实验_ARP地址欺骗实验

1、ARP地址欺骗1、实验目的1、掌握常见ARP欺骗类型和手段2、掌握ARP协议工作原理和格式3、掌握防范ARP地址欺骗的方法和措施4、掌握Sniffer Pro软件的使用2、实验环境硬件：交换机1 台、路由器1台、计算机数台软件：Sinfffer pro3、实验原理1)、ARP协议简介ARP(Address Resolve Protocol)地址请求解析协议，用于寻找和IP 地址相对应的MAC地址。在RFC 826中定义了ARP协议的数据格式和类型。ARP协议属于在网络层的下部，可看作为网络层和数据链路层的接口，主要用于IPv4以太网。ARP消息类型有2 种：ARP request ：ARP 请

2、求ARP response ： ARP应答ARP协议格式数据封装过程用于以太网的ARP请求或应答分组格式以太网帧的格式ARP 报文中各字段的意义l 硬件类型：以太网接口类型为1l 协议类型：IP协议类型为080016l 操作：ARP请求为1，ARP应答为2l 硬件地址长度：MAC地址长度为6Bl 协议地址长度：IP地址长度为4Bl 源MAC地址：发送方的MAC地址l 源IP地址：发送方的IP地址l 目的MAC 地址：ARP 请求中该字段没有意义；ARP 响应中为接收方的MAC地址l 目的IP 地址：ARP 请求中为请求解析的IP 地址；ARP 响应中为接收方的IP地址ARP 协议的改进高速缓存

3、技术l 高速缓存区中保存最近获得的ARP表项l 高速缓冲区中ARP表项新鲜性的保持：计时器l 实验表明高速缓冲区的使用可以大大提高ARP 的效率其他改进技术l 目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关系存入自己的高速缓冲区l ARP请求是广播发送的，网络中的所有主机接收到ARP请求后都可以将源主机的IP 地址与物理地址映射关系存入自己的高速缓冲区l 主机启动时主动广播自己的IP地址与物理地址的映射关系4、实验步骤1）掌握常用的ARP常用命令ARP命令：功能：用于查看、添加和删除高速缓存区中的ARP表项高速缓冲区中的ARP表项l 动态表项：随时间推移自动添加和删除l 静态表项

4、：一直保留，直到人为删除或重新启动计算机Windows 中ARP表项的潜在生命周期：10分钟l 新表项加入时定时器开始计时l 表项添加后两分钟内没有被再次使用：删除l 表项被再次使用：增加2 分钟的生命周期l 表项始终在使用：最长生命周期为10 分钟Arp a / 查看计算机的ARP缓存Arp s 172.29.16.134 01-12-23-34-45-56 /将IP 地址172.29.16.134 和MAC 地址01-12-23-34-45-56静态绑定Arp d 172.29.16.134/删除IP地址172.29.16.134 的静态绑定Arp缓存中的IP地址和MAC地址的映射表是有生

5、存期的，每过一段时间就会过期，这时则要重新获取MAC地址。另外，当计算机重新启动时，ARP缓存表也会被清空。2）利用Sniffer Pro捕获ARP数据包并进行分析（1）启动Sniffer Pro，选择要监听的网卡。（在实验室环境选择实际的网卡，不要选择虚拟网卡）。选择要监听的网卡图示（2）登录该网卡（3）点击开始，开始监听数据（4）对照ARP格式，分析各字段的意思。3）利用Sinffer Pro发送伪造的ARP数据包。选择发送当前数据帧的按钮，如图所示。在这里我们要修改发送的数据帧。比如说，要想对某台主机172.168.16.134(转换成十六进制为ac 1d 10 86)欺骗, 将其MAC

6、地址欺骗为00-11-22-33-44-55。也就是说，欺骗之后，网络上的计算机都认为IP地址为172.168.16.134 的主机MAC地址为00-11-22-33-44-55。所以，当网络的主机要和172.168.16.134进行通信时，便发生了故障。该欺骗的原理，就是冒充172.168.16.134 主机发出一个ARP 请求，那么网络上接收到该请求的计算机都会更新本机的ARP表，从而获得一个错误的消息。要发送的帧如下图。大家在修改该帧的字段时，要对照ARP协议的报文格式来进行。注意：如果所攻击IP为网关（路由器）的IP地址，则该操作对网络来说会产生严重的后果，造成网络内所有的计算机都不能

7、连上Internet，请勿在实验室以外的地方使用，否则后果自负。这是针对网关的一种ARP欺骗，数据包是以广播的方式发送。点击发送之后，再查看网络内各主机的ARP缓存表，会发现出现以下情况：实验验证从上面可以看到172.29.16.134 的MAC地址变成了一个错误的MAC地址。导致无法通信。5、课后思考a、查找相关资料，了解ARP欺骗的发现和防范。b、利用WinPcap，编写程序来实现接收和发送ARP数据包。本实验利用Sniffer冒充所要攻击的主机发送伪造arp数据包，数据包中将一个不存在的MAC地址与目的主机（所要攻击的主机）地址绑定，从而欺骗网络中的其他主机，导致无法正常通信，最终达到攻击的目的。通过本实验，掌握了基本操作方法步骤，理解了数据包欺骗的原理，增强了综合分析的能力。同时，除了采用Sniffer进行伪造数