1、* 學 院 課程設計報告書 課程名稱 設計題目 專業班級 學 姓 號 名 網絡安全課程設計 ARP 地址欺騙與 ICMP 重定向設計 指導教師 驗收教師 2012 年 6 月 （2）主機 B、E 啟動協議分析器開始捕獲數據并設置過濾條件。 圖4-3 提取 ARP 協議和 ICMP 協議 （3）主機 B ping 主機 E。觀察 B、E 上是捕獲到的 ICMP 報文，記錄 MAC 地址。 圖4-4 Request 目的 MAC 地址是：002511-53105D 源 MAC 地址是：00E04C-15064C Reply 目的 MAC 地址是：00E04C-15064C 源 MAC 地址是：00

2、2511-53105D （4）主機 F 啟動協議編輯器向主機 B 編輯 ARP 請求報文（暫時不發送） 。其中： MAC 層： 源 MAC 地址：主機 F 的 MAC 地址。 目的 MAC 地址：主機 B 的 MAC 地址。 ARP 層： 發送端 MAC 地址：主機 F 的 MAC 地址。 發送端 IP 地址：主機 E 的 IP 地址。 目的端 MAC 地址：000000-000000。 目的端 IP 地址：主機 B 的 IP 地址。 （5）主機 F 向主機 E 編輯 ARP 請求報文（暫時不發送） 。其中： （8）在主機 F 上啟動靜態路由服務 圖4-6實現數據轉發 （9）主機 F 禁用 I

3、CMP 協議。 1）在命令行下輸入“mmc”，啟動微軟管理控制臺。 圖4-7 禁用 ICMP 協議 2）導入控制臺文件。 單擊“文件(F打開(O”菜單項來打開“c:WINDOWSsystem32IPSecPolicy stopicmp.msc”。 圖4-8 導入控制臺文件 3）導入策略文件。 單擊“操作(A所有任務(K導入策略(I.”菜單項來打開“c:WINDOWSsystem 32IPSecPolicy stopicmp.ipsec”。此命令執行成功后，在策略名稱列表中會出現“禁用 ICMP”項。 圖4-9 導入策略文件 4）啟動策略。 用鼠標選中“禁用 ICMP”項，單擊右鍵，選擇“指派(

4、A”菜單項。 圖4-10 啟動策略 （10）主機 B 上 ping 主機 E（“ping 主機 C 的 IP 地址 n 1”） 。 （11）主機 B、E 停止捕獲數據，分析捕獲到的數據，并回答以下問題： 主機 B、E 捕獲到的 ICMP 數據包的源 MAC 地址和目的 MAC 地址是什么？ 主機 E ：目的 MAC 地址是：002511-53105D 源 MAC 地址是：00E04C-15064C 結合主機 B 和主機 E 捕獲到的數據包，繪制出第10步發送的 ICMP 數據包在網絡 中的傳輸路徑圖。 答：主機 B->主機 F->主機 E。 圖 4-11 （12） 主機 A 使用“

5、arp -s C 的 IP 地址 C 的 MAC 地址”添加一條靜態 ARP 緩存， 重復步驟 10 的操作。 圖 4-12 （13） 主機 D 取消對 ICMP 的禁用。 導致重定向的 IP 地址（即 ICMP 重定向報文的數據位于 IP 數據報的首部） ； 發送重定向報文的路由器的 IP 地址（包含重定向信息的 IP 數據報中的源地址） 應該采用的路由器的 IP 地址。 在 ICMP 重定向報文中，代碼字段可以為以下值： 代碼為0： 路由器發送這個 ICMP 重定向報文來指出有一個到達目標網絡的更好方 法。 代碼為1： 路由器發送這個 ICMP 重定向報文來指出有一個到達目標主機的更好方

6、法。 代碼為2： 路由器發送這個 ICMP 重定向報文來指出有一個到達使用希望的區分服 務目的網絡更好的方法。 代碼為3： 路由器發送這個 ICMP 重定向報文來指出有一個到達使用所要求的區分 服務的目標主機更好的方法。 例如，在如下圖所示的拓撲結構中，在主機 A 與主機 D 正常的通信過程中，數據 經過路由器 R 進行轉發。 圖 4-17 正常通信過程 現在假設主機 B 為攻擊者，想要竊取主機 A 與主機 D 之間的通信數據。主機 B 模擬路由器 R 的身份向主機 A 發送一個 ICMP 重定向報文，此時，主機 A 被欺騙了， 它會認為與主機 D 通信有一條更好的路由，這條路由經過主機 B，因此它會將數據包 發送給主機 B。如下圖所示： 機 B： 主機 D： 主機 E： 主機 F： 通過此 ICMP 及其應答報文的 MAC 地址，繪制其在網絡中的傳輸路徑圖。 主機 A 主機 B 主機 F 主機 E 圖4-19 傳輸路徑圖 6 總結與展望 通過本次課程設計，增強了團隊協作能力，和對各個部分的總結能力，加深對網 絡安全的理論知識理解、熟悉網絡攻擊的原理。能更好的運用所學的網絡安全基本知 識、基本原理和技能，根據需求完成網絡環境的選擇與配置，對網絡攻防進行驗證和 設計，增強了對網絡安全技術的應用能力及網絡安全意識，實驗過程中出現問題，在 大家的共同努力，