停止 snort 监听
(Ctrl+C),观察 snort 监听结果,是否监听到目标主机间的通信数据。为什么?
没有监听到结果,
目标主机不在同一个共享设备上,正常状态下目标主机一和二间
的通信,黑客主机监听不到它们之间的信息。
(5)目标主机一查看 ARP缓存表,确定与目标主机二的 IP 相映射的 MAC
地址是否正常。