网络攻击与防范ARP攻击实验

华北电力大学实验报告||实验名称ARP攻击实验课程名称网络攻击与防备||专业班级：网络学生姓名：学号：成绩：指导教师：曹锦纲实验日期：一、实验目的及规定1、安装虚拟机（VMWARE）和WinArpAttacker软件（或其它ARP攻击软件）。2、熟悉软件功效特性。3、用ARP攻击对虚拟机进行攻击。4、分析攻击给目的主机的影响。二、所用仪器、设备两台WindowsXPProfessionalSP3虚拟机三、实验原理WinArpAttacker软件能够发现并收集局域网中的全部数据包。它重要执行下列6种攻击行为：（1）FLOOD（Arp洪水）：不间断的IP冲突攻击。以最快的速度向目的主机发送IP冲突数据包，如果发送过多，目的主机将当机。（2）BANGATEWAY（屏蔽网关）：严禁上网。将目的主机的错误mac地址发送给网关，这样目的主机就无法从互联网接受数据包.此攻击用于制止目的主机访问互联网。（3）IPConflict（IP冲突）：定时的IP冲突。与Arp洪水攻击类似，以常规速度向目的主机发送ip冲突数据包，由于IP冲突的信息,目的主机无法访问网络。（4）SniffGateway（嗅探网关）：监听选定机器与网关的通讯。在目的主机和网关之间进行欺骗，嗅探并收集他们之间的数据包。（5）SniffHosts（嗅探主机）：监听选定的几台机器之间的通讯。在两台或多台主机之间进行欺骗，在这些主机之间嗅探并收集数据包。（6）SniffLan（局域网嗅探）：监听整个网络任意机器之间的通讯。与嗅探网关类似，区别在于，局域网嗅探方式是将自己作为网关发送ARP广播包给全部主机，然后就可嗅探全部主机与网关之间的数据包。（非常危险）当欺骗ARP表时，不必局域网内其它主机的识别，即可将自己装饰为另一种网关（或包转发主机）。通过WinArpAttacker的包转发功效，可收集并转发数据包，使用时最佳严禁本地系统本身的包转发功效。能够统计通过WinArpAttacker包转发功效嗅探和转发的数据，就像在本地网络接口上看到的数据包统计值同样。ARP表在很短的时间内自动更新（大概5秒内），也可选择不自动刷新ARP表。四、实验办法与环节1、在VMware中新建两个虚拟机，均安装WindowsXP系统，并设立网卡连接方式为Host-only（主机）模式。2、具体的TCP/IP参数设立以下：设备IP地址掩码MAC地址PC1、确保两台虚拟机互相能够ping通：PC1：PC2：4、WinArpAttacker下载后直接解压缩即可使用，在PC1中打开，即显示软件主界面。5、在WinArpAttacker主窗口中选择“扫描”→“高级”菜单项，即可打开“扫描”对话框。在其中选择“扫描网段”选项。单击“扫描”按钮进行扫描。会弹出Scanningsuccessfully（扫描成功）信息框。6、单击“拟定”按钮，即可在WinArpAttacker主窗口中看到扫描成果，如图所示区域是主机列表区，重要显示局域网内机器IP、MAC、主机名、与否在线、与否在监听、与否处在被攻击状态，其中ArpSQ是该机器的发送ARP请求包的个数；ArpSP是该机器的发送回应包个数；ArpRQ是该机器接受的请求包个数；ArpRP是该机器接受的回应包个数。左下方区域重要显示检测事件，在这里显示检测到的主机状态变化和攻击事件。而右下方区域重要显示本地局域网中全部主机IP地址和MAC地址信息。7、在进行攻击之前，需要对攻击的各个属性进行设立。单击工具栏上的“设立”→“适配器”菜单项，则打开Options对话框，以下左图所示。如果本地主机安装有多块网卡，则可在“适配器”选项卡下选择绑定的网卡和IP地址。本次实验选择VMwareAcceleratedAMDPCNetAdapter网卡（即默认网卡）。在“攻击”选项卡中可设立网络攻击时的多个选项，以下右图所示。除“持续IP冲突”是次数外，其它都是持续的时间，如果是0则表达不停止。8、在“更新”选项卡中可设立自动扫描的时间间隔，以下左图所示。在“检测”选项卡中可设立与否启动自动检测以及检测的频率，以下右图所示。10、在“分析”选项卡中可设立保存ARP数据包文献的名称与途径，以下左图所示。在“ARP代理”选项卡中可启用代理ARP功效，以下右图所示。11、在“保护”选项卡中能够启用本地和远程防欺骗保护功效，以避免受到ARP欺骗攻击，以下图所示。12、在WinArpAttacker主窗口中选用需要攻击的主机，单击“攻击”按钮右侧下拉按钮，在弹出菜单中选择攻击方式，即可进行攻击。这样受到攻击的主机将不能正常与网络进行连接。13、普通攻击方式：（1）选择“不停IP冲突”攻击方式，在PC2上能够看到出现了“IP地址冲突提示”，PC2无法上网。（2）选择“定时IP冲突”攻击方式，在PC2上同样能够看到出现了“IP地址冲突提示”，PC2无法上网。该方式与“不停IP冲突”的差别是能够手动设立冲突时间。（3）在PC2中持续ping百度，看到能够ping通，在PC1中选择“严禁上网”攻击方式后，再次查看PC2，能够看到此时无法ping通百度，PC2已被严禁上网。14、Send功效：Attack的6个选项，其实都能够用Send功效自己实现。本次实验尝试通过Send功效修改目的主机的ARP缓存。（1）查看目的主机PC2的ARP缓存表以下：此时PC1的MAC地址是正常的。（2）选择“发送”功效，输入对的的SrcIP地址、MAC地址和DstIP地址，并将DstMAC地址修改为EE-EE-EE-EE-EE-EE，即错误的DstMAC地址，选择进行持续发送。（3）此时再次查看PC2的ARP缓存表，能够发现PC1的MAC地址已经被修改了，PC2无法ping通PC1。五、实验心得与体会本次实验学习使用了WinArpAttacker软件，熟悉了WinArpAttacker软件的功效特性，对ARP攻击有了切身的体会。在实验过程中，最初选择使用一台笔记本与一台虚拟机进行实验，其中虚拟机的网卡连接方式为Bridged（桥接）模式，此时虚拟机即使能够看做网络中的一台独立主机，也有它自己的IP地址和MAC地址，但是在用WinArpAttacker软件进行扫描时，只能扫描出虚拟机的MAC地址与笔记本的MAC地址一致，最后造成全部的攻击方式都失效了，没方法产生严禁上网的效果。在网上查询了有关阐明以及认真比较了其它ARP攻击实验后，发现在通过虚拟机进行ARP攻击实验时，需要将虚拟机的网卡连接方式设立为Host-only（主机）模式，使虚拟机之间形