网络安全技术及实施教案项目二

1、网络安全技术与实施课程教案201 -201 学年度 学期所属系部： 任课教师： 授课对象系 别本次课学时2年级班次章节题目项目二 协议分析 ARP协议目的要求(含技能要求)了解ARP协议的报文格式；理解ARP协议的作用；掌握ARP协议的工作原理。本节重点ARP协议的工作原理本节难点ARP协议的工作原理教学方法引导文教学、任务驱动、案例教学、教学做一体化教学模式教学用具实训室问题引入随着Internet/Intranet的发展，TCP/IP协议得到了广泛的应用，几乎所有的网络均采用了TCP/IP协议。由于TCP/IP协议在最初设计时没有考虑到安全性问题而只是用于科学研究，因此它自身存在许多固有的安全缺陷，这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门，使得基于这些缺陷和漏洞的攻击形式多样。难点与重点讲解方法利用Packet Tracer分析ARP协议的工作原理。本次课小节课程小节1ARP协议的作用 2ARP协议的报文格式 3ARP协议的工作原理教后札记通过本次授课使学生理解ARP协议的作用及工作原理，利用Packet Tracer抓包软件分析ARP。讨论、思考题、作业(含实训作业)

2、尝试利用GNS3软件分析APR协议。授课教师： 年 月 日教学过程：引入新课：随着Internet/Intranet的发展，TCP/IP协议得到了广泛的应用，几乎所有的网络均采用了TCP/IP协议。由于TCP/IP协议在最初设计时没有考虑到安全性问题而只是用于科学研究，因此它自身存在许多固有的安全缺陷，这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门，使得基于这些缺陷和漏洞的攻击形式多样。讲授新课：一、项目背景A企业是一个跨地区的大型企业，它由A企业长春总部、A企业上海分公司、A企业北京办事处组成，A企业三个分部处于不同城市，具有各自的内部网络，并且都已经连接到互联网中。小杨作为A企业长春总部网络管理人员，工作之初，他时常会听到领导、员工的责问：网管，怎么又掉线了？！同时，内网文件服务器也偶尔会出现死机、系统崩溃和内容被篡改的现象。二、ARP协议1ARP协议简介ARP全称为 Address Resolution Protocol，地址解析协议的缩写。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。2ARP报文格式目的MAC地址源MAC地址0X

3、8006数据FCS硬件类型协议类型硬件长度协议长度操作类型源主机的MAC地址源主机的IP地址目的主机的MAC地址目的主机的IP地址3ARP工作原理（1）首先，每台主机都会在自己的ARP缓冲区中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。（2）当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有，就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。（3）网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送方的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址。（4）源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失

4、败。4ARP的安全及防范从影响网络连接通畅的方式来看，分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。（1）对路由器ARP表的欺骗其原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。（2）对内网PC的网关欺骗其原理是伪造网关。通过建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。 作为企业的网管人员，为防范第一种ARP欺骗，可以在路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定；同时为防范第二种ARP欺骗，可以在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。三、使用Packet Tracer模拟软件抓包ARP分析1.本任务的实验拓扑及设备IP地址如下图所示。2.打开PC1，在命令行下运行“arp -a”命令，查看ARP缓存表。如下图所示，此时在没有任何通信的情况下，ARP缓存表是空的。3. P

5、C1为源主机，PC3为目标主机，使用Ping命令测试网络连通性，观察数据经交换机转发的过程。（1）由实时模式切换至模拟模式，单击PT软件右下角的【Simulation】按钮，即可进入模拟模式，在模拟模式下，单击【Edit Filters】按钮，打开捕获窗口设置过滤条件（提取ARP、ICMP），如下图所示。（2）单击“PC1”，选择【Desktop】|【Command Prompt】在命令行提示符下，输入“Ping 172.16.1.3”。如下图所示。（3）在模拟模式下单击“Auto Capture/Play”按钮。观察数据传送过程，如下图所示。4.在右侧的“Event List”中分析PC1发往PC3的第一个ARP数据，如下图所示，源IP为172.16.1.1，目的IP为172.16.1.3，数据链路层为数据进行封装，类型字段（TYPE）值为“0x806”表示封装的是ARP协议，源MAC为0001.6465.8B74（即PC1），目的MAC为即FFFF.FFFF.FFFF（即广播地址），“OPCODE”（操作码）字段中为“0x1”，表示此次操作为“ARP请求”。5.数据经由交换机S1到

6、达PC3，经对比发现，目的IP与自己的IP一致，进而PC3向PC1进行回应。如下图所示，此时从PC3发出的数据包的源IP变为172.16.1.3，目的IP变为172.16.1.1，源MAC变为0002.4AEE.98A4，目的MAC变为0001.6465.8B74，“OPCODE”字段中为“0x2”，表示此次操作为“ARP响应”。6. PC3回应的数据到达PC1，如下图所示为PC1收到的回应。7.在PC1上再次执行ARP-a命令，即可查看到ARP高速缓存表中增加了一条记录。如下图所示，IP地址为172.16.1.3的主机，其MAC地址为0002.4AEE.98A4，类型为动态。8.ping 命令可用于测试网络连通性。通过访问其它设备，ARP关联会被动态添加到 ARP 缓存中。在 PC 1上 ping 地址 255.255.255.255，并发出 arp -a 命令查看获取的 MAC 地址。此时局域网中所有的MAC地址全部存在其ARP缓存表中。如下图所示。9.为了防止ARP欺骗攻击，可以使用ARP S命令，将网关的IP及MAC地址进行绑定。需要注意的是Packet Tracer模拟器不支

7、持此命令。 课堂小结：本次课主要介绍ARP协议作用、报文格式及工作原理，同时利用Packet Tracer模拟软件抓包进行ARP分析。授课对象系 别本次课学时2年级班次章节题目项目二 协议分析 ICMP协议目的要求(含技能要求)了解ICMP协议的报文格式；理解ICMP协议的作用；理解ICMP协议的安全及防范。本节重点ICMP协议的安全及防范本节难点ICMP协议的安全及防范教学方法引导文教学、任务驱动、案例教学、教学做一体化教学模式教学用具实训室问题引入随着Internet/Intranet的发展，TCP/IP协议得到了广泛的应用，几乎所有的网络均采用了TCP/IP协议。由于TCP/IP协议在最初设计时没有考虑到安全性问题而只是用于科学研究，因此它自身存在许多固有的安全缺陷，这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门，使得基于这些缺陷和漏洞的攻击形式多样。难点与重点讲解方法利用Packet Tracer分析ICMP协议的安全及防范。本次课小节课程小节1ICMP协议的作用 2ICMP协议的报文格式 3ICMP协议的安全及防范教后札记通过本次授课使学生理解TCP协议的作用及三次握手

8、工作原理，利用GNS3抓包软件分析ICMP。讨论、思考题、作业(含实训作业)尝试利用PT软件分析ICMP协议。教学过程：引入新课：随着Internet/Intranet的发展，TCP/IP协议得到了广泛的应用，几乎所有的网络均采用了TCP/IP协议。由于TCP/IP协议在最初设计时没有考虑到安全性问题而只是用于科学研究，因此它自身存在许多固有的安全缺陷，这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门，使得基于这些缺陷和漏洞的攻击形式多样。讲授新课：一、项目背景A企业是一个跨地区的大型企业，它由A企业长春总部、A企业上海分公司、A企业北京办事处组成，A企业三个分部处于不同城市，具有各自的内部网络，并且都已经连接到互联网中。小杨作为A企业长春总部网络管理人员，工作之初，他时常会听到领导、员工的责问：网管，怎么又掉线了？！同时，内网文件服务器也偶尔会出现死机、系统崩溃和内容被篡改的现象。二、ICMP协议1ICMP协议简介ICMP全称为Internet Control Message Protocol，Internet控制消息协议的缩写。它是TCP/IP协议族的一个子协议，用于在IP主机

9、、路由器之间传递控制消息。该协议属于网络层。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。在网络中经常会使用到ICMP协议，如经常使用的用于检查网络通不通的Ping命令，这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。2ICMP报文格式（1）类型字段（8位）：有15个不同的值用来标识报文。（2）代码字段（8位）：提供报文类型的进一步信息。（3）校验和字段（16位）：提供整个ICMP报文的校验和。（4）数据区：包括出错数据报的报头及该数据报的前64bit数据，这些信息可以帮助源主机确定出错数据报。每个ICMP报文放在IP数据报的数据部分中通过互联网传递，即将ICMP报文加上IP报头，其中IP报头中的协议域protocol1，而IP数据报本身放在帧的数据部分中通过物理网络传递。3ICMP的安全及防范ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定，向主机发起“

《网络安全技术及实施教案项目二》由会员博****1分享，可在线阅读，更多相关《网络安全技术及实施教案项目二》请在金锄头文库上搜索。