《網(wǎng)絡(luò)安全技術(shù)實(shí)踐教程》教案授課單位：授課時間：授課班級：授課教師：年月日圖6-3啟動嗅探器（2）在虛擬機(jī)靶機(jī)上訪問FTP服務(wù)器，輸入用戶名和密碼，登錄訪問目錄，打開目錄下的文本和圖片資源，如圖6-4所示。圖6-4在靶機(jī)上訪問FTP資源3．嗅探用戶名和密碼（1）在Wireshark嗅探器的過濾器搜索框中輸入“ftp”，找到FTP相關(guān)的數(shù)據(jù)包，選擇一行數(shù)據(jù)包并右擊，在彈出的快捷菜單中依次選擇“追蹤流”→“TCPStream”，如圖6-5所示。圖6-5追蹤數(shù)據(jù)流（2）在打開的窗口中，修改右下角的“流”為“1”，這樣就能夠看到用戶名和密碼信息，結(jié)果如圖6-6所示。圖6-6嗅探用戶名和密碼4．嗅探文本文件和圖片文件（1）在Wireshark嗅探器的過濾器搜索框中輸入“ftp-data”，找到FTP傳輸數(shù)據(jù)相關(guān)的數(shù)據(jù)包，選擇“Info”下擴(kuò)展名為“txt”的那一行數(shù)據(jù)包并右擊，在彈出的快捷菜單中依次選擇“追蹤流”→“TCPStream”，這樣就能看到本次FTP傳輸?shù)奈谋疚募?nèi)容。結(jié)果如圖6-7所示。圖6-7嗅探文本文件內(nèi)容（2）在上述窗口中，修改右下角的“流”為“5”，“Showdataas”選擇“原始數(shù)據(jù)”，如圖6-8所示。圖6-8嗅探到圖片文件（3）單擊“另存為…”按鈕，在打開的窗口中將文件名修改為“嗅探到的圖片”，并將文件保存至計算機(jī)中的合適位置，如圖6-9所示。圖6-9保存原始數(shù)據(jù)（4）使用010Editor軟件，單擊“打開”按鈕，選擇路徑，打開剛剛保存的文件，如圖6-10所示。圖6-10用010Editor打開文件（5）利用百度搜索到JPG文件的文件頭為“FFD8”，如圖6-11所示。圖6-11搜索JPG文件的文件頭（6）在010Editor軟件中，按快捷鍵“Ctrl+F”查找“FFD8”，在“FFD8”之后的十六進(jìn)制數(shù)據(jù)就是我們需要的圖片數(shù)據(jù)。如果“FFD8”的前面也有數(shù)據(jù)，則其是HTTP請求頭，可直接刪除。最終效果如圖6-12所示。圖6-12確定圖片數(shù)據(jù)（7）將修改后的文件另存為JPG格式，打開保存后的文件，即可顯示還原后的圖片，如圖6-13所示。圖6-13還原圖片任務(wù)2知識講解1MAC地址簡介MAC地址也叫物理地址、硬件地址，由網(wǎng)絡(luò)設(shè)備廠商在生產(chǎn)時燒錄在網(wǎng)卡的EPROM（ErasableProgrammableRead-OnlyMemory，可擦可編程只讀存儲器，一種閃存芯片，通?？梢酝ㄟ^程序擦寫）中。MAC地址用于在網(wǎng)絡(luò)中唯一標(biāo)識一塊網(wǎng)卡，一臺設(shè)備若有一塊或多塊網(wǎng)卡，則每塊網(wǎng)卡都有一個唯一的MAC地址。MAC地址的長度為48位（6個字節(jié)），通常表示為12個十六進(jìn)制數(shù)，例如，00-16-EA-AE-3C-40就是一個MAC地址。其中第1位代表單播或多播地址，用0或1標(biāo)識；第2位代表全局或本地地址，用0或1標(biāo)識；第3～24位，由IEEE管理，保證各個廠商提供的MAC地址不重復(fù)；第25～48位，由廠商自行分配，代表該廠商所制造的某個網(wǎng)絡(luò)產(chǎn)品（如網(wǎng)卡）的序列號。形象地說，MAC地址就如同身份證上的身份證號碼，具有唯一性。我們可以通過在PC端的“命令提示符”窗口中執(zhí)行ipconfig-all來查詢設(shè)備的MAC地址，如圖6-14所示。圖6-14查詢MAC地址在正常的網(wǎng)絡(luò)通信過程中，IP地址和MAC地址相互搭配，IP地址負(fù)責(zé)標(biāo)識設(shè)備網(wǎng)絡(luò)層地址，MAC地址負(fù)責(zé)標(biāo)識設(shè)備的數(shù)據(jù)鏈路層地址。無論是局域網(wǎng)，還是廣域網(wǎng)中設(shè)備之間的通信，最終都表現(xiàn)為將數(shù)據(jù)包從初始節(jié)點(diǎn)發(fā)出，從一個節(jié)點(diǎn)傳遞到另一個節(jié)點(diǎn)，最終傳遞到目的節(jié)點(diǎn)。數(shù)據(jù)包在這些節(jié)點(diǎn)之間的移動都是由ARP將IP地址映射到MAC地址來完成的。2泛洪簡介泛洪（Flooding）是交換機(jī)使用的一種數(shù)據(jù)流傳遞技術(shù)，它將從某個接口收到的數(shù)據(jù)流發(fā)送到除該接口之外的所有接口。如圖6-15所示，PC1向PC2發(fā)送數(shù)據(jù)，數(shù)據(jù)幀在經(jīng)過交換機(jī)的時候，交換機(jī)會把數(shù)據(jù)幀中的源MAC地址和進(jìn)入的交換機(jī)端口號記錄到MAC地址表中。由于一開始MAC地址表中沒有PC2的MAC地址和端口號綁定信息，所以交換機(jī)會將這個數(shù)據(jù)幀進(jìn)行全網(wǎng)轉(zhuǎn)發(fā)，這就是泛洪。圖6-15泛洪原理3MAC地址泛洪攻擊原理在介紹MAC地址泛洪攻擊之前，我們要先了解交換機(jī)的數(shù)據(jù)轉(zhuǎn)發(fā)原理。交換機(jī)是基于MAC地址轉(zhuǎn)發(fā)數(shù)據(jù)幀的，在轉(zhuǎn)發(fā)過程中依靠對CAM（ContentAddressableMemory，內(nèi)容尋址存儲）表（一張記錄MAC地址的表）的查詢來確定正確的轉(zhuǎn)發(fā)接口。為了完成數(shù)據(jù)的快速轉(zhuǎn)發(fā)，該表具有自主學(xué)習(xí)機(jī)制，交換機(jī)會將學(xué)習(xí)到的MAC地址存儲在該表里。但是CAM表的容量是有限的，只能存儲不有限數(shù)量的條目，并且MAC地址存在老化時間（一般為300s）。當(dāng)CAM表記錄的MAC地址達(dá)到上限后，新的條目將不會被添加到CAM表中，一旦在查詢過程中無法找到相關(guān)目的MAC地址對應(yīng)的條目，則此數(shù)據(jù)幀將被作為廣播幀來處理，廣播到所有接口。MAC地址泛洪攻擊正是利用這一特性，通過不斷地生成不同的虛擬MAC地址發(fā)送給交換機(jī)，使得交換機(jī)進(jìn)行大量學(xué)習(xí)。這將導(dǎo)致交換機(jī)MAC地址表緩存溢出，讓其無法學(xué)習(xí)新的正確的MAC地址。如果這時交換機(jī)需要轉(zhuǎn)發(fā)一個正常的數(shù)據(jù)幀，因?yàn)槠銫AM表已經(jīng)被偽造MAC地址填滿，所以交換機(jī)會廣播數(shù)據(jù)幀到所有接口，攻擊者利用這個機(jī)制就可以獲取該正常數(shù)據(jù)幀的信息，達(dá)到MAC地址泛洪攻擊的目的。4如何防御MAC地址泛洪攻擊MAC地址泛洪攻擊的防御措施具體如下。（1）設(shè)置交換機(jī)端口最大可通過的MAC地址數(shù)量。限制交換機(jī)每個端口可學(xué)習(xí)MAC地址的最大數(shù)量（假如為20個），當(dāng)一個端口學(xué)習(xí)的MAC地址數(shù)量超過這個限制數(shù)值時，將超出的MAC地址舍棄。（2）靜態(tài)MAC地址寫入。在交換機(jī)端口上設(shè)置MAC地址綁定，指定只能是某些MAC地址通過該端口。（3）對超過一定數(shù)量的MAC地址進(jìn)行禁止通過處理。任務(wù)二實(shí)訓(xùn)練習(xí)1．繪制拓?fù)鋱D，完成設(shè)備配置（1）繪制圖6-16所示網(wǎng)絡(luò)拓?fù)鋱D，配置Server1的IP地址，打開Server1的“服務(wù)器信息”配置選項(xiàng)卡，選擇“FtpServer”，設(shè)置好“文件根目錄”，單擊“啟動”按鈕，得到圖6-17所示結(jié)果。（2）配置Cilent1的IP地址，打開Cilent1的“客戶端信息”配置選項(xiàng)卡，選擇“FtpCilent”，設(shè)置服務(wù)器地址為“0”，用戶名為“admin”，密碼為“123456”，單擊“登錄”按鈕，可以看到，能夠正常訪問FTP服務(wù)器，效果如圖6-18所示。圖6-17配置Server1的服務(wù)器信息圖6-18配置Cilent1的客戶端信息（3）雙擊拓?fù)鋱D中的設(shè)備Cloud1，在打開窗口的“綁定信息”下拉列表中，選擇“VMwareNetworkAdapterVMnet8--IP：”，單擊“增加”按鈕，創(chuàng)建一個新的端口。將“端口映射設(shè)置”中的“出端口編號”修改為“2”，勾選“雙向通道”復(fù)選框，單擊“增加”按鈕，完成Cloud1的配置，如圖6-19所示。圖6-19配置Cloud1端口（4）將LSW1與Cloud1連接起來，使得Kali虛擬機(jī)靶機(jī)能夠通過動態(tài)設(shè)備接口連接到eNSP的局域網(wǎng)中。2．配置Kali虛擬機(jī)靶機(jī)（1）選中Kali虛擬機(jī)靶機(jī)，在VMware工具欄上依次選擇“虛擬機(jī)”→“設(shè)置”，彈出“虛擬機(jī)設(shè)置”對話框，選中“網(wǎng)絡(luò)適配器”，在右側(cè)的“網(wǎng)絡(luò)連接”中選中“自定義(U):特定虛擬網(wǎng)絡(luò)”，在其下拉列表中選擇“VMnet8(僅NAT模式)”，如圖6-20所示。圖6-20設(shè)置網(wǎng)絡(luò)連接（2）在Kali系統(tǒng)中，在工具欄中選擇“RootTerminalEmulator”，輸入Kali系統(tǒng)密碼后，進(jìn)入命令輸入界面，輸入命令“ping0”并執(zhí)行，測試Kali系統(tǒng)與局域網(wǎng)服務(wù)器是否連通，如圖6-21所示。圖6-21測試Kali系統(tǒng)與局域網(wǎng)服務(wù)器是否連通（3）在eNSP中，雙擊交換機(jī)LSW1，進(jìn)入命令輸入界面，輸入命令“displaymac-address”并執(zhí)行，這里因?yàn)橹癈ilent1客戶端已經(jīng)登錄Server1服務(wù)器的FTP服務(wù)，所以在MAC地址表中能夠看到GE0/0/1和GE0/0/2。輸入“undomac-address”命令并執(zhí)行，清空MAC地址表，如圖6-22所示。圖6-22查看并清空MAC地址表3．MAC地址泛洪攻擊（1）在Kali系統(tǒng)中，開啟MAC地址泛洪攻擊，輸入命令“macof”并執(zhí)行，可以看到大量的偽造的MAC地址不斷地被發(fā)送給交換機(jī)LSW1，效果如圖6-23所示。圖6-23Kali系統(tǒng)開啟MAC地址泛洪攻擊如果Kali系統(tǒng)中沒有安裝macof，需要先執(zhí)行“aptinstalldsniff”命令，安裝dsniff，再進(jìn)行命令“macof”。（2）如圖6-24所示，打開Cilent1“客戶端信息”選項(xiàng)卡，再次單擊“登錄”按鈕，發(fā)現(xiàn)此時已經(jīng)無法登錄。（3）查看交換機(jī)LSW1的MAC地址表，發(fā)現(xiàn)MAC地址表已經(jīng)被占滿，如圖6-25所示。圖6-24FTP服務(wù)無法登錄圖6-25交換機(jī)MAC地址表占滿4．嗅探用戶名和密碼（1）在Kali系統(tǒng)命令輸入界面，按快捷鍵“Ctrl+C”，停止macof攻擊，打開Kali系統(tǒng)下的Wireshark工具，網(wǎng)絡(luò)接口選擇“eth0”，開啟網(wǎng)絡(luò)嗅探，如圖6-26所示。圖6-26開啟網(wǎng)絡(luò)嗅探（2）打開Client1的“客戶端信息”選項(xiàng)卡，單擊“登錄”按鈕，因?yàn)镸AC地址泛洪攻擊已經(jīng)停止，所以能夠正常登錄服務(wù)器Server1，如圖6-27所示。圖6-27登錄FTP服務(wù)器（3）在Wireshark嗅探器的過濾器搜索框中輸入“tcp.streameq0”，選擇任意一行數(shù)據(jù)包并右擊，在彈出的對話框中依次選擇“追蹤流”→“TCPStream”，在打開的界面中就可以看到用戶名和密碼信息，如圖6-28所示。圖6-28嗅探到用戶名和密碼課后：1.任務(wù)總結(jié)2.教師答疑3.布置預(yù)習(xí)任務(wù)作業(yè)布置1.請搭建嗅探測試環(huán)境并使用網(wǎng)絡(luò)嗅探軟件對網(wǎng)絡(luò)進(jìn)行探測。搭建一個模擬的企業(yè)網(wǎng)絡(luò)環(huán)境，包括兩臺計算機(jī)、一臺交換機(jī)。在網(wǎng)絡(luò)中的一臺計算機(jī)上安裝并運(yùn)行所選的網(wǎng)絡(luò)嗅探軟件。配置嗅探軟件，使其能夠捕獲同一局域網(wǎng)內(nèi)的數(shù)據(jù)包。分析捕獲的數(shù)據(jù)包，識別出其中的敏感信息（如用戶名、密碼、文件等）。2.假如你是一家公司的網(wǎng)絡(luò)安全管理員，公司內(nèi)網(wǎng)中的一臺核心交換機(jī)連接了多個重要服務(wù)器和客戶端。最近，你接到報告稱網(wǎng)絡(luò)性能出現(xiàn)異常，懷疑可能是交換機(jī)遭受了MAC地址泛洪攻擊。為了驗(yàn)證這一懷疑并采取相應(yīng)的防范措施，你打算在模擬環(huán)境中進(jìn)行一次演練。要求設(shè)置一個包含至少兩臺交換機(jī)和若干臺主機(jī)的模擬網(wǎng)