网络攻击身份隐藏
学生姓名:丁力，余雪松专业班级:电信0904班
指导教师:肖攸安实验日期:2010年12月10日实验目的
1.网络攻击身份隐藏技术是网络攻击者保护自身安全的手段。

通过IP地址伪造、MAC地址伪造、假冒电子邮件地址和使用代理服务器等都可以实现身份隐藏。

2.通过该实验认识到身份隐藏的重要性，了解常用的身份隐藏技术，掌握代理服务器的配置及使用方法。

实验要求
1．基本要求了解,IP地址伪造、MAC修改的原理和代理服务器的工作原理。

掌握代理服务器的使用方法等。

提高要求能够入侵一台主机并远程安装代理服务器软件并使用。

2.使用CCProxy代理服务器软件，代理客户端软件SOCKSCAP实现IP地址隐藏等。

实验原理
1.MAC地址是烧录在NIC里的。

修改MAC地址可通过硬件或软件修改实现。

硬件修改就是直接对网卡进行操作，修改保存在网卡的EPROM里面的MAC地址，通过网卡生产厂家提供的修改程序可以更改存储器里的地址。

软件修改的方法相对简单得多，在Windows中，网卡的MAC保存在注册表中，实际使用也是从注册表中提取的，所以只要修改注册表就可以改变MAC。

一般网卡发出的包的源MAC 地址是应用程序提供的，通常的实现中，应用程序先从网卡上得到MAC地址，每次发送的时候都用这个MAC作为源MAC，而注册表中的MAC地址是在Windows安
装的时候从网卡中读入的。

因此，在局域网还可以通过修改MAC地址的方法隐藏自己真实的MAC地址。

2.代理服务器英文全称是Proxy Server，其功能就是代理网络用户去取得网络信息。

使用代理服务器的工作过程如下：
(1)使用者(Client)提出要求
(2)Proxy Server本身是否有所需资料,若有则跳至(6)
(3)向真正的Web Server提出索取资料需求
(4)真正的Web Server响应资料
(5)Proxy Server储存WebServer响应的资料
(6)Proxy响应使用者(Client)需求。

因此使用代理服务器后，在被攻击主机上就只留下了代理服务器的IP地址信息，从而隐藏了攻击者的真正IP地址。

实验设备
1.主流配置PC三台，安装有windows操作系统,。

Proxy代理服务器软件，代理客户端软件SOCKSCAP。

3.网络拓扑图如下所示。

实验步骤
一.通过代理服务器隐藏IP
(1)在主机A上安装软件CCProxy。

(2)在主机A运行CCProxy，进行代理设置。

(3)在另一台主机上安装代理服务器客户端软件SOCKSCAP，并运行。

(4)在主机B上设置连接CCProxy服务器的有关选项。

(5)用使用代理服务器的主机B访问主机C。

(6)在主机C查询来访主机IP地址。

二．通过主机系统更改MAC地址隐藏身份
(1)修改主机A的MAC地址。

(2)用主机A去ping主机C，以供主机C学习完善ARP缓存列表。

(3)在主机C上查看ARP缓存列表。

实验过程记录
一.通过代理服务器隐藏IP
1.在主机A上安装CCProxy软件，运行后界面如下所示
2.设置主机A代理服务类型、通信协议以及对应端口。

3.在CCProxy主窗口点击“账号”，在“允许范围”，选择“允许部分”，
在“验证类型”，选择“用户名/密码”，并建立允许使用的用户名和密码。

在这里，用户名为“小丁余”，,密码为123456。

并点击“确定”，完成代理服务器的设置。

4.在另一台主机上安装代理服务器客户端软件SOCKSCAP，并运行，主界面如下图所示。

5．打开SOCKSCAP设置窗口。

配置CCProxy服务器的IP地址、CCProxy服务器的Socks监听端口以及支持的验证方式。

6.登录CCProxy服务器之后，回到SOCKSCAP控制台
7.在SOCKSCAP控制台点击“New”，并在弹出窗口中的“Profile Name”中填写“cmd”，并在“Command Line”选中cmd.exe所在系统文件夹。

8.在主机C上使用netstat-an命令，查看本地的开放端口和网络连接情况，发现139端口是打开的。

9.在使用代理服务器的主机B上启动的cmd命令行输入命令：telnet
192.168.0.3，登录被主机A拒绝。

再次输入：telnet192.168.0.3139登
录成功，但由于系统安全保护，即使我们telnet主机A，仍没用管理员权限。

10.在CCProxy服务器主机B上查看连接日志。

可知telnet命令默认端口为23，但由于主机C端口23为开放，连接请求被拒绝。

当指定telnet端口为139时，因为139为主机C上的开放端口，所以可成功登录。

11.在主机C上重新使用netstat-an命令，将看到如下所示连接。

可以看到和192.168.0.3的139端口建立连接的主机的IP地址为
192.168.0.2，而非真正的主机192.168.0.3，从而实现了隐藏IP地址。

备注：
由于window XP操作系统自身防火墙对ICMP包过滤以及对telnet的连接限制，以上实验需手动关闭window防火墙。

二．通过主机系统更改MAC地址隐藏身份
1.通过操作系统更改主机A的MAC地址为：12：34：56：78：90：12
2.在主机A上通过ipconfig命令查看系统封装MAC，并去ping通主机C：
3.在主机A上通过arp–a查看主机arp缓存列表。

此时IP地址192.168.0.1对应的MAC地址为：12:34:56:78:90:12，因此可见主机C成功隐藏了自己的MAC地址。

实验总结及思考
通过该实验使我认识到身份隐藏的重要性，了解常用的身份隐藏技术，掌握代理服务器的配置及使用方法。

同时对本次实验做出以下思考：
1，攻击者可通过代理服务实现多级代理，从而更加增加网络追踪的难度。

2，攻击者往往通过不断发送干扰ARP报文对路由器和交换机进行ARP攻击，使得路由器与交换机的ARP缓存列表不稳定以至溢出，从而达到一些非
法目的。

因此为了一定程度上防止MAC欺骗和ARP攻击，可在交换机上
静态绑定IP地址对应的MAC地址。

3，在网络中，入侵者很多时侯会使用telnet来登陆的，但是如果服务器启动telnet服务的话，登陆就会被记录下来，虽然可以有程序可以清除那些记录，但是一定是要有admin权限才可以的。

很多入侵者试图通过在
肉鸡上建立跳板，这种方法是难以对付的。

传统方法是在肉鸡上增加一
个admin权限的帐户，然后启动telnet服务，在网络时先telnet上这
台肉鸡，再通过网鸡telnet上要网络的服务器，完成网络后就将肉鸡上的telnet日志清掉。

因此，如果没有特殊需求服务器都尽量不要打开
telnet服务。

（当然，一些木马或shell程序还需其他方法防范）4，使用命令只能单条获得MAC地址，而且使用起来也是很麻烦的。

对于网管人员，更希望有一款简单化操作的软件，我们可以利用“MAC扫描器”
远程批量获取MAC地址。

它是用于批量获取远程计算机网卡物理地址的
一款网络管理软件。

该软件运行于网络(局域网、Internet都可以)内的一台机器上，即可监控整个网络的连接情况，实时检测各用户的IP、MAC、主机名、用户名等并记录以供查询，可以由用户自己加以备注；能进行
跨网段扫描，能和数据库中得IP和MAC地址进行比较，有修改IP的或
使用虚假MAC地址的，都能报警。