一、实验目的
安全威胁与攻击实验与理论教学第一章信息安全概论相对应。本实验在学生完成MAC地址欺骗攻击与防御实验、OSPF路由项欺骗攻击和防御实验的基础上,使学生能够理解威胁、攻击、资产的关系,并理解基本安全设计原则的重要性。具体如下:
1、MAC地址欺骗攻击实验:验证交换机建立MAC表(转发表)过程、验证交换机转发MAC帧机制、验证MAC地址欺骗攻击原理、掌握MAC地址欺骗攻击过程。
2、VLAN防MAC地址欺骗攻击实验:验证通过VLAN划分分割广播域的过程、了解每一个VLAN有着独立的转发表的含义、验证MAC地址欺骗攻击的范围、验证通过VLAN划分防御MAC地址欺骗攻击的过程。
3、OSPF路由项欺骗攻击防御实验:验证路由器OSPF配置过程、验证OSPF建立动态路由项过程、验证OSPF路由项欺骗攻击过程、验证OSPF源端鉴别功能的配置过程、验证OSPF防路由项欺骗攻击功能的实现过程。
二、实验简要原理
1、MAC地址欺骗攻击实验
正常传输过程如图1.1所示,当交换机S1、S2和S3建立完整转发表后,转发项将通往终端A的交换路径作为通往MAC地址为MAC A的终端的交换路径,因此,终端B发送的目的MAC地址为MAC A的MAC帧沿着通往终端A的交换路径到达终端A.
图1.1 正常传输过程
图1.2 错误传输过程
如果终端C将自己的MAC地址改为MAC A,且向终端B发送源MAC地址为MAC A的MAC帧,交换机S1、S2和S3的转发表改为如图1.2所示,转发项将通往终端C的交换路径作为通往MAC地址为MAC A的终端的交换路径,因此,终端B发送的目的MAC地址为MAC A的MAC帧沿着通往终端C的交换路径到达终端C。
2、VLAN防MAC地址欺骗攻击实验
在没有划分VLAN前,交换机端口属于默认VLAN,即VLAN1。一旦将终端A和终端B划分到VLAN2,将终端C划分到VLAN1,由于交换机中每一个VLAN有着独立的转发表,因此,在交换机S1 VLAN2对应的转发表中生成终端A的MAC地址对应的转发项后,即使终端C将自己的MAC地址改为终端A的MAC地址,且广播一帧以终端A的MAC地址为源MAC地址、全1广播地址为目的MAC地址的MAC帧,该MAC帧只能影响交换机S1 VLAN1对应的转发表,无法影响交换机S1 VLAN2对应的转发表,如图1.3所示,从而使交换机S1不会将终端B发送给终端A的MAC帧错误地从端口3转发出去。
图1.3 VLAN划分过程
3、OSPF路由项欺骗攻击防御实验
路由项欺骗攻击过程如图1.4所示,入侵路由器伪造了和网络192.1.4.0/24直接连接的链路状态信息,导致路由器R1通过OSPF生成的动态路由项发生错误,如图1.5中R1错误路由表所示。解决路由项欺骗攻击问题的关键有三点:一是对建立邻接关系的路由器的身份进行鉴别,只和授权路由器建立邻接关系;二是对相互交换的链路状态信息进行完整性检测,只接收和处理完整性检测通过的链路状态信息;三是通过链路状态信息中携带的序号确定该链路状态信息不是黑客截获后重放的链路状态信息。实现上述功能的基础是在相邻路由器中配置相同的共享密钥,相互交换的链路状态信息和Hello报文携带由共享密钥加密的序号和由共享密钥生成的MAC(消息鉴别码),通过消息鉴别码实现路由消息的源端鉴别和完整性检测,全部过程如图1.5所示。
图1.4 OSPF路由项欺骗攻击和防御过程
图1.5 路由消息源端鉴别和完整性检测过程
三、实验环境
本实验基于Cisco Packet Tracer 8.1软件完成,通过Packet Tracker可以运用Cisco网络设备设计、配置和调试网络,可以模拟分组端到端传输过程中的每一个步骤;可以直观了解IP分组端到端传输过程中交换机、路由器等网络设备具有的各种安全功能对IP分组的作用过程。
四、实验内容
1、MAC地址欺骗攻击实验
以太网结构如图1.6所示,交换机建立完整转发表后,终端B发送给终端A的MAC帧只到达终端A。如果终端C将自己的MAC地址改为终端A的MAC地址MAC A,且向终端B发送一帧MAC帧,则终端B再向终端A发送MAC帧时,终端B发送给终端A的MAC帧不是到达终端A,而是到达终端C。
图1.6 以太网结构
2、VLAN防MAC地址欺骗攻击实验内容
以太网结构如图1.6所示,如果终端C将自己的MAC地址改为终端A的MAC地址,并向以太网广播一帧以终端A的MAC地址为源MAC地址、全1广播地址为目的MAC地址的MAC帧,终端B发送给终端A的MAC帧将被以太网错误地转发给终端C。如果将终端A和终端B划分到VLAN2,且使终端C不属于VLAN2,终端C将无法通过MAC地址欺骗攻击获取其他终端发送给终端A的MAC帧。
3、OSPF路由项欺骗攻击防御实验内容
构建如图1.4所示的由3台路由器互连4个网络的互连网,通过OSPF生成终端A至终端B的IP传输路径,实现IP分组终端A至终端B的传输过程。然后在网络地址为192.1.2.0/24的以太网上接入入侵路由器,由入侵路由器伪造与网络192.1.4.0/24直接连接的路由项,用伪造的路由项改变终端A至终端B的IP传输路径,使终端A传输给终端B的IP分组被路由器R1错误地转发给入侵路由器。
启动路由器R1、R2和R3的路由消息源端鉴别功能,要求路由器R1、R2和R3发送的路由消息携带消息鉴别码(Message Authentication Code,MAC),配置相应路由器接口之间的共享密钥。使路由器R1不再接收和处理入侵路由器发送的路由消息,从而使路由器R1的路由表恢复正常。
五、网络拓扑图
1、MAC地址欺骗攻击实验网络拓扑图
2、VLAN防MAC地址欺骗攻击实验网络拓扑图
3、OSPF路由项欺骗攻击防御网络拓扑图
去掉入侵路由器的拓扑图:
完整的实验拓扑图:
六、实验过程说明及截图
1、MAC地址欺骗攻击实验过程
(1)在实验所用软件的逻辑工作区按照实验网络拓扑图进行设备的连接。其中终端和交换机之间用直通线互连,交换机与交换机之间用交叉线互连。
(2)对PC0、PC1和PC2的IP地址和子网掩码进行配置。
配置结果如图所示:
(3)在PC0 FastEthernet0接口配置界面,对PC0的MAC地址进行修改,改为0006.2A2B.865A
修改结果如图所示:
(4)完成PC0、PC1、PC2两两之间的ICMP报文传输过程。结果如图所示:
交换机Switch0、Switch1、Switch2所建立的完整转发表如图所示(从左至右分别为Switch0、Switch1、Switch2的转发表):
从转发表可以看出,所有交换机中的转发项将通往PC0的交换路径作为通往MAC地址为0006.2A2B.865A的终端的交换路径。
(5)在模拟操作模式下,先勾选协议ICMP。然后进行PC1至PC0的ICMP报文传输。
传输过程及结果如图所示:
(6)在实时操作模式下,在PC2 FastEthernet0接口配置界面,对PC2的MAC地址进行修改,改为PC0的MAC地址0006.2A2B.865A
修改结果如图所示:
(7)完成PC2至PC1的ICMP报文传输过程。完成传输后,Switch0、Switch1、Switch2转发表如图所示(从左至右分别为Switch0、Switch1、Switch2的转发表):
从转发表可以看出,所有交换机中的转发项将通往PC2的交换路径作为通往MAC地址为0006.2A2B.865A的终端的交换路径。
(8)在模拟操作模式下,进行PC1至PC0的ICMP报文传输。
传输过程及结果如图所示:
从中可以看出,从PC1发往PC0的ICMP报文经过Switch0、Switch1、Switch2发往了PC2。
2、VLAN防MAC地址欺骗攻击实验过程
(1)在实验所用软件的逻辑工作区按照实验网络拓扑图进行设备的连接。其中终端和交换机之间用直通线互连,交换机与交换机之间用交叉线互连。
(2)对PC0、PC1和PC2的IP地址和子网掩码进行配置。
配置结果如图所示:
(3)在PC0 FastEthernet0接口配置界面,对PC0的MAC地址进行修改,改为0006.2A2B.865A
修改结果如图所示:
(4)完成PC0、PC1和PC2之间ICMP报文传输,传输结果如图所示:
将PC2的MAC地址改为PC0的MAC地址0006.2A2B.865A,修改结果如图所示:
完成PC2和PC1之间的ICMP报文传输,传输结果如图所示:
完成PC2和PC1之间的ICMP报文传输后,Switch0的MAC表如图所示:
由MAC表可知,此时0006.2A2B.865A对应的转发端口不是Switch连接PC0的端口f0/1,而是Switch0连接Switch1的端口f0/3。
(5)在Switch0的创建VLAN界面中,创建编号为2的VLAN。
创建结果如图所示:
(6)在Switch0的端口f0/1配置界面中,将交换机端口f0/1作为接入端口分配给VLAN2;
在Switch0的端口f0/2配置界面中,将交换机端口f0/2作为接入端口分配给VLAN2。
分配结果如图所示:
(7)完成PC0和PC1之间ICMP报文传输,结果如图所示:
之前对PC0和PC2的MAC地址进行过修改,它们的MAC地址相同,如图所示:
进行PC2和PC1之间的ICMP报文传输,结果如图所示:
查看Switch0的MAC表,如图所示:
从该MAC表可以看出:VLAN2对应的MAC表中,0006.2A2B.865A对应的转发端口是Switch0连接PC0的端口f0/1,VLAN1对应的MAC表中,0006.2A2B.865A对应的转发端口是Switch0连接Switch1的端口f0/3。这表明VLAN2内终端发送给PC0的MAC帧只能到达PC0。
3、OSPF路由欺骗攻击防御实验过程
(1)放置和连接去掉入侵路由器后的设备,完成设备放置和连接后如图所示:
(2)完成路由器接口IP地址和子网掩码的配置。结果如图所示:
完成路由器OSPF配置,配置过程如图所示:
开启路由器的接口,过程如下图所示:
完成上述配置后,路由器Router0生成的路由表如图所示:
(3)配置PC0和PC1的IP地址,子网掩码和网关,结果如图所示:
(4)启动PC0和PC1之间的ICMP报文传输,结果如下:
从结果可知,PC0和PC1之间存在IP传输路径。
(5)将入侵路由器接入网络,并配置该路由器的IP地址和子网掩码,如图所示:
(6)
开启路由器的接口,过程如下图所示:
完成该路由器的OSPF配置,如图所示:
接入入侵路由器并完成配置后的Router0的路由表:
(7)进入模拟操作模式,启动PC0至PC1的IP分组传输过程,传输结果如图所示:
发现路由器Router1将该IP分组转发给入侵路由器,该IP分组无法到达PC1。
(8)完成路由器Router0、Router1和Router2源端鉴别与完整性检测功能配置,如图所示:
为相邻路由器实现互联的接口配置相同的密钥,如图所示:
完成上述配置后,Router0的路由表如图所示:
七、实验思考
1、实验内容思考
(1)对MAC地址欺骗攻击与防御实验(实验内容1和2)的实验结果进行分析,说明实验是否达到了预期的实验目的。
MAC地址欺骗攻击实验:通过实验可以验证交换机自学习MAC地址并建立转发表的过程。当攻击者(PC2)伪造合法主机(PC0)的MAC地址后,交换机会错误更新转发表,使原本发往PC0的数据被转发到PC2,说明MAC欺骗攻击有效,实验达到预期目的。
VLAN防MAC欺骗实验:通过将PC0和PC1划分到VLAN2,而PC2不属于该VLAN,可看到即使PC2伪造PC0的MAC地址,也无法影响VLAN2的通信。说明VLAN能有效隔离广播域并防止MAC欺骗攻击,实验目标实现。
(2)对OSPF路由项欺骗攻击和防御实验(实验内容3)的实验结果进行分析,说明实验是否达到了预期的实验目的。
OSPF路由项欺骗防御实验:在未配置共享密钥前,入侵路由器可成功欺骗路由项;配置源端鉴别和完整性检测后,网络恢复正常,数据传输正确,表明防御机制有效,实验达到预期。
2、实验过程思考
要求:对照第一章信息安全概论理论课相关知识点,分析本实验阐述的原理。
三个实验都体现了信息安全的核心目标——机密性、完整性与可控访问。MAC欺骗与OSPF欺骗实验体现了攻击破坏机密性的过程。VLAN划分与OSPF鉴别机制体现了防御与访问控制原则。所有攻击均为被动攻击,即仅窃取信息而未破坏资源。总体而言,本实验让人更直观地理解了网络中威胁、攻击与防御措施之间的关系,也验证了信息安全设计原则在实际网络中的应用价值。
)
