实验四 恶意软件实验

一、实验目的

恶意软件实验与理论教学第五章恶意软件相对应。本实验在学生完成DHCP欺骗攻击与防御实验的基础上，使学生能够了解恶意软件的三种传播机制和四种有效载荷，通过钓鱼网站的攻击与防御掌握恶意软件对抗措施。具体如下：

1 **、DHCP欺骗攻击与防御实验：**验证DHCP服务器配置过程、验证DNS服务器配置过程、验证终端用完全合格的域名访问Web服务器的过程、验证DHCP欺骗攻击过程、验证钓鱼网站欺骗攻击过程、验证交换机防御DHCP欺骗攻击功能的配置过程。

二、实验简要原理

1 、DHCP欺骗攻击与防御实验

终端通过DHCP自动获取的网络信息中包含本地域名服务器地址,对于如图4.1所示的网络应用系统,DHCP服务器中给出的本地域名服务器地址是192.1.2.7。地址为192.1.2.7的域名服务器中与完全合格的域名www.a.com绑定的Web服务器的IP地址是192.1.3.7。因此,终端可以用完全合格的域名www.a.com访问到Web服务器。

图4.1 正常网络应用系统

如图4.2所示,一旦终端连接的网络中接入伪造的DHCP服务器,终端很可能从伪造的DHCP服务器获取网络信息,得到伪造的域名服务器的IP地址192.1.2.2,伪造的域名服务器中将完全合格的域名www.a.com与伪造的Web服务器的IP地址192.1.3.1绑定在一起,导致终端用完全合格的域名www.a.com访问到伪造的Web服务器。

图4.2 实施DHCP欺骗攻击的网络应用系统

如果交换机启动防御DHCP欺骗攻击的功能,只有连接在信任端口的DHCP服务器才能为终端提供自动配置网络信息的服务。因此,对于如图4.2所示的实施DHCP欺骗攻击的网络应用系统,连接终端的以太网中,如果只将连接路由器R1的交换机端口设置为信任端口,将其他交换机端口设置为非信任端口,使得终端只能接收由路由器R1转发的DHCP消息,导致终端只能获取DHCP服务器提供的网络信息。

三、实验环境

本实验基于Cisco Packet Tracer 8.1软件完成，通过Packet Tracker可以运用Cisco网络设备设计、配置和调试网络，可以模拟分组端到端传输过程中的每一个步骤；可以直观了解IP分组端到端传输过程中交换机、路由器等网络设备具有的各种安全功能对IP分组的作用过程。

四、实验内容

1 、DHCP欺骗攻击与防御实验

构建如图4.1所示的网络应用系统,完成DHCP服务器、DNS服务器配置过程使得终端A和终端B能够通过DHCP自动获取网络信息,并能够用完全合格的域名www.a.com访问Web服务器。

构建如图4.2所示的实施DHCP欺骗攻击的网络应用系统,使得终端A和终端B从伪造的DHCP服务器中获取网络信息,根据错误的本地域名服务器地址到伪造的DNS服务器中解析完全合格的域名www.a.com,得到伪造的Web服务器的IP地址,导致用完全合格的域名www.a.com访问到伪造的Web服务器。

完成交换机防御DHCP欺骗攻击功能的配置过程,使得终端A和终端B只能从DHCP服务器获取网络信息。

五、网络拓扑图

1 、DHCP欺骗攻击与防御实验网络拓扑图

六、实验过程说明及截图

1 、DHCP欺骗攻击与防御实验过程

（1）按照实验拓扑图放置和连接设备，连接完成的拓扑图和接口如下图所示：

（2）完成路由器接口配置、路由器RIP配置，如图所示：

（3）完成DHCP服务器的配置，如图所示：

完成DNS服务器配置，如图所示：

（4）配置服务器网络信息，如图所示：

（5）启动PC0通过DHCP自动获取网络信息的过程，结果如图所示：

启动PC0浏览器，在地址栏中输入完全合格的域名，PC0访问到的Web服务器主页如图所示：

（6）在之前的拓扑图上添加伪造的DHCP服务器、伪造的DNS服务器以及伪造的Web服务器。添加后的拓扑图如图所示：

（7）完成伪造的DHCP服务器的配置，如图所示：

完成伪造的DNS服务器的配置，如图所示：

（8）完成伪造的三台服务器的网络信息配置，如图所示：

（9）修改伪造的Web服务器名：

（10）重新启动PC0通过DHCP自动获取网络信息的过程，如图所示：

图中本地域名服务器地址是伪造的DNS服务器的IP地址192.1.2.2。

启动PC0的浏览器，在地址栏中输入完全合格的域名，PC0访问的Web服务器的主页如图所示：

（11）在交换机Switch中启动防御DHCP欺骗攻击的功能，只将交换机Switch连接路由器Router1的交换机端口Fa0/3配置成信任端口：

启动PC0通过DHCP自动获取网络信息过程：

PC0访问的Web服务器的主页如图：

七、实验思考

1 、实验内容思考

（1）对DHCP欺骗攻击的实验结果进行分析，说明该实验采用的恶意软件类别是什么？及其采用的传播机制和有效载荷是什么？

本实验中的攻击属于网络攻击类恶意软件。攻击者通过伪造的DHCP服务器和DNS服务器，向终端分发虚假的网络配置，使终端访问到伪造的Web网站，从而达到钓鱼或欺骗的目的。

其传播机制为伪造DHCP服务的网络传播；有效载荷为虚假的DNS服务器地址，该地址引导终端解析到伪造的网站，实现信息欺骗。

（2）对DHCP欺骗防御的实验结果进行分析，说明其能够有效防御该恶意软件的方法是什么？

防御方法采用了DHCP Snooping机制。

当交换机启用此功能后，只允许连接在信任端口上的DHCP服务器发送有效的DHCP报文，而来自非信任端口的伪造信息会被丢弃。

在实验中，仅将连接Router1的交换机端口Fa0/3设置为信任端口，使终端只能从合法的DHCP服务器获取网络信息，从而有效防止了欺骗攻击。

2 、实验过程思考

要求：对照第五章恶意软件理论课相关知识点，分析本实验阐述的原理。

通过本实验可以看出，攻击者可利用伪造DHCP服务器发送错误的网络配置，使受害主机访问恶意或钓鱼网站，威胁网络安全。

防御机制通过启用DHCP Snooping功能，建立可信端口与合法服务器的绑定关系，从源头防止伪造信息的传播。

该实验验证了恶意软件利用网络层协议实施攻击的方式，也体现了访问控制与信任机制在防御恶意攻击中的重要作用。