一、學(xué)習(xí)目的

• 學(xué)會使用netsh命令測試本機(jī)的TCP/IP網(wǎng)絡(luò)配置
• 學(xué)會使用netstat命令以及檢測網(wǎng)絡(luò)連接
• 了解arp原理以及使用arp探索攻擊源頭
• 了解nslookup命令的用法

二、學(xué)習(xí)要求

使用netsh命令查看本機(jī)的IP地址，并修改本機(jī)的靜態(tài)或者動態(tài)IP地址并截圖顯示

執(zhí)行netsh interface ipv4 show address

可以看到網(wǎng)絡(luò)的一些信息

執(zhí)行如圖所示代碼，將我的ip，子網(wǎng)掩碼，還有網(wǎng)關(guān)做一些更改：

更改成功~

可可可，可是

然后就不能上網(wǎng)了

分析了一下，筆者的電腦連接的校園網(wǎng)，路由那里是默認(rèn)開啟了DHCP服務(wù)的，我的主機(jī)也必須得開啟DHCP才行，IP地址是不能亂改的

解決辦法是改回動態(tài)獲取

使用netstat命令來查看本機(jī)的所有的端口和PID，以及有針對性的查看某個端口的PID并截圖顯示

執(zhí)行命令netstat -ano

-a 顯示所有連接和偵聽端口。
-n 以數(shù)字形式顯示地址和端口號。
-o 顯示擁有的與每個連接關(guān)聯(lián)的進(jìn)程 ID。

查看本機(jī)所有IP和端口還有進(jìn)程ID

按照端口查找進(jìn)程

說明ARP通訊協(xié)議的過程，并顯示本機(jī)中的ARP的緩存表，說明ARP欺騙的原理以及如何防范這種攻擊

ARP協(xié)議工作過程

• 1.A先在其ARP高速緩存中查看有無B的IP地址。如有，就在ARP高速緩存中查出其對應(yīng)的硬件地址，再把這個硬件地址寫入MAC幀，然后通過局域網(wǎng)把該MAC幀發(fā)往此硬件地址。如果查不到B的IP的項目，則進(jìn)入第（2）步。

• 2.A的ARP進(jìn)程在本局域網(wǎng)上廣播發(fā)送一個ARP請求分組，主要內(nèi)容是A自己的IP地址、MAC地址，詢問的IP地址（也就是B的IP地址）。

• 3.在本局域網(wǎng)上的所有主機(jī)運(yùn)行的ARP進(jìn)程都收到此ARP請求分組。

• 4.主機(jī)B的IP地址與ARP請求分組中要查詢的IP地址一致，就收下這個ARP請求分組，并向A單播發(fā)送ARP響應(yīng)分組（其中寫入了B自己的硬件地址），同時將A的地址映射寫入自己的ARP高速緩存中。由于其余的所有主機(jī)IP地址都與ARP請求分組要查詢的IP地址不一致，因此都不理睬這個ARP請求分組。

• 5.A收到B的ARP響應(yīng)分組后，就在其ARP高速緩存中寫入B的IP地址到硬件地址的映射。

至此，A得到了從B的IP地址到其MAC地址的映射。當(dāng)這個映射項目在高速緩存中保存超過生存時間，將被從高速緩存中刪除。

通過 arp -a 命令來查看本機(jī)arp緩存表

本機(jī)arp緩存表

ARP欺騙的原理與現(xiàn)象

ARP欺騙的核心思想就是向目標(biāo)主機(jī)發(fā)送偽造的ARP應(yīng)答，并使目標(biāo)主機(jī)接收應(yīng)答中偽造的IP地址與MAC地址之間的映射對，以此更新目標(biāo)主機(jī)ARP緩存。下面就在理論上說明實施ARP欺騙的過程，S代表源主機(jī)，也就是將要被欺騙的目標(biāo)主機(jī)； D代表目的主機(jī)，源主機(jī)本來是向它發(fā)送數(shù)據(jù)； A代表攻擊者，進(jìn)行ARP欺騙。

從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺騙分為二種：

• 一種是對路由器ARP表的欺騙
• 另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙

一般來說，ARP欺騙攻擊的后果非常嚴(yán)重，大多數(shù)情況下會造成大面積掉線；如果是被中間人攻擊，截取Internet與這個目標(biāo)主機(jī)的之間的全部通信，則會導(dǎo)致信息泄露，在主機(jī)看來訪問外部服務(wù)的響應(yīng)變慢；或者對于服務(wù)器而言，上層應(yīng)用忙于處理這種異常而無法響應(yīng)外來請求。

ARP欺騙的防范

• 1.主機(jī)級被動檢測

當(dāng)系統(tǒng)接收到來自局域網(wǎng)上的ARP請求時，系統(tǒng)檢查該請求發(fā)送端的IP地址是否與自己的IP地址相同。如果相同，則說明該網(wǎng)絡(luò)上另有一臺機(jī)器與自己具有相同的IP地址。

• 2.主機(jī)級主動檢測

主機(jī)定期向所在局域網(wǎng)發(fā)送查詢自己IP地址的ARP請求報文。如果能夠收到另一ARP響應(yīng)報文，則說明該網(wǎng)絡(luò)上另一臺機(jī)器與自己具有相同的IP地址。

• 3.服務(wù)器級檢測

當(dāng)服務(wù)器收到ARP響應(yīng)時，為了證實它的真實性，根據(jù)反向地址解析協(xié)議(RARP)就用從響應(yīng)報文中給出的 地 MAC
址再生成一個RARP請求，它詢問這樣一個問題：“如果你是這個MAC地址的擁有者，請回答你的IP地址”。這樣就會查詢到這個MAC地址對應(yīng)的IP地址，比較這兩個IP地址，如果不同，則說明對方偽造了ARP響應(yīng)報文。

• 4.網(wǎng)絡(luò)級檢測

配置主機(jī)定期向中心管理主機(jī)報告其ARP緩存的內(nèi)容。這樣中心管理主機(jī)上的程序就會查找出兩臺主機(jī)報告信息的不一致，以及同一臺主機(jī)前后報告內(nèi)容的變化。這些情況反映了潛在的安全問題。或者利用網(wǎng)絡(luò)嗅探工具連續(xù)監(jiān)測網(wǎng)絡(luò)內(nèi)主機(jī)硬件地址與IP地址對應(yīng)關(guān)系的變化。

簡答說明Nsiookup命令的功能并查看西北大學(xué)此域名所對應(yīng)的IP地址并截圖顯示

查看我校的ip地址

三、心得體會

本次上機(jī)主要學(xué)到了一些網(wǎng)絡(luò)管理上常用的命令，包括netsh的對網(wǎng)絡(luò)ip，子網(wǎng)掩碼，網(wǎng)關(guān)的設(shè)置，以及ARP其基本作用，明白了欺騙的原理，其次對欺騙的防范有了一定的理解，不足之處在于對基礎(chǔ)知識的理解不到位，不知道如何攻擊室友的英雄聯(lián)盟，讓他玩不成從而聲音小一點(diǎn)，被嗞哇嗞哇的吵人，但是隨后通過查資料以及上網(wǎng)查詢得到了較為詳細(xì)的解釋。所以今后應(yīng)加強(qiáng)預(yù)習(xí)，同時課后要及時復(fù)習(xí)，使得知識掌握的更加牢固。