中南大学网络安全课内实验报告.doc

《中南大学网络安全课内实验报告.doc》由会员分享，可在线阅读，更多相关《中南大学网络安全课内实验报告.doc（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 中南大学 CENTRAL SOUTH UNIVERSITY 网 络 安 全 实 验 报 告学生姓名 孙毅 专业班级 信安1401 学 号 0906140106 学 院 信息科学与工程学院 指导教师 王伟平 实验时间 2016年12月 目录实验1 CA证书与SSL连接1应用场景1实验目标1实验拓扑1实验环境1实验过程指导1实验2.1 配置和管理主机防火墙14应用场景14实验目标14实验环境14实验过程指导15实验2。2 综合扫描实验21一、 实验目标21二、 实验拓扑21三、 实验环境21四、 实验步骤21实验3。1 WIFI 钓鱼29步骤一 共享WIFI29步骤二 WIFI 钓鱼30实验3.

2、2 XSS跨站脚本攻击32技术背景32实验目的32实验平台32实验工具32实验要点32实验拓扑33实验步骤33实验3.3 网络ARP攻击39应用场景39实验目标39实验环境39实验拓扑39实验过程40实验3。4 使用防火墙防止DoS_攻击49【实验名称】49【实验目的】49【背景描述】49【需求分析】49【实验拓扑】49【实验设备】50【预备知识】50【实验原理】50【实验步骤】50实验4 SQL注入攻击55【实验目的】55【实验组网拓扑】55【实验一:dvwa手动sql注入】55【实验二：sqlmap测试dvwa】59实验心得61I实验1 CA证书与SSL连接应用场景 在访问Web 站点时，

3、如果没有较强的安全措施,用户访问的数据是可以使用网络工具捕获并分析出来的。在Web 站点的身份验证中，有一种基本身份验证，要求用户访问输入用户名和密码时，是以明文形式发送密码的，蓄意破坏安全性的人可以使用协议分析程序破译出用户名和密码。那我们该如果避免呢?可利用SSL 通信协议，在Web 服务器上启用安全通道以实现高安全性。 SSL 协议位于TCP/IP 协议与各种应用层协议之间，为数据通讯提供安全支持.SSL 协议可分为两层： SSL 记录协议（SSL Record Protocol）：它建立在可靠的传输协议(如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持.SSL 握手协

4、议(SSLHandshake Protocol）:它建立在SSL 记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。每一个Windows Server 2003 证书颁发机构都有可供用户和管理员使用的网页。实验目标l 掌握在Windows Server 2003 下独立根CA 的安装和使用。l 使用WEB 方式申请证书和安装证书。l 建立SSL 网站.l 分析SSL 网站的数据包特点。实验拓扑 VM Client VM Server实验环境虚拟机:Windows Server 2003,Windows XP，Wireshark 抓包软件。实验过程指导

5、任务一：windows server 2003 环境下独立根CA 的安装及使用1、启动Windows Server 2003 和Windows XP，配置其IP，使其在同一局域网网段。2、在Windows Server 2003 中，选择【开始】【控制面板】|【添加和删除程序】,在弹出窗口中选择【添加和删除windows 组件】，在【组件】列表框中选择【证书服务】，再单击【下一步】按钮,如下图所示。3、在弹出的窗口中选择【独立根CA】单选按钮，单击【下一步】按钮，在弹出窗口中按要求依次填入CA 所要求的信息,单击【下一步】按钮,如下图所示.4、 继续选择【证书数据库】、【数据库日志】和配置信息

6、的安装、存放路径，如下图所示。单击【下一步】按钮。安装的时候，可能会弹出如下窗口，为了实验方便，已经把I386 文件夹复制到C:下，选择【浏览】，选择文件夹“C:I386”，点【确定】，完成安装。5、选择【开始】【程序】|【管理工具】,可以找到【证书颁发机构】,说明CA 的安装已经完成,如下图所示。6、从同一局域网中的另外一台XP 开启IE 浏览器，输入http：/windows2003 的IP/certsrv/，选中【申请一个证书】,如下图所示，在弹出的页面中选择【web 浏览器证书】.7、在弹出窗口中填写用户的身份信息，完成后进行【提交】.此种情况下，IE 浏览器采用默认的加密算法生成公钥

7、对,私钥保存在本地计算机中，公钥和用户身份信息按照标准的格式发给CA 服务器，如图所示，单击【是】，进入下一步。CA 服务器响应后，弹出证书申请成功页面，如下图所示。8、在根CA 所在的计算机上，选择【开始】|【程序】【管理工具】【证书颁发机构】，上面申请的证书便会出现在窗口右边,选择证书单击右键，选择【所有任务】|【颁发】，进行证书颁发，如下图所示。证书颁发后将从【挂起的申请】文件夹转入【颁发的证书】文件夹中，表示证书颁发完成。9、在申请证书的计算机上打开IE，输入http:/windows2003 的IP/certsrv/,进入证书申请页面，选择【查看挂起的证书申请状态】,弹出的页面中选择

8、一个已经提交的证书申请，如下图所示。选择安装此证书。10、现在验证此CA 系统颁发的新证书是否可信，为此需要安装CA 系统的根证书，进入证书申请主页面,选择当前的CA 证书进行下载，并保存到合适路径，如下图所示.11、下载完毕之后，在证书的保存目录中查看证书信息，单击【安装证书】按钮，进入证书导入向导,按照默认的配置完成证书的导入，导入成功后，单击【确定】按钮，之后完成。任务二：基于Web 的SSL 连接设置1、 在XP 中，左下角【开始】，打开【Wireshark】，并点击开始抓包的按钮。打开IE 浏览器，输入网址http:/windows2003 的IP/？id=1(比如：http：/19

9、2。168.1。130/?id=1)，然后保存Wireshark的抓包结果1。2、选择【开始】|【程序】【管理工具】【IIS（Internet 信息服务)管理器】,在弹出窗口右键单击【默认网站】，弹出的快捷菜单中选择【属性】选项,如下图所示。3、在弹出窗口内选择【目录安全性】标签,单击【安全通信】中的【服务器证书】按钮，如下图所示。4、 弹出【IIS 证书向导】窗口，选中【新建证书】复选项，一直单击【下一步】按钮，输入自定义的名称，如下图所示。填写相应的信息后,单击【下一步】按钮.5、弹出【请求文件摘要】窗口，确认后单击【下一步】按钮，接着单击【完成】按钮，完成服务器端证书配置，如下图所示。6

10、、 打开IE 浏览器(windows2003 中的），进入证书申请主界面,如下图所示。7、在出现的网页中选择【高级证书申请】，如图所示，在出现的网页中单击第二个选项【base64编码】。打开刚才IIS 证书向导生成的请求文件，（默认路径C:certreq.txt），复制并粘贴文件内容到第一个文本框，如下图所示，单击【提交】按钮，转到完成提交后的页面.8、回到首页，选择【查看挂起的证书申请状态】，弹出的页面中选择一个已经提交的证书申请,如下图所示。选择【Base 64 编码】，点击【下载证书】，【保存】certnew.cer 文件到桌面。9、选择【开始】|【程序】|【管理工具】【IIS（Inte

11、rnet 信息服务）管理器】，在弹出窗口右键单击【默认网站】,弹出的快捷菜单中选择【属性】选项，在弹出窗口内选择【目录安全性】标签,选择【服务器证书】，选择【下一步】，【处理挂起的请求并安装证书】选择【下一步】，【浏览】选择刚才保存的certnew.cer 文件,如下图所示.【下一步】【下一步】【完成】。10、还是在【目录安全性】下，选择【安全通信】下的【编辑】，在下如图所示的弹出窗口中选中【要求安全通道(SSL）】复选项,并在【客户端证书】栏中选中【接受客户端证书】复选项,再单击【确定】按钮.返回【目录安全性】面板，单击【应用】按钮及【确定】按钮，完成配置。11、在XP 系统打开浏览器,输入

12、服务器IP 地址，进入证书申请主页面，此时会显示错误信息页面，要求采用https 的方式连接服务器，如图所示。12、把http 改成https 继续访问，此时浏览器提示你要安装证书，安装完证书后，就可以正常使用了。13 、再次打开Wireshark ， 并点击开始抓包的按钮。打开IE 浏览器， 输入网址https:/windows2003 的IP/？id=1（比如：https：/192。168。1。130/?id=1），然后保存Wireshark 的抓包结果2。14、分析比较抓包结果1 和抓包结果2 中,对IP/？id=1 请求处理的差异. 实验2。1 配置和管理主机防火墙应用场景 对于Int

13、ernet 上的系统，不管是什么情况，首先我们要明确一点:网络是不安全的.因此，虽然创建一个防火墙并不能保证系统100安全，但却是绝对必要的。和社会上其它任何事物一样，Internet 经常会受到一些无聊的或者别有用心的人的干扰，防火墙的目的就是将这类人挡在你的网络之外，同时使你仍然可以完成自己的工作。 那么构筑怎样的Linux 防火墙系统才算是足够安全呢？这是一个很难回答的问题，因为不同的应用环境对安全的要求不一样。用一句比较恰当而且简单的话来回答这个问题：用户了解自己的Linux 系统和设置，并且可以很好地保护好自己的数据和机密文件的安全，这对于该计算机用户来说就可以称之为他的计算机有足够

14、的安全性。 那么到底什么是防火墙呢?防火墙是一个或一组系统，它在网络之间执行访问控制策略。实现防火墙的实际方式各不相同，但是在原则上，防火墙可以被认为是这样一对机制：一种机制是拦阻传输流通行,另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行，而另一些防火墙则偏重允许传输流通过。了解有关防火墙的最重要的概念可能就是它实现了一种访问控制策略。 一般来说，防火墙在配置上是防止来自“外部世界未经授权的交互式登录的。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部，但又允许内部的用户可以自由地与外部通信。如果你切断防火墙的话，它可以保护你

15、免受网络上任何类型的攻击.防火墙的另一个非常重要的特性是可以提供一个单独的“拦阻点”，在“拦阻点”上设置安全和审计检查。与计算机系统正受到某些人利用调制解调器拨入攻击的情况不同，防火墙可以发挥一种有效的“电话监听”和跟踪工具的作用。防火墙提供了一种重要的记录和审计功能；它们经常可以向管理员提供一些情况概要，提供有关通过防火墙的传输流的类型和数量，以及有多少次试图闯入防火墙的企图等信息。 因此本实验将介绍如何配置linux 防火墙。 VM Client VM Server实验目标1. 掌握linux 下基本的iptables 知识2. 学会配置iptablesVM Windows VM Linu

16、x 实验环境虚拟机：linux，windowsXP；linux 主机用户名:root；密码：root实验过程指导一. Iptables 的规则表、链结构1.规则表（iptables管理4个不同的规则表，其功能由独立的内核模块实现）filter 表：包含三个链INPUT OUTPUT FORWARD nat表：PREROUTING POSTROTING OUTPUTmangle 表：PREROUTING POSTROUTING INPUT OUTPUT FORWARDraw 表:OUTPUT PREROUTING2。规则链INPUT 链当收到访问防火墙本机的数据包(入站)时,应用此链中的规则OU

17、TPUT链当防火墙本机向外发送数据包(出站）时，应用此链中的规则FORWARD链收到需要通过防火墙发送给其他地址的数据包，应用此链PREROUTING链做路由选择之前,应用此链POSTROUTING链对数据包做路由选择之后，应用此链中的规则二。 数据包的匹配流程1。规则表之间的优先级raw mangle nat filter2.规则链之间的优先级 入站数据流向：来自外界的数据包到达防火墙,首先PREROUTING规则链处理（是否被修改地址）,之后会进行路由选择(判断该数据包应该发往何处)，如果数据包的目标地址是防火墙本机，那么内核将其传递给INPUT 链进行处理，通过以后再交给上次的应用程序进

18、行响应。 转发数据流向:来自外界的数据包到达防火墙后，首先被PREROUTING 规则链处理，之后进行路由选择,如果数据包的目标地址是其他外部地址,则内核将其传递给FPRWARD 链进行处理,然后再交给POSTROUTIING 规则链(是否修改数据包的地址等）进行处理。 出站数据流向：防火墙本身向外部地址发送数据包,首先被OUTPUT 规则链处理,之后进行路由选择，然后交给POSTROUTING 规则链（是否修改数据包的地址等）进行处理。3.规则链内部各防火墙规则之间的优先顺序依次按第1条规则、第2条规则、第3条规则的顺序进行处理，找到一条能够匹配的数据包规则,则不再继续检查后面的规则（使用L

19、OG记录日志的规则例外)。如果找不到匹配规则，就按照规则链的默认策略进行处理。三。 管理和设置iptables规则Iptables 的基本语法格式选项名功能及特点-A在指定链的末尾添加（-append）一条新规则D删除(-delete）指定链中的某一条规则，按规则序号或内容确定要删除的规则-I在指定链中插入一条新规则，若未指定插入位置，则默认在链的开头插入-R修改、替换指定链中的一条规则,按按规则序号或内容确定要替换的规则L列出指定链中所有的规则进行查看，若未指定链名，则列出表中所有链的内容F清空指定链中的所有规则,若未指定链名，则清空表中所有链的内容-X删除表中用户自定义的规则链P设置指定链

20、的默认策略（大p）n使用数字形式显示输出结果，如显示主机的IP地址而不是主机名v查看规则列表时显示详细的信息V查看iptables命令工具的版本信息-h查看命令帮助信息linenumbers查看规则列表时，同时显示规则在链中的顺序号N新建一条用户自定义的规则链1. 查看规则表# iptables L INPUT -line-numbers /查看filter表中INPUT链中的所有规则，同时显示各条规则的顺序号2. 删除、清空规则# iptables F /不指定表名时，默认情况filter表3. 设置规则链的默认策略 iptables -t filter P FORWARD DROP /将f

21、ilter表中FORWARD规则的默认策略设为DROP# iptables -P OUTPUT ACCEPT /将filter表中OUTPUT规则的默认策略设为ACCEPT四。 条件匹配1。通用（general）条件匹配(直接使用，而不依赖于其他的条件匹配及其扩展）协议匹配（允许使用的协议名包含在/etc/protocols文件中）# iptables -AINPUT -p icmpj REJECT /拒绝进入防火墙的所有icmp数据包 地址匹配拒绝转发来自192。168.1.11主机的数据，允许转发来自192。168。0。/24网段的数据 iptables A FORWARD -s 192.

22、168。1。11 j REJECT 2. 隐含（implicit）条件匹配（需要指定的协议匹配为前提，其对应的功能由iptables自动（隐含）的装载入内核)，如果无匹配条件，默认为REJECT. 端口匹配仅允许系统管理员从202.13。0.0/16网段使用SSH方式远程登录防火墙主机# iptables A INPUT p tcp -dport 22 -s 202。13。0.0/16 -j ACCEPT五。 在进行了上述规则讲解与熟悉之后，接下来的步骤进行防火墙规则配置与测试 禁止Windows主机ping防火墙linux主机，但是允许从防火墙上ping其他主机(允许接受ICMP回应数据）1

23、. 配置linux防火墙主机ip地址，如下图所示:2. 配置windows 主机ip地址，如下图所示:3。 配置linux 主机防火墙规则，如下图所示:4。 在此在windows 主机和linux 主机上进行相互ping 测试，测试结果如下图所示：windows主机无法ping通linux防火墙主机,但是linux主机可以ping通windows主机。实验2。2 综合扫描实验一、 实验目标1.掌握漏洞扫描技术原理 2.了解常见的系统漏洞及防范方法 3.掌握典型的综合扫描工具二、 实验拓扑三、 实验环境虚拟机：Windows2000，XP，2003，X-SCAN 扫描软件 四、 实验步骤1、 设

24、置X-Scan 参数(1)打开综合扫描客户端运行界面进行设置,点击菜单栏“设置中的参数设置进入参数设置界面如下: “地址簿可将预先添加好的各个地址直接加入到 ip 地址内.2、 全局设置：此模块包含所有全局性扫描选项(1) 扫描模块:主要包含一些服务和协议弱口令等信息的扫描,根据字典探测主机各种服务的开启情况及相应的弱口令，对应到每一项都有相应的说明，如图所示的远程操作系统。(2) 并发扫描：主要是对扫描的并发数量进行设置，包括最大并发主机数、最大并发线程数和各插件最大并发数量的设置。(3) 扫描报告：对主机进行扫描完成后的报告生成情况进行设定。(4) 其它设置：主要是对扫描过程中对扫描进度的

25、显示和附加的一些设置,可根据教学需要进行设置.3、 插件设置：此模块包含各扫描插件的相关设置。 (1) 端口相关设置:主要设置想要扫描的各个端口、检测方式和预设的各个服务协议的端口等内容(2) SNMP 相关设置：主要设置检测SNMP 的相关信息(3) NETBIOS 相关设置：主要设置检测NETBIOS 的相关信息(4) 漏洞检测脚本设置：主要是针对于各个漏洞编写的检测脚本进行筛选，选择需要利用的脚本，为方便起见一般设置为全选，也可格局自己需要选择(5) CGI 相关设置：对CGI 的一些参数进行设置:(6) 字典文件设置：主要是对扫描过程中所需要用到的字典进行选取,也可自己手动进行添加数据

26、字典:4、 进行扫描设置完成后点击绿色按钮或菜单中文件-开始扫描进行探测扫描,此扫描的速度与网络环境情况和本机配置等有关，不尽相同： 实验3.1 WIFI 钓鱼步骤一 共享WIFI工具:电脑、WIN7 系统、无线网卡步骤1.开始菜单命令提示符（cmd）右键,以管理员身份运行2。运行以下命令启用虚拟网卡netsh wlan set hostednetwork mode=allow ssid=(这里写无线网名字） key=（这里是密码）3.网络共享中心-更改高级适配器设置-右键已连接到Internet 的网络连接-属性切换到“共享选项卡,选中其中的复选框,并选择允许其共享Internet 的网络连

27、接,这里即我们的虚拟WIFI 网卡4.开启无线网络，继续在命令提示符中运行以下命令:netsh wlan start hostednetwork即可开启我们之前设置好的无线网络（相当于打开路由器的无线功能）步骤二 WIFI 钓鱼工具：其他笔记本或手机、Wareshark步骤1. 搜索到刚刚设置的WIFI,连接上(密码为刚刚设置的key：12345679）2. 在笔记本上打开wareshark，选择captureinterfaces3. 选择Packets 最多的项，点击start 按钮4.在手机或笔记本上打开中南大学邮箱网站: 捕捉http 的包(这里大家可以自由实验，能监控到连接到该WIFI

28、 的机器的所有包的情况）5. 在手机或笔记本上输入用户名和密码，点击登录6. 在主机上用wareshark 捕捉到刚刚post 提交的http 包，右键选择Follow tcp stream7. 可以看到刚刚提交的用户名和密码，且是未经过加密的实验3.2 XSS跨站脚本攻击技术背景 现在的网站包含大量的动态内容以提高用户体验，比过去要复杂得多。所谓动态内容,就是根据用户环境和需要，Web 应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击(Cross Site Scripting， 安全专家们通常将其所写成 XSS）的威胁，而静态站点则完全不受其影响。跨站脚本攻击（也称为 XSS

29、）指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时，通常会点击其中的链接。攻击者通过在链接中插入恶意代码，就能够盗取用户信息。攻击者通常会用十六进制（或其他编码方式）将链接编码，以免用户怀疑它的合法性.网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面，而这个页面看起来就像是那个网站应当生成的合法页面一样。 实验目的 使实验者了解跨站脚本攻击的基本概念。 对 XSS 最佳的防护应该结合以下两种方法:验证所有输入数据，有效检测攻击；对所有输出数据进行适当的编码，以防止任何已成功注入的脚本在浏览器端运行。 实验平台 客户端：Windows20

30、00/XP/2003 服务端： Windows 2003 Server 实验工具 IIS6.0 跨站脚本网页 利用 COOKIE 信息来伪造会话的工具 实验要点 IIS 的跨站脚本平台搭建使用 跨站脚本测试 实验拓扑 实验步骤 实验准备 实验概要：熟悉了解相关的实验工具。编写一个简单的网站、为跨站脚本攻击提供测试平台. 【知识重点】 XSS(Cross Site Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html 代码，当用户浏览该页之时，嵌入其中Web 里面的html 代码会被执行,从而达到恶意用户的特殊目的。 跨站脚本简单的网站 实验概要:了解使用跨站脚本攻击,

31、实现对网络中存在的问题进行保护。 1。建立测试网站：在 VM 被击端安装 IIS 环境，并建立 XSS 测试站点,选择“开始”“管理工具“Internet 服务管理器”命令,打开“Internet 信息服务（IIS）管理器”对话框,在左边的列表框里展开服务器节点,如图 77 所示. （图 1）2。主目录是一个网站的中心,每个 Web 网站都必须有一个主目录,通常它包含带有欢迎内容的或索引文件。（图 2） 3、 设 XSS 攻击页把文件,把如下文件复制到 WWWROOT 目录中testXSS。HTML html head/head body form action = ”testXSS。asp”

32、 method = ”GET” XSS-test page.br Please enter your name： input type = text” name= txtName” value = dfdf/input input type = ”submit” value = Hello/input /form /html testXSS。asp html XSS Test Result ASP Page/head body tml 2、在VM攻击端用IE进行远程测试，主要测试跨站攻击手法中利用img、iframe 等tag 直接发起请求,这适用于无法直接过滤script 的情况。 1） 在

33、表单里输入以下语句 hello iframestyle=”display：none name=”myframe” document.forms0。submit（)alert（test）/script，代码是不会被执行的,因为在源代码里，有其它的标签未闭合， 如少了一个/script,这个时候，你只要闭合一个/script，代码就会执行，如：你在标题处输入 /scriptscriptalert（test)，这样就可以弹出一个test的框。 利用 COOKIE 信息来伪造会话的工具 运行原理 l xss取cookie l 利用cookie伪造session l 定时刷新维持session 1、 连

34、接一具计时功能的站点,或者是服务等。 2、 启动xss取cookie的软件(sessionIE）。 选中启用自动跟踪。这样你会发现网站超时功能就失效了，永远在有效登录状态。 【注意】 完成以上各项操作后，可以尝试再次使用 XXS 对其它脚本如 JSP,从而观察攻击后的结果。 解决方案 1. 及时更新系统补丁。 2. 限定输入的格式要求、并进行检查。 实验3。3 网络ARP攻击应用场景 由于局域网的网络流通不是根据 IP 地址进行，而是按照 MAC 地址进行传输。所以，那个伪造出来的 MAC 地址在主机上被改变成一个不存在的 MAC 地址,这样就会造成网络不通这就是一个简单的 ARP 欺骗，在该

35、 ARP 欺骗中，我们实施的过程包括包捕获，包修改，包植入三个阶段;通过该过程理解 ARP 欺骗的过程及原理. 实验目标 能够通过包编辑器构造虚假 ARP 数据包 l 能够向目标主机发起 ARP 欺骗攻击 l 了解 ARP 欺骗的原理 l 能够根据原理思考并设计实验内容 实验环境 Server：Windows Server 2003 Client:Windows XP Iris 实验拓扑实验过程1 启动 Windows Server 2003 为服务器角色 2 在客户端通过 ping 命令对服务器 ip 进行检测 3 在客户端运行 arp a 查看 arp 缓存，获得服务器的 MAC 地址 4

36、 在客户端的 C:Program FilesIris 中启动 Iris，5 运行 DAMN_Iris3809 文件生成 Iris 所需要信息。 6 在 Iris 中进行网卡配置。选择左侧的 Adapters。在右侧选择要进行捕获的网卡。点击确定。 7 点击 Iris 左侧的 Filters 设置过滤器8 选择 ARP 和反向 ARP，从而对网络中的 ARP 数据包进行监听 9 确定之后点击开始，开始捕获网络中的数据包10 禁用服务器端网卡。再启用服务器端网卡.使之产生 ARP 报文。会捕获到网卡状态变化引起的 arp 消息11 在其中随意选择右边一个 ARP 请求的数据包，在左侧的包编辑器中打

37、开展开细项。12 点击 MAC 头中的 Destination 选项，将该数据包 MAC 头信息中目的 MAC 改为欲攻击服务器的 MAC(服务器 MAC 地址通过在客户端运行 arp a 查看） 13 并且将 ARP 头部的发送 MAC 修改为虚假 MAC（虚假 MAC 随意指定，建议改变真 MAC的后两位）， 14 发送 IP 与欲攻击的服务器 IP 一致(这里服务器 ip 是 10。1.1。90)15 目标 MAC 和目标 MAC 需要按被攻击的服务器进行设定。 16 目标地址改为被攻击服务端的 mac。目标 ip 改成被攻击服务端 ip 地址 17 设定后，将该数据包保存 18 在网络

38、上连续不断发送此数据包19 如下图所示选择持续发送。20 服务端报错，并且该对话框不间断弹出，该无法无法正常提供服务.总结： 我们捕获到的任一个 ARP 数据包，将其目标 MAC、目标 IP、原 IP 都改为要攻击的机地址。将原 MAC 随意填写。会导致收到这个数据包的主机认为网络上有别人跟他使用相同的 IP.从而导致冲突并无法正常访问网络.试思考，如果将攻击目标改为网内的交换机。攻击内容为将网关或代理服务器的地址替换成自己的地址进行欺骗。则网内的 DNS 及到外网的服务访问都会出现中断的情况。因为所有的到外网的数据都流向了攻击机。 实验3.4 使用防火墙防止DoS_攻击【实验名称】 使用防火

39、墙防止 DoS抗攻击 【实验目的】 利用防火墙的抗攻击功能防止 SYN Flood攻击 【背景描述】 某公司使用防火墙作为网络出口设备连接到 Internet，并且公司内部有一台对外提供服务的FTP服务器.最近网络管理员发现Internet中有人向FTP服务器发起SYN Flood攻击，造成 FTP 上存在大量的半开放连接，消耗了服务器的系统资源。 【需求分析】 要防止来自外部网络的 DoS攻击,可以使用防火墙的抗攻击功能. 【实验拓扑】 【实验设备】 防火墙 1台 PC 2台(一台作为 FTP服务器，一台模拟外部网络的攻击者) FTP服务器软件程序 SYN Flood 攻击软件程序【预备知识

40、】 网络基础知识 防火墙工作原理 DoS攻击原理 【实验原理】 SYN Flood 是一种常见的 DoS攻击,这种攻击通过使用伪造的源 IP地址，向目标主机（被攻击端）发送大量的 TCP SYN 报文。目标主机接收到 SYN 报文后，会向伪造的源地址回应TCP SYN_ACK 报文以等待发送端的 ACK报文来建立连接。但是由于发送端的地址是伪造的，所以被攻击端永远不会收到合法的 ACK 报文，这将造成被攻击端建立大量的半开放连接,消耗大量的系统资源，导致不能提供正常的服务。 防火墙的抗攻击功能可以对SYN Flood攻击进行检测，阻止大量的 TCP SYN 报文到达被攻击端，保护内部主机的资源

41、。 【实验步骤】第一步：配置防火墙接口的 IP地址 进入防火墙的配置页面：网络配置接口 IP,单击添加按钮为接口添加 IP地址。 为防火墙的LAN 接口配置IP地址及子网掩码。 为防火墙的WAN接口配置 IP地址及子网掩码。 第二步:配置端口映射规则 为了使 Internet 中的用户可以访问到内部的 FTP 服务器,需要在防火墙上使用端口映射规则将 FTP服务器发布到Internet。进入防火墙配置页面：安全策略安全规则，单击页面上方的端口映射规则按钮添加端口映射规则。规则中的“公开地址为防火墙外部接口（WAN）的地址；“内部地址”为内部FTP服务器的地址；“内部服务”为 FTP服务器提供

42、FTP服务使用的端口号，这里使用默认的 21端口（FTP)；“对外服务为 Internet 用户访问FTP服务器时使用的在外部看到的端口号，这里也使用默认的 21端口（FTP）。 第三步:验证测试在内部 PC 上安装好 FTP Server程序，并进行相应的配置。在外部 PC上测试到达 FTP服务器的连通性,注意这里使用的 FTP目标地址为 1。1。1。1.防火墙将把发送到 1。1.1。1,端口为 21 的请求重定向到内部的 FTP服务器。外部 PC 可以通过预先设置的用户名和密码登录 FTP 服务器。 第四步：实施 SYN Flood 攻击 在外部 PC 上使用 SYN Flood工具向 FTP服务器发起攻击.此时在 FTP服务器上通过Windows 命令 netstat an 可以看到外部主机与 FTP 服务器的 21 端口建立了大量的半开放连接，状态为 SYN_RECEIVED。第五步：配置抗攻击 进入防火墙配置页面：安全策略抗攻击，单击 WAN接口后面的操作图标. 启用抗攻击功能,并开启抗 SYN Flood攻击选项，设置 SYN包速率阈值为 10pps(小于实际攻击端的发包速率