《网络安全技术与实施》教案项目二Word文件下载.docx
《《网络安全技术与实施》教案项目二Word文件下载.docx》由会员分享,可在线阅读,更多相关《《网络安全技术与实施》教案项目二Word文件下载.docx(40页珍藏版)》请在冰豆网上搜索。
由于TCP/IP协议在最初设计时没有考虑到安全性问题而只是用于科学研究,因此它自身存在许多固有的安全缺陷,这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门,使得基于这些缺陷和漏洞的攻击形式多样。
难点与重点讲解方法
利用PacketTracer分析ARP协议的工作原理。
本次课小节
课程小节
1.ARP协议的作用2.ARP协议的报文格式3.ARP协议的工作原理
教后札记
通过本次授课使学生理解ARP协议的作用及工作原理,利用PacketTracer抓包软件分析ARP。
讨论、思考题、作业(含实训作业)
尝试利用GNS3软件分析APR协议。
授课教师:
年月日
教学过程:
[引入新课]:
[讲授新课]:
一、项目背景
A企业是一个跨地区的大型企业,它由A企业长春总部、A企业上海分公司、A企业北京办事处组成,A企业三个分部处于不同城市,具有各自的内部网络,并且都已经连接到互联网中。
小杨作为A企业长春总部网络管理人员,工作之初,他时常会听到领导、员工的责问:
网管,怎么又掉线了?
!
同时,内网文件服务器也偶尔会出现死机、系统崩溃和内容被篡改的现象。
二、ARP协议
1.ARP协议简介
ARP全称为AddressResolutionProtocol,地址解析协议的缩写。
所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。
2.ARP报文格式
目的MAC地址
源MAC地址
0X8006
数据
FCS
硬件类型
协议类型
硬件长度
协议长度
操作类型
源主机的MAC地址
源主机的IP地址
目的主机的MAC地址
目的主机的IP地址
3.ARP工作原理
(1)首先,每台主机都会在自己的ARP缓冲区中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。
(2)当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;
如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。
(3)网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。
如果不相同就忽略此数据包;
如果相同,该主机首先将发送方的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址。
(4)源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。
如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
4.ARP的安全及防范
从影响网络连接通畅的方式来看,分为二种,一种是对路由器ARP表的欺骗;
另一种是对内网PC的网关欺骗。
(1)对路由器ARP表的欺骗
其原理是截获网关数据。
它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
(2)对内网PC的网关欺骗
其原理是伪造网关。
通过建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。
在PC看来,就是上不了网了,“网络掉线了”。
作为企业的网管人员,为防范第一种ARP欺骗,可以在路由器中把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定;
同时为防范第二种ARP欺骗,可以在内网所有PC上设置网关的静态ARP信息,这叫PC机IP-MAC绑定。
三、使用PacketTracer模拟软件抓包ARP分析
1.本任务的实验拓扑及设备IP地址如下图所示。
2.打开PC1,在命令行下运行“arp-a”命令,查看ARP缓存表。
如下图所示,此时在没有任何通信的情况下,ARP缓存表是空的。
3.PC1为源主机,PC3为目标主机,使用Ping命令测试网络连通性,观察数据经交换机转发的过程。
(1)由实时模式切换至模拟模式,单击PT软件右下角的【Simulation】按钮,即可进入模拟模式,在模拟模式下,单击【EditFilters】按钮,打开捕获窗口设置过滤条件(提取ARP、ICMP),如下图所示。
(2)单击“PC1”,选择【Desktop】|【CommandPrompt】在命令行提示符下,输入“Ping172.16.1.3”。
如下图所示。
(3)在模拟模式下单击“AutoCapture/Play”按钮。
观察数据传送过程,如下图所示。
4.在右侧的“EventList”中分析PC1发往PC3的第一个ARP数据,如下图所示,源IP为172.16.1.1,目的IP为172.16.1.3,数据链路层为数据进行封装,类型字段(TYPE)值为“0x806”表示封装的是ARP协议,源MAC为0001.6465.8B74(即PC1),目的MAC为即FFFF.FFFF.FFFF(即广播地址),“OPCODE”(操作码)字段中为“0x1”,表示此次操作为“ARP请求”。
5.数据经由交换机S1到达PC3,经对比发现,目的IP与自己的IP一致,进而PC3向PC1进行回应。
如下图所示,此时从PC3发出的数据包的源IP变为172.16.1.3,目的IP变为172.16.1.1,源MAC变为0002.4AEE.98A4,目的MAC变为0001.6465.8B74,“OPCODE”字段中为“0x2”,表示此次操作为“ARP响应”。
6.PC3回应的数据到达PC1,如下图所示为PC1收到的回应。
7.在PC1上再次执行ARP-a命令,即可查看到ARP高速缓存表中增加了一条记录。
如下图所示,IP地址为172.16.1.3的主机,其MAC地址为0002.4AEE.98A4,类型为动态。
8.ping命令可用于测试网络连通性。
通过访问其它设备,ARP关联会被动态添加到ARP缓存中。
在PC1上ping地址255.255.255.255,并发出arp-a命令查看获取的MAC地址。
此时局域网中所有的MAC地址全部存在其ARP缓存表中。
9.为了防止ARP欺骗攻击,可以使用ARP–S命令,将网关的IP及MAC地址进行绑定。
需要注意的是PacketTracer模拟器不支持此命令。
[课堂小结]:
本次课主要介绍ARP协议作用、报文格式及工作原理,同时利用PacketTracer模拟软件抓包进行ARP分析。
项目二协议分析——ICMP协议
了解ICMP协议的报文格式;
理解ICMP协议的作用;
理解ICMP协议的安全及防范。
ICMP协议的安全及防范
利用PacketTracer分析ICMP协议的安全及防范。
1.ICMP协议的作用2.ICMP协议的报文格式3.ICMP协议的安全及防范
通过本次授课使学生理解TCP协议的作用及三次握手工作原理,利用GNS3抓包软件分析ICMP。
尝试利用PT软件分析ICMP协议。
二、ICMP协议
1.ICMP协议简介
ICMP全称为InternetControlMessageProtocol,Internet控制消息协议的缩写。
它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。
该协议属于网络层。
控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。
这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
在网络中经常会使用到ICMP协议,如经常使用的用于检查网络通不通的Ping命令,这个“Ping”的过程实际上就是ICMP协议工作的过程。
还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。
2.ICMP报文格式
(1)类型字段(8位):
有15个不同的值用来标识报文。
(2)代码字段(8位):
提供报文类型的进一步信息。
(3)校验和字段(16位):
提供整个ICMP报文的校验和。
(4)数据区:
包括出错数据报的报头及该数据报的前64bit数据,这些信息可以帮助源主机确定出错数据报。
每个ICMP报文放在IP数据报的数据部分中通过互联网传递,即将ICMP报文加上IP报头,其中IP报头中的协议域protocol=1,而IP数据报本身放在帧的数据部分中通过物理网络传递。
3.ICMP的安全及防范
ICMP协议对于网络安全具有极其重要的意义。
ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。
可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定,向主机发起“PingofDeath”(死亡之Ping)攻击。
“PingofDeath”攻击的原理是:
如果ICMP数据包的尺寸超过64KB上限时,主机就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使主机死机。
此外,向目标主机长时间、连续、大量地发送ICMP数据包,也会最终使系统瘫痪。
大量的ICMP数据包会形成“ICMP风暴”,使得目标主机耗费大量的CPU资源处理,疲于奔命。
对于“PingofDeath”攻击,可以采取两种方法进行防范:
第一种方法是在路由器上对ICMP数据包进行带宽限制,将ICMP占用的带宽控制在一定的范围内,这样即使有ICMP攻击,它所占用的带宽也是非常有限的,对整个网络的影响非常少;
第二种方法就是在主机上设置ICMP数据包的处理规则,最好是设定拒绝所有的ICMP数据包。
三、使用GNS3软件配置两台路由器利用wireshark抓包ICMP分析
1.本任务的实验拓扑及设备IP地址如下图所示。
2.配置R1和R2两台路由器的接口地址,如下图所示。
R2侧也做同样的配置,IP地址为192.168.3.2。
3.在R2上使用PING命令,测试与R1的连通性,如下图所示。
4.右击R1与R2间的链路,如下图所示。
5.选择“开始抓包”后,选择一个R2作为源,如下图所示。
6.选择“OK”后,在右上角的“抓取”位置,右击被抓包的端口,选择“运行Wireshark”,如下图所示。
7.在R2上重复执行“ping192.168.3.1”命令,查看Wireshark上的抓包信息,如下图所示。
8.可以查看到ICMP协议的详细信息,如下图所示。
根据上图中的ICMP协议部分,可以看到ICMP协议字段中,类型为8,表示的是ICMP的请求报文,代码为0。
这是一个WINDOWS系统下的PING命令EchoRequest报文。
本次课主要介绍ICMP协议作用、报文格式及工作原理,同时利用GNS3模拟软件抓包进行ICMP分析。
项目二协议分析——TCP协议
了解TCP协议的报文格式;
理解TCP协议的作用;
掌握TCP协议的工作原理。
TCP协议的工作原理
利用PacketTracer分析TCP协议的三次握手工作原理。
1.TCP协议的作用2.TCP协议的报文格式3.TCP协议的三次握手工作原理
通过本次授课使学生理解TCP协议的作用及三次握手工作原理,利用PacketTracer抓包软件分析TCP三次握手原理。
尝试利用GNS3软件分析TCP协议。
二、TCP协议
1.TCP协议简介
TCP全称为TransmissionControlProtocol传输控制协议的缩写。
TCP是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC793说明。
TCP在IP报文的协议号是6。
在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能,UDP是同一层内另一个重要的传输协议。
2.TCP报文格式
TCP数据被封装在一个IP数据报中,格式如下:
IP首部20
TCP首部20
TCP首部
16位源端口号
16位目的端口号
32位序号
32位确认序号
4位首部长度
保留6位
URG
ACK
PSH
RST
SYN
FIN
16位窗口大小
16位检验和
16位紧急指针
选项
3.TCP连接的建立与终止
(1)TCP三次握手
采用三次握手确认建立一次连接。
第一次握手:
主机A发送标志位为SYN=1,随机产生SeqNumber=X的数据包到服务器,主机B由SYN=1知道,A要求建立联机;
第二次握手:
主机B收到请求后要确认联机信息,向A发送AckNumber=X+1,SYN=1,ACK=1,随机产生Seq=Y的数据包;
第三次握手:
主机A收到后检查AckNumber是否正确,即第一次发送的X+1,以及ACK是否为1,若正确,主机A会再发送AckNumber=Y+1,ACK=1,主机B收到后确认Seq值与工ACK=1则连接建立成功。
完成三次握手,主机A与主机B开始传送数据。
即一个完整的三次握手也就是请求---应答---再次确认。
举例说明,主机A和主机B建立TCP连接,过程如下图所示:
主机A(连接请求者)主机B(被连接者)
SYN=1,ACK=0;
Seq=X;
我可以连接你吗?
SYN=1,ACK=1;
Seq=Y,AckSeq=X+1
当然可以!
SYN=0,ACK=1;
AckSeq=Y+1
好,那我就开始连接了!
(2)TCP四次挥手
由于TCP连接是全双工的,因此每个方向都必须单独进行关闭。
这原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接。
收到一个FIN只意味着这一方向上没有数据流动,一个TCP连接在收到一个FIN后仍能发送数据。
首先进行关闭的一方将执行主动关闭,而另一方执行被动关闭。
第一次挥手:
当主机A完成数据传输后,将控制位FIN置1,提出停止TCP连接的请求;
第二次挥手:
主机B收到FIN后对其作出响应,确认这一方向上的TCP连接将关闭,将ACK置1;
第三次挥手:
由主机B再提出反方向的关闭请求,将FIN置1;
第四次挥手:
主机A对主机B的请求进行确认,将ACK置1,双方向的关闭结束。
FIN=1
我要结束连接!
ACK=1
终止了!
好!
收到
4.TCP的安全与防范
(1)TCP洪流攻击
TCP洪流攻击也就是SYN-Flood。
SYN-Flood不会完成TCP三次握手的第三步,也就是不发送确认连接的信息给服务器。
(2)IP欺骗DOS攻击
这种攻击利用RST位来实现。
假设现在有一个合法用户(11.11.11.11)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为11.11.11.11,并向服务器发送一个带有RST位的TCP数据段。
(3)DDOS攻击的防范方法
到目前为止,进行DDoS攻击的防御还是比较困难的。
首先,这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻击。
下面就是一些防御方法:
1)确保服务器的系统文件是最新的版本,并及时更新系统补丁。
2)关闭不必要的服务。
3)限制同时打开的SYN半连接数目。
4)缩短SYN半连接的timeout时间。
5)正确设置防火墙。
6)禁止对主机的非开放服务的访问。
7)限制特定IP地址的访问。
8)启用防火墙的防DDoS的属性。
9)严格限制对外开放的服务器的向外访问。
10)运行端口映射程序祸端口扫描程序,要认真检查特权端口和非特权端口。
11)认真检查网络设备和主机/服务器系统的日志。
只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击。
12)限制在防火墙外与网络文件共享。
这样会给黑客截取系统文件的机会,主机的信息暴露给黑客,无疑是给了对方入侵的机会。
本次课主要介绍TCP协议作用、报文格式及工作原理,同时利用PacketTracer模拟软件抓包进行TCP分析。
项目二协议分析——Telnet协议
理解Telnet协议的作用、安全及防范;
掌握Telnet协议的工作原理。
Telnet协议的工作原理
利用GNS3抓包软件分析Telnet协议的工作原理。
1.Telnet的作用2.Telnet的安全及防范3.Telnet协议的工作原理
通过本次授课使学生理解Telnet协议的作用、安全及防范,利用GNS3抓包软件分析Telnet协议。
尝试利用PT软件分析Telnet协议。
二、Telnet协议
1.Telnet协议简介
Telnet是Internet的远程登录协议的意思,它为用户提供了在本地计算机上完成远程主机工作的能力。
在终端使用者的计算机上使用telnet程序,用它连接到服务器。
终端使用者可以在telnet程序中输入命令,这些命令会在服务器上运行,就像直接在服务器的控制台上输入一样。
可以在本地就能控制服务器。
该协议属于应用层。
要开始一个telnet会话,必须输入用户名和密码来登录服务器。
2.Telnet协议工作过程
(1)本地与远程主机建立连接。
该过程实际上是建立一个TCP连接,用户必须知道远程主