updated some material
This commit is contained in:
83
Sniffing_Spoofing/Experiment_Guide.md
Normal file
83
Sniffing_Spoofing/Experiment_Guide.md
Normal file
@@ -0,0 +1,83 @@
|
||||
# 网络安全实验:数据包嗅探与伪造(Sniffing & Spoofing)演示指南
|
||||
|
||||
这份文档旨在帮助你快速回顾实验步骤、关键命令以及核心理论,应对老师的实验验收。
|
||||
|
||||
---
|
||||
|
||||
## 0. 准备工作:启动实验环境
|
||||
|
||||
在 `Labsetup` 目录下执行以下操作:
|
||||
|
||||
1. **启动容器**:
|
||||
```bash
|
||||
docker-compose up -d
|
||||
```
|
||||
2. **确认网络接口**:
|
||||
由于实验代码中硬编码了网卡名称(如 `br-c031fbf1a197`),请务必在宿主机执行 `ifconfig` 或 `ip addr`,找到 IP 为 `10.9.0.1` 的网桥名称。
|
||||
* **重要提示**:如果演示时报错 `Device not found`,请立即修改代码中的 `iface` 参数为实际查到的名称。
|
||||
|
||||
---
|
||||
|
||||
## 1. 任务集 1:使用 Scapy (Python)
|
||||
|
||||
### 任务 1.1: 基础嗅探 (Sniffer)
|
||||
* **运行命令**:`sudo python3 sniffer.py`
|
||||
* **测试步骤**:在 HostA 或 HostB 执行 `ping 10.9.0.x`。
|
||||
* **验收提问**:
|
||||
* **为什么需要 sudo?** 因为创建原始套接字(Raw Socket)和开启混杂模式需要 Root 权限。
|
||||
* **如何过滤流量?** 解释 BPF 过滤器(如 `icmp`, `tcp port 23`)。
|
||||
|
||||
### 任务 1.2: 数据包伪造 (Spoofing)
|
||||
* **运行命令**:`sudo python3 spoofer.py`
|
||||
* **测试现象**:HostA 会收到一个来自虚假源 IP(如 `1.2.3.4`)的 ICMP 请求包。
|
||||
|
||||
### 任务 1.3: 自定义 Traceroute
|
||||
* **运行命令**:`sudo python3 traceroute.py`
|
||||
* **核心原理**:利用 **TTL (Time To Live)** 字段。从 1 开始递增 TTL,每一跳路由器丢弃包并返回 `ICMP Time Exceeded`,直到到达目标返回 `Echo Reply`。
|
||||
|
||||
### 任务 1.4: 嗅探并伪造响应 (Sniff-and-Spoof)
|
||||
* **演示重点**:
|
||||
1. Attacker 运行 `sudo python3 sniff_and_spoof.py`。
|
||||
2. HostA 执行 `ping 1.2.3.4` -> **成功收到回复**(Attacker 伪造的)。
|
||||
3. HostA 执行 `ping 10.9.0.99` (局域网内不存在的 IP) -> **失败**。
|
||||
* **原理深度解析**:因为 HostA 会先发送 **ARP 请求** 寻找 `10.9.0.99` 的 MAC 地址。由于该 IP 不存在,ARP 无响应,IP 包根本发不出去,Attacker 也就嗅探不到请求。
|
||||
|
||||
---
|
||||
|
||||
## 2. 任务集 2:使用 C 语言 (libpcap & Raw Socket)
|
||||
|
||||
### 编译与运行
|
||||
```bash
|
||||
# 在容器或挂载目录下编译
|
||||
gcc -o sniffer_c sniffer.c -lpcap
|
||||
gcc -o spoofer_c spoofer.c
|
||||
gcc -o sniff_and_spoof_c sniff_and_spoof.c -lpcap
|
||||
|
||||
# 运行(记得 sudo)
|
||||
sudo ./sniffer_c
|
||||
```
|
||||
|
||||
### 核心技术点 (验收常考)
|
||||
* **libpcap 流程**:`pcap_open_live` -> `pcap_compile` -> `pcap_setfilter` -> `pcap_loop`。
|
||||
* **Raw Socket 伪造**:必须设置 `IP_HDRINCL` 选项,手动构造整个 IP 和 ICMP 首部。
|
||||
* **校验和 (Checksum)**:计算前必须将校验和字段清零,否则计算结果错误,包会被丢弃。
|
||||
* **字节序 (Endianness)**:网络传输使用大端序,多字节字段(如 IP、Port)需使用 `htons()` / `htonl()` 转换。
|
||||
|
||||
---
|
||||
|
||||
## 3. 验收常见 Q&A
|
||||
|
||||
1. **Q: 为什么攻击者能看到其他机器的流量?**
|
||||
* A: 容器处于 `host` 网络模式,且开启了 **混杂模式 (Promiscuous Mode)**,允许网卡接收目的 MAC 不是本机的帧。
|
||||
2. **Q: 交换式网络环境下嗅探有什么限制?**
|
||||
* A: 在真实物理交换机下,除非进行 ARP 欺骗或配置端口镜像,否则混杂模式只能看到广播帧和发往本机的帧。Docker 虚拟网桥模拟了这种环境。
|
||||
3. **Q: Scapy 与 C 语言开发相比有什么优缺点?**
|
||||
* A: Scapy 开发效率极高,一行代码搞定协议堆叠;C 语言执行效率高,能更深入底层,适合学习协议栈细节。
|
||||
|
||||
---
|
||||
|
||||
## 演示清单 (Checklist)
|
||||
- [ ] `docker-compose up -d` 环境就绪。
|
||||
- [ ] 找到正确的 `br-xxxx` 网桥接口名。
|
||||
- [ ] 所有代码已针对当前环境的网桥名完成更新。
|
||||
- [ ] 准备好两个终端:一个运行嗅探/伪造脚本,一个在 HostA 执行测试命令。
|
||||
Reference in New Issue
Block a user