ARP欺骗防护功能的使用
企业级路由器应用(三)—ARP欺骗防护功能的使用
在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,对网络的正常传输和安全都是一个很严峻的考验。
目前知道的带有ARP欺骗功能的软件有“QQ第六感”、“网络执法官”、“P2P终结者”、“网吧传奇杀手”等,这些软件中,有些是人为手工操作来破坏网络的,有些是作为病毒或者木马出现,使用者可能根本不知道它的存在,所以更加扩大了ARP攻击的杀伤力。
从影响网络连接通畅的方式来看,ARP欺骗有两种攻击可能,一种是对路由器ARP表的欺骗;另一种是对内网电脑ARP表的欺骗,当然也可能两种攻击同时进行。不管怎么样,欺骗发送后,电脑和路由器之间发送的数据可能就被送到错误的MAC地址上,从表面上来看,就是“上不了网”,“访问不了路由器”,“路由器死机了”,因为一重启路由器,ARP表会重建,如果ARP攻击不是一直存在,就会表现为网络正常,所以网吧业主会更加确定是路由器“死机”了,而不会想到其他原因。为此,宽带路由器背了不少“黑锅”,但实际上应该ARP协议本身的问题。我们来看看如何来防止ARP欺骗。
上面也已经说了,欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种,我们的防护当然也是两个方面的,首先在路由器上进行设置,来防止路由器的ARP表被恶意的ARP数据包更改;其次,我们也会在电脑上进行一下设置,来防止电脑的ARP表受恶意更改。两个方面的设置都是必须的,不然,如果您只设置了路由器的防止ARP欺骗功能而没有设置电脑,电脑被欺骗后就不会把数据包发送到路由器上,而是发送到一个错误的地方,当然无法上网和访问路由器了。
我司路由器上主要的IP与MAC地址绑定的方式有两种,普通绑定与强制绑定。SOHO级路由器上主要进行的是普通绑定,企业级的路由器上有普通绑定,也有强制绑定。
普通绑定是在路由器上记录了局域网内计算机MAC地址对应的IP地址,建立了一个对应关系,不会受到ARP欺骗,导致无法正常通讯。对于没有进行IP与MAC地址绑定的计算机就可能受到ARP攻击。SOHO级路由器普通绑定只是设置了一个IP与MAC的对应关系,若计算机更改了其IP地址,路由器仍然能进行ARP映射表自动学习,扫描到计算机新的对应关系,该计算机仍能与路由器进行通讯;而企业级路由器在普通绑定之后IP和MAC地址就是一一对应的关系了,若计算机更改了其IP地址,路由器会认为其IP地址错误,从而不能与路由器进行通信。
强制绑定:是指关闭路由器的学习IP与MAC地址能力,手动在路由器中添加计算机IP与MAC地址。所以在设置了强制绑定后,新接入路由器的计算机,若没有添加IP与MAC地址对应关系,该计算机是不能与路由器进行通讯的。或者路由器下的计算机更改了其IP地址,导致与路由器上记录的IP与MAC 对应关系不一致,也无法进行通讯。
下面就以TL-4299G为例对企业级级路由器上的普通绑定和强制绑定的设置,进行详细地介绍,以及如何设置来防止ARP欺骗。
一、设置前准备
当使用了防止ARP欺骗功能(IP和MAC绑定功能)后,最好是不要使用动态IP,因为电脑可能获取到和IP与MAC绑定条目不同的IP,这时候可能会无法上网,通过下面的步骤来避免这一情况发生吧。
1)把路由器的DHCP功能关闭:打开路由器管理界面,“DHCP服务器”->“DHCP服务”,把状态由默认的“启用”更改为“不启用”,保存并重启路由器。
2)给电脑手工指定IP地址、网关、DNS服务器地址,如果您不是很清楚当地的DNS地址,可以咨询您的网络服务商。
二、设置路由器防止ARP欺骗
打开路由器的管理界面,在左侧的菜单中可以看到:
“IP与MAC绑定”的功能,这个功能除了可以实现IP和MAC绑定外,还可以实现防止ARP欺骗功能。
打开“静态ARP绑定设置”窗口如下:
注意,默认情况下ARP绑定功能是关闭,请选中启用后,点击保存来启用。
在添加IP与MAC地址绑定的时候,可以手工进行条目的添加,也可以通过“ARP映射表”查看IP与MAC地址的对应关系,通过导入后,进行绑定。
1、手工进行添加,单击“增加单个条目”。
填入电脑的MAC地址与对应的IP地址,然后保存,就实现了IP与MAC地址绑定。
2、通过“ARP映射表”,导入条目,进行绑定。
打开“ARP映射表”窗口如下:
这是路由器动态学习到的ARP表,可以看到状态这一栏显示为“未绑定”。如果确认这一个动态学习的表没有错误,也就是说当时不存在arp欺骗的情况下,把条目导入,并且保存为静态表,这样路由器重启后这些条目都会存在,实现绑定的效果。
若存在许多计算机,可以点击“全部导入”,自动导入所有计算机的IP与MAC信息。
导入成功以后,即已完成IP与MAC绑定的设置。如下:
可以看到状态中已经为已绑定,这时候,路由器已经具备了防止ARP欺骗的功能,上面的示范中只有一个条目,如果您的电脑多,操作过程也是类似的。有些条目如果没有添加,也可以下次补充上去。除了这种利用动态学习到的ARP表来导入外,也可以使用手工添加的方式,只要知道电脑的MAC地址,手工添加相应条目就可。
在“ARP映射表”中可以看到,此计算机的IP地址与MAC地址已经绑定,在路由器重启以后,该条目仍然生效
三、设置电脑防止ARP欺骗
路由器已经设置了防止ARP欺骗功能,接下来我们就来设置电脑的防止ARP欺骗了。微软的操作系统中都带有ARP这一命令行程序,我们可以在windows的命令行界面来进行配置。
Windows XP系统的设置方法:
点击“开始”,选择“运行”,输入“cmd”,打开windows的命令行提示符如下:
通过“arp –s 路由器IP+路由器MAC”这一条命令来实现对路由器的ARP条目的静态绑定,如:arp –s 192.168.1.1 00-0a-eb-d5-60-80;可以看到在arp -a 命令的输出中,已经有了我们刚才添加的条目,Type 类型为static表示是静态添加的。至此,我们也已经设置了电脑的静态ARP条目,这样电脑发送到路由器的数据包就不会发送到错误的地方去了。
怎么知道路由器的MAC地址是多少呢?可以打开路由器的管理界面,进入“网络参数”->“LAN口设置”:
LAN口的MAC地址就是电脑的网关的MAC地址。
细心的人可能已经发现了,如果使用上面的方法,电脑每次在重启后都需要输入上面的命令来实现防止ARP欺骗,有没有更简单的方法自动来完成,不用手工输入呢?有!
我们可以新建一个批处理文件如static_arp.bat,注意后缀名为bat。编辑它,在里面加入我们刚才的命令:
保存就可以了,以后可以通过双击它来执行这条命令,还可以把它放置到系统的启动目录下来实现启动时自己执行。打开电脑“开始”->“程序”,双击“启动”打开启动的文件夹目录,把刚才建立的
static_arp.bat复制到里面去:
好了,以后电脑每次启动时就会自己执行arp –s命令了,在以后使用网络的时候,不再受到ARP攻击的干扰。
Windows Vista和Windows 7系统的设置方法:
1、管理员身份运行命令提示符。
2、命令:netsh -c i i show in 查看网络连接准确名称。如:本地连接、无线网络连接。
3、执行绑定:netsh -c i i add neighbors "网络连接名称" "IP地址" "MAC地址"。
4、绑定完成,电脑重启静态ARP不失效,不用像XP一样建批处理文件。
如图所示:
实验二 ARP欺骗实验
实验二ARP欺骗实验 【实验目的】 加深对ARP高速缓存的理解 了解ARP欺骗在网络攻击中的应用 【实验原理】 ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通过发送ARP应答包通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,―网络掉线了‖。 ARP表是IP地址和MAC地址的映射关系表,任何实现了IP协议栈的设备,一般情况下都通过该表维护IP地址和MAC地址的对应关系,这是为了避免ARP 解析而造成的广播数据报文对网络造成冲击。 【实验环境】 需要使用协议编辑软件进行数据包编辑并发送;IP地址分配参考如下表所示。 设备IP地址Mac地址后缀 HostA 10.28.23.112 44-37-e6-10-77-81 HostB 10.28.23.168 28-92-4a-56-15-c2 设备连接即两台个人电脑。
【实验内容】 搭建网络实现ARP地址欺骗过程 防范ARP地址欺骗 【实验步骤】 一、设定环境(在实验中应根据具体实验环境进行实验) (1)根据环境拓扑图设定网络环境,并测试连通性。 (2)需要使用协议编辑软件进行数据包编辑并发送。 二、主机欺骗 (1)获得设定网络中各主机的IP地址和MAC地址,Ping网关。如图2-1、图 2-2 图2-1 图2-2
ARP欺骗 -攻击原理和防范
ARP欺骗/ MITM(Man-In-The-Middle)攻击原理和防范 一、MITM(Man-In-The-Middle) 攻击原理 按照 ARP 协议的设计,为了减少网络上过多的 ARP 数据通信,一个主机,即使收到的 ARP 应答并非自己请求得到的,它也会将其插入到自己的 ARP 缓存表中,这样,就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个 ARP 应答包,让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。 这里举个例子,假定同一个局域网内,有 3 台主机通过交换机相连: A 主机: IP 地址为 192.168.0.1 , MAC 地址为 01:01:01:01:01:01 ; B 主机: IP 地址为 192.168.0.2 , MA C 地址为 02:02:02:02:02:02 ; C 主机: IP 地址为 192.168.0.3 , MAC 地址为 03:03:03:03:03:03 。 B 主机对 A 和 C 进行欺骗的前奏就是发送假的 ARP 应答包,如图所示 在收到 B主机发来的ARP应答后,A主机应知道: 到 192.168.0.3 的数据包应该发到 MAC 地址为 020********* 的主机; C 主机也知道:到 192.168.0.1 的数据包应该发到 MAC 地址为 020********* 的主机。这样, A 和 C 都认为对方的 MAC 地址是 020********* ,实际上这就是 B 主机所需得到的结果。当然,因为 ARP 缓存表项是动态更新的,其中动态生成的映射有个生命期,一般是两分钟,如果再没有新的信息更新, ARP 映射项会自动去除。所以, B 还有一个“任务”,那就是一直连续不断地向 A 和 C 发送这种虚假的 ARP 响应包,让其 ARP缓存中一直保持被毒害了的映射表项。 现在,如果 A 和 C 要进行通信,实际上彼此发送的数据包都会先到达 B 主机,这时,如果 B 不做进一步处理, A 和 C 之间的通信就无法正常建立, B 也就达不到“嗅探”通信内容的目的,因此, B 要对“错误”收到的数据包进行一番修改,然后转发到正确的目的地,而修改的内容,无非是将目的 MAC 和源MAC 地址进行替换。如此一来,在 A 和 C 看来,彼此发送的数据包都是直接到达对方的,但在 B 来看,自己担当的就是“第三者”的角色。这种嗅探方法,
arp欺骗原理及处理办法
故障原因 主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。 传奇外挂携带的ARP木马攻击,当局域网内使用外挂时,外挂携带的病毒会将该机器的MAC 地址映射到网关的IP地址上,向局域网内大量发送ARP包,致同一网段地址内的其它机器误将其作为网关,掉线时内网是互通的,计算机却不能上网。方法是在能上网时,进入MS-DOS窗口,输入命令:arp –a查看网关IP对应的正确MAC地址,将其记录,如果已不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网,一旦能上网就立即将网络断掉,禁用网卡或拔掉网线,再运行arp –a。 如已有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。可在MS-DOS窗口下运行以下命令:arp –s 网关IP 网关MAC。如被攻击,用该命令查看,会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录,以备查找。找出病毒计算机:如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址。 故障现象 当局域网内有某台电脑运行了此类ARP欺骗的木马的时候,其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。 由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢。当木马程序停止运行时,用户会恢复从路由器上网,切换中用户会再断一次线。 该机一开机上网就不断发Arp欺骗报文,即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文,甚至假冒该子网网关物理地址蒙骗其它机器,使网内其它机器改经该病毒主机上网,这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线,则其它机器又要重新搜索真网关,于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器,就会使其他人上网断断续续,严重时将使整个网络瘫痪。这种病毒(木马)除了影响他人上网外,也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码(如QQ和网络游戏等的帐号和密码)为目的,而且它发的是Arp报文,具有一定的隐秘性,如果占系统资源不是很大,又无防病毒软件监控,一般用户不易察觉。这种病毒开学初主要发生在学生宿舍,据最近调查,现在已经在向办公区域和教工住宅区域蔓延,而且呈越演越烈之势。 经抽样测试,学校提供的赛门铁克防病毒软件企业版10.0能有效查杀已知的Arp欺骗病毒(木马)病毒。恶意软件由于国际上未有明确界定,目前暂无一款防病毒软件能提供100%杜绝其发作的解决方案,需要借助某些辅助工具进行清理。 解决思路 不要把你的网络安全信任关系建立在IP基础上或MAC基础上。 设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
ARP欺骗在网络中的应用及防范
ARP欺骗在网络中的应用及防范 一、ARP协议的内容和工作原理 地址解析协议(Address Resolution Protocol,ARP)是在只知道主机IP地址时确定其物理地址的一种协议。因IPv4、IPv6和以太网的广泛应用,其主要用于将IP地址翻译为以太网的MAC地址,但其也能在ATM和FDDI IP网络中使用。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC 层,也就是相当于OSI的第二层)的MAC地址。 首先,每台主机都会在自己的ARP缓冲区中建立一个ARP映射表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP 请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里面包括源主机的IP地址、源主机的MAC地址以及目的主机的IP地址、目的MAC地址。同一网段中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就丢弃此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP映射表中,如果ARP映射表中已经存在该IP的信息,则将其覆盖,然后以单播的形式给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到目的主机的IP地址和MAC地址并添加到自己的ARP映射表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。 二、ARP协议存在的安全漏洞 ARP协议是建立在信任局域网内所有节点的基础上的,它很高效,但却不安全。其主要漏洞有以下三点: 1、主机地址映射表是基于高速缓存、动态更新的,ARP将保存在高速缓存中的每一个映射地址项目都设置了生存时间,它只保存最近的地址对应关系。这样恶意的用户如果在下次交换前修改了被欺骗机器上的地址缓存,就可以进行假冒或拒绝服务攻击。 2、由于ARP是无状态的协议,即使没有发送ARP请求报文,主机也可以接收ARP应答,只要接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机的高速缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP 报文从而影响网内节点的通信,甚至可以做“中间人”。 3、任何ARP应答都是合法的,ARP应答无须认证,只要是局域网内的ARP 应答分组,不管是否是合法的应答,主机都会接受ARP应答,并用其IP-MAC信息篡改其缓存。这就是ARP的另一个隐患。 三、ARP欺骗攻击的实现过程 3.1 网段内的ARP欺骗攻击 ARP欺骗攻击的最基本手段就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP与MAC间的映射表,并以此更新目标主机缓存。设在
ARP攻击和防范原理及示例
本科生毕业论文(设计) 题目:ARP攻击和防范原理及示例 专业:计算机网络(本科) 考生姓名:********** 准考证号:************ 指导教师:****** 二〇一五年十月
学术诚信声明 本人所呈交的毕业论文,是在导师的指导下,独立进行研究工作所 取得的成果,所有数据、图片资料均真实可靠。除文中已经注明引用的 内容外,本论文不包含任何其他人或集体已经发表或撰写过的作品或成 果。对本论文的研究作出重要贡献的个人和集体,均已在文中以明确的 方式标明。本毕业论文的知识产权归属于培养单位。本人完全意识到本 声明的法律结果由本人承担。 本人签名:日期:2015-10-12
摘要 ARP攻击是指攻击者利用ARP协议本身的缺陷,在区域内一台终端或服务器上发布欺骗ARP广播包以达到盗取用户帐号、篡改网站内容、嵌入恶意代码、发布不良信息、监听传输数据等非法活动的目的。 ARP的攻击方式是ARP欺骗,ARP欺骗在过去常被运用到简单的拒绝服务攻击中。然而,随着大量缺乏管理且流动性较大的网吧以及其他公共上网环境的普及,互联网上开始出现许多由ARP基本攻击与侦听、网页篡改等黑客技术相互结合的攻击方式。这种ARP攻击之所以能在各类公共上网设施内迅速蔓延是因为在拥有上千台机器的公众上网环境或对外服务的IDC托管机房中,同一网段中往往有来自不同单位或不同人群使用的各类终端与服务器,由于其中各类系统的安全责任点归属复杂、使用人员流动性大,造成环境内安全管理漏洞较多,从而使新一代以ARP欺骗为基础的网页挂码或重定向攻击得以滋生。 目前,很多研究者已经给出了针对ARP欺骗攻击的防治方法,在一定程度上减少了ARP问题的发生,这类方法主要是通过保护ARP高速缓存等方法来实现,它们不能从根本上解决ARP欺骗问题,因为ARP欺骗是利用ARP协议本身存在在的漏洞,本文将从技术层面入手,分析解决该类问题。 关键词:ARP攻击、ARP协议、ARP欺骗、ARP安全防护
Arp攻击原理及防范
Arp攻击原理及防范 1.ARP协议简介 在局域网中,一台主机要和另一台主机进行通信,必须要知道另一台主机的IP地址,但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的,只能识别其MAC地址。MAC地址是48位的,通常表示为12个16进制数,每2个16进制数之间用“-”或者冒号隔开,如:FF-FF-FF-FF-FF-FF就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址,网卡之间发送数据,只能根据对方网卡的MAC地址进行发送,这时就需要一个将数据包中的IP地址转换成MAC地址的协议,而这个重要的任务将由ARP协议完成。 ARP全称为Address Resolution Protocol,即地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。这时就涉及到一个问题,一个局域网中的电脑少则几台,多则上百台,这么多的电脑之间,如何能准确的记住对方电脑网卡的MAC地址,以便数据的发送呢?这就涉及到了另外一个概念,ARP 缓存表。在局域网的任何一台主机中,都有一个ARP缓存表,该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候,会根据ARP缓存表里的对应关系进行发送。 下面,我们用一个模拟的局域网环境,来说明ARP欺骗的过程。 2.ARP欺骗过程: 如图(1)所示(在相册)局域网中有三台主机与交换机相连接,主机名分别为A、B、C,交换机为网关命名为S,IP如图所示。现在A与C进行通信,正常情况下通信过程如下:A 将自身的数据打包目地IP为C的IP,因为不知道C的MAC,所以A向全网发出ARP请求要求得到C的MAC,C收到广播报文后将自身的MAC地址发送给A,A得到C的MAC后将数据打包,封装目的为C的IP和MAC,然后将数据包发送给S;S收到该包后拆包得到C的MAC,然后再对照自身的ARP缓存表,将数据包发送给C,一次通信完成。 这样的机制看上去很完美,似乎整个局域网也天下太平,相安无事。但是,上述数据发送机制有一个致命的缺陷,即它是建立在对局域网中电脑全部信任的基础上的,也就是说它的假设前提是:无论局域网中那台电脑,其发送的ARP数据包都是正确的。那么这样就很危险了!因为局域网中并非所有的电脑都安分守己,往往有非法者的存在。此时A想得到C 的MAC向全网发送广播,C将自己的MAC发给A,而此时一直沉默的B也向全网发出广播报文,说自已的IP为192.168.0.4MAC为B的MAC即MAC_b,原本A得到的C的MAC是正确的,由于B不停的发送广播报文,但A不知道B的MAC是伪造的,导致A重新动态更新自己的ARP缓存表,此时A的ARP缓存表里记录了一条错误的记录,这就导致了A以后要发送给C的数据全部发给了B。这就是ARP欺骗中冒充主机的方式。 如果B冒充网关又会是什么情况呢?大家知道局域网中所有电脑上网都要通过网关转发数据才能登陆互联网。此时如果B向全网发送广播说我的IP为192.168.0.1 MAC为MAC_b 即B自己的MAC,由于局域网通信的前提条件是信任任何电脑发送的ARP广播包。这样局域网中的其它电脑都会更新自身的ARP缓存表,记录下192.168.0.1-MAC_b这样的记录,这样,当它们发送给网关,也就是IP地址为192.168.0.1这台电脑的数据,结果都会发送到MAC_b这台电脑中!这样,B就将会监听整个局域网发送给互联网的数据包! ARP病毒新的表现形式 由于现在的网络游戏数据包在发送过程中,均已采用了强悍的加密算法,因此这类ARP病毒在解密数据包的时候遇到了很大的难度。现在又新出现了一种ARP病毒,与以前的一样的是,该类ARP病毒也是向全网发送伪造的ARP欺骗广播,自身伪装成网关。但区别是,
实验三:ARP欺骗工具及原理分析
实验三:ARP欺骗工具及原理分析 一、实验目的 1.熟悉ARP欺骗攻击工具的使用 2.熟悉ARP欺骗防范工具的使用 3.熟悉ARP欺骗攻击的原理 二、实验准备 1.要求实验室内网络是连通的,组内每台计算机均可以访问另外一台计算机。 2.下载相关工具和软件包(ARP攻击检测工具,局域网终结者,网络执法官,ARPsniffer 嗅探工具)。 三、实验说明 本实验所介绍的工具软件使用起来都比较方便,操作起来也不是很难,但是功能或指令却不止一种,所以实验中只介绍其中的某一种用法。其他的则可"触类旁通"。 四、实验涉及到的相关软件下载: ARP攻击检测工具 局域网终结者 网络执法官 ARPsniffer嗅探工具 五、实验原理 1、ARP及ARP欺骗原理: ARP(Address Resolution Protocol)即地址解析协议,是一种将IP地址转化成物理地址的协议。不管网络层使用什么协议,在网络链路上传送数据帧时,最终还是必须使用硬件地址的。而每台机器的MAC地址都是不一样的,具有全球唯一性,因此可以作为一台主机或网络设备的标识。目标主机的MAC地址就是通过ARP协议获得的。 ARP欺骗原理则是通过发送欺骗性的ARP数据包致使接收者收到数据包后更新其ARP 缓存表,从而建立错误的IP与MAC对应关系,源主机发送数据时数据便不能被正确地址接收。 2、ARPsniffer使用原理: 在使用该工具时,它会将网络接口设置为混杂模式,该模式下工具可以监听到网络中传输的所有数据帧,而不管数据帧的目的地是自己还是其他网络接口的地址。嗅探器会对探测到的每一个数据帧产生硬件数据中断,交由操作系统处理,这样就实现了数据截获。 3、局域网终结者使用原理: 一个主机接收到与自已相同IP发出的ARP请求就会弹出一个IP冲突框来。利用局域网终结者可以伪造任一台主机的IP向局域网不停地发送ARP请求,同时自已的MAC也是伪造的,那么被伪造IP的主机便会不停地收到IP冲突提示,致使该主机无法上网。这便构成了局域网终结者的攻击原理。 4、网络执法官使用原理: 网络执法官原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地
ARP欺骗原理与解决办法
ARP欺骗原理与解决办法 2009-03-26 18:18 【故障原理】 要了解故障原理,我们先来了解一下ARP协议。 在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP 协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下所示。 主机IP地址MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B 发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。 从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD 这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A 发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,
网络安全实验2 ARP欺骗实验
实验1 ARP地址欺骗 声明:本实验教程仅限于实验室教学和实验用,不能用于其他非法用途,否则后果自负。 1、实验目的 1、掌握常见ARP欺骗类型和手段 2、掌握ARP协议工作原理和格式 3、掌握防范ARP地址欺骗的方法和措施 4、掌握Sniffer Pro软件的使用 2、实验环境 硬件:交换机1台、路由器1台、计算机数台 软件:Sinfffer pro
Heinaen和Govindan RFC1735 对上进行了进一步的讨论 W.Richard Stenvens TCP/IP协议详解卷1:协议 [日]村上公保TCP/IP网络实验程序篇科学出版社 4、实验原理 数据封装过程 1)、ARP协议简介 ARP(Address Resolve Protocol)地址请求解析协议,用于寻找和IP地址相对应的MAC 地址。在RFC 826中定义了ARP协议的数据格式和类型。ARP协议属于在网络层的下部,可看作为网络层和数据链路层的接口,主要用于IPv4以太网。 ARP消息类型有2种: ARP request :ARP 请求 ARP response :ARP应答 ARP协议格式
ARP报文格式 以太网帧的格式:
ü源MAC地址:发送方的MAC地址 ü源IP地址:发送方的IP地址 ü目的MAC地址:ARP请求中该字段没有意义;ARP响应中为接收方的MAC地址 ü目的IP地址:ARP请求中为请求解析的IP地址;ARP响应中为接收方的IP地址 ARP协议的改进 高速缓存技术 高速缓冲区中ARP表项新鲜性的保持:计时器 目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关 系存入自己的高速缓冲区 主机启动时主动广播自己的IP地址与物理地址的映射关系 5、实验步骤 1)掌握常用的ARP常用命令 ARP命令: 功能:用于查看、添加和删除高速缓存区中的ARP表项 高速缓冲区中的ARP表项 表项添加后两分钟内没有被再次使用:删除 表项被再次使用:增加2分钟的生命周期
最全的ARP欺骗攻击原理深入分析
1、ARP协议概述 IP数据包常通过以太网发送。以太网设备并不识别32位IP地址:它们是以48位以太网地址传输以太网数据包的。因此,IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张表。地址解析协议(Address Resolution Protocol,ARP)就是用来确定这些映象的协议。 ARP工作时,送出一个含有所希望的IP地址的以太网广播数据包。目的地主机,或另一个代表该主机的系统,以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来,以节约不必要的ARP通信。 如果有一个不被信任的节点对本地网络具有写访问许可权,那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己,然后它就可以扮演某些机器,或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上,ARP映射可以用固件,并且具有自动抑制协议达到防止干扰的目的。 图1是一个用作IP到以太网地址转换的ARP报文的例子。在图中每一行为32位,也就是4个八位组表示,在以后的图中,我们也将遵循这一方式。 硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1。协议类型字段指明了发送方提供的高层协议类型,IP为0806(16进制)。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用。操作字段用来表示这个报文的目的,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4。 当发出ARP请求时,发送方填好发送方首部和发送方IP地址,还要填写目标IP地址。当目标机器收到这个ARP广播包时,就会在响应报文中填上自己的48位主机地址。
简要回答arp欺骗的工作原理及如何防范
1.arp欺骗的原理 以太网设备(比如网卡)都有自己全球唯一的MAC地址,它们是以MAC地址来传输以太网数据包的,但是以太网设备却识别不了IP数据包中的IP地址,所以要在以太网中进行IP通信,就需要一个协议来建立IP地址与MAC地址的对应关系,使IP数据包能够发送到一个确定的主机上。这种功能是由arp (AddressResolution Protocol)来完成的。 arp被设计成用来实现IP地址到MAC地址的映射。arp使用一个被称为arp高速缓存的表来存储这种映射关系,arp高速缓存用来存储临时数据(IP地址与MAC地址的映射关系),存储在arp高速缓存中的数据在几分钟没被使用,会被自动删除。 arp协议不管是否发送了arp请求,都会根据收到的任何arp应答数据包对本地的arp高速缓存进行更新,将应答数据包中的IP地址和MAC地址存储在arp高速缓存中。这正是实现arp欺骗的关键。可以通过编程的方式构建arp应答数据包,然后发送给被欺骗者,用假的IP地址与MAC地址的映射来更新被欺骗者的arp高速缓存,实现对被欺骗者的arp欺骗。 有两种arp欺骗:一种是对路由器arp高速缓存的欺骗;另一种是对内网电脑arp高速缓存的欺骗。2.arp欺骗攻击的防范 (1)在客户端使用arp命令绑定网关的IP/MAC(例如arp 00-e0-eb-81-81-85)。 (2)在交换机上做端口与MAC地址的静态绑定。 (3)在路由器上做IP/MAC地址的静态绑定。 (4)使用arp服务器定时广播网段内所有主机的正确IP/MAC映射表。 (5)及时升级客户端的操作系统和应用程序补丁。 (6)升级杀毒软件及其病毒库。
解决ARP欺骗和攻击的方法
什么是网络瓶颈?如何克服网络瓶颈对网络整体性能的影响? 网络瓶颈指的是影响网络传输性能及稳定性的一些相关因素,如网络拓扑结构,网线,网卡,服务器配置,网络连接设备等,下面我们逐一加以简单分析: 1.组网前选择适当的网络拓扑结构是网络性能的重要保障,这里有两个原则应该把握:一是应把性能较高的设备放在数据交换的最高层,即交换机与集线器组成的网络,应把交换机放在第一层并连接服务器,二是尽可能减少网络的级数,如四个交换机级联不要分为四级,应把一个交换机做一级,另三个同时级联在第一级做为第二级; 2.网线的做法及质量也是影响网络性能的重要因素,对于100M设备(包括交换机,集线器和网卡),要充分发挥设备的性能,应保证网线支持100M,具体是网线应是五类以上线且质量有保障,并严格按照100M网线标准(即568B和568A)做线; 3.网卡质量不过关或芯片老化也容易引起网络传输性能下降或工作不稳定,选择知名品牌可有很好的保障; 4.对某些如无盘网络,游戏网络等对服务器的数据交换频繁且大量的网络环境,服务器的硬件配置(主要是CPU处理速度,内存,硬盘,网卡)往往成为影响网络性能的最大瓶颈,提升网络性能须从此入手; 5.选择适当的网络连接设备(交换机和集线器)同样也是网络性能的重要保障,除选择知名品牌外,网络扩充导致性能下降时应考虑设备升级的必要性。 解决ARP欺骗和攻击的方法 在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,对网络的正常传输和安全都是一个很严峻的考验。 “又掉线了!!!”每当听到客户的抱怨声一片响起,网管员就坐立不安。其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。
ARP攻击与防范”课程实验设计
Computer Knowledge and Technology 电脑知识与技术网络通讯及安全本栏目责任编辑:冯蕾第6卷第3期(2010年1月)“ARP 攻击与防范”课程实验设计 宋星月 (辽宁金融职业学院信息技术系,辽宁沈阳110122) 摘要:针对“ARP 攻击与防范”课程教学,分析了ARP 协议及ARP 攻击的工作原理,提出了一种更好理解“ARP 攻击与防范”的课程实验设计方案。 关键词:ARP 协议;ARP 攻击;ARP 防范;实验设计 中图分类号:TP393文献标识码:A 文章编号:1009-3044(2010)03-611-02 Experimental Design of Courses Based on the ARP Attack and Prevention SONG Xing-yue (Department of Information Technology,Liaoning Finance Vocatinal College,Shenyang 110122,China) Abstract:Based on ARP attack and prevention courses teaching,analyzed the principle of ARP protocol and ARP attacks.A advanced experiment method about the ARP attack and prevention is introduced,and it is helpful for students to study ARP attack and prevention.Key words:ARP protocol;ARP attack;ARP prevention;experiment design 互联网是一个面向大众的开放系统,设计初衷是信息共享、开放、灵活和快速,对于信息的保密措施和系统的安全性考虑得并不完备,这些特性不可避免地引发一些网络安全问题,而且,这些问题随着信息技术的发展也就日益严重,如何有效地防范各种攻击,增强网络安全性,是一项重要的课题。 网络协议安全是网络安全中的重要领域,研究ARP 协议及其在网络攻防中的应用具有积极的意义。但ARP 攻击方式在不断变换,就连一些资深的网络管理员也为此感到十分头疼。更何况学校里没有实际工作经验的学生。基于此,本文设计了一套ARP 攻击与防范实验方案,增强学生对ARP 协议、ARP 攻击原理的理解,并提高对网络实际操作和故障解决的能力。 1ARP 协议工作原理 ARP 协议,全称Address Resolution Protocol ,中文名是地址解析协议,它工作在OSI 模型的数据链路层,用于将IP 地址转化为网络接口的硬件地址(MAC 地址)。无论是任何高层协议的通信,最终都将转换为数据链路层硬件地址的通讯。 当网络中一台主机要向另一台主机或者路由器发送数据时,会首先检查自己ARP 列表中是否存在该IP 地址对应的MAC 地址,如有,就直接将数据包发送到该MAC 地址;如无,就向本地网段发起一个ARP 请求的广播包,查询此目的主机对应的MAC 地址,此ARP 请求数据包里包括源主机的IP 地址、硬件地址、以及目的主机的IP 地址。网络中所有的主机收到该ARP 请求后,会检查数据包中的目的IP 是否和自己的IP 地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC 地址和IP 地址添加到自己的ARP 列表中,如果ARP 表中已经存在该IP 的信息,则将其覆盖,然后给源主机发送一个ARP 响应数据包,告诉对方自己是它需要查找的MAC 地址;源主机收到这个ARP 响应数据包后,将得到的目的主机的IP 地址和MAC 地址添加到自己的ARP 列表中,并以超时则删除的策略加以维护。 ARP 协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC 是自己的ARP Reply 包或ARP 广播包都会接受并缓存,这就为欺骗提供了可能。 2ARP 攻击原理 ARP 欺骗的核心思想是向目标主机发送伪造的ARP 应答,并使目标主机接收应答中伪造的IP 地址与MAC 地址之间的映射对,以此更新目标主机ARP 缓存。2.1ARP 攻击过程 设在同一网段的三台主机:A 、B 、C 。其IP 地址和MAC 地址映射关系如表1 所示。 假设A 与B 是信任关系,A 欲向B 发送数据包。攻击方C 通过前期准备,收 集信息,发现B 的漏洞,使B 暂时无法工作。然后C 发送一个源IP 地址为192.168.0.3源MAC 地址为BB:BB:BB;BB:BB:BB 的包给A 。由于大多数的操作系统在接收到ARP 应答后会及时更新ARP 缓存,而不考虑是否发出过真实的ARP 请求,所以A 接收到应答后,就更新它的ARP 缓存,建立新的IP/MAC 地址映射对,即192.168.0.2→CC:CC:CC:CC:CC:CC 。这样,A 就将发往B 的数据包发向了C ,这就是典型的ARP 欺骗过程。 收稿日期:2009-11-19 作者简介:宋星月(1978-),女,内蒙古人,讲师,东北大学硕士研究生,研究方向为计算机网络技术。 表1同网段主机IP/MAC 对应表ISSN 1009-3044Computer Knowledge and Technology 电脑知识与技术Vol.6,No.3,January 2010,pp.611-612E-mail:info@https://www.wendangku.net/doc/978816948.html, https://www.wendangku.net/doc/978816948.html, Tel:+86-551-56909635690964611
ARP攻击原理简析及防御措施
ARP攻击原理简析及防御措施 网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者,带来严峻的考验。网络安全的战场已经从互联网蔓延到用户内部的网络,特别是局域网。目前利用ARP欺骗的木马病毒在局域网中广泛传播,导致网络随机掉线甚至整体瘫痪,通讯被窃听,信息被篡改等严重后果。 0x1 简介 网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者,带来严峻的考验。网络安全的战场已经从互联网蔓延到用户内部的网络,特别是局域网。目前利用ARP欺骗的木马病毒在局域网中广泛传播,导致网络随机掉线甚至整体瘫痪,通讯被窃听,信息被篡改等严重后果。 0x2 ARP协议概述 ARP协议(address resolution protocol)地址解析协议 一台主机和另一台主机通信,要知道目标的IP地址,但是在局域网中传输数据的网卡却不能直接识别IP地址,所以用ARP解析协议将IP地址解析成MAC 地址。ARP协议的基本功能就是通过目标设备的IP地址,来查询目标设备的mac地址。 在局域网的任意一台主机中,都有一个ARP缓存表,里面保存本机已知的此局域网中各主机和路由器的IP地址和MAC地址的对照关系。ARP缓存表的生命周期是有时限的(一般不超过20分钟)。 举个例子:假设局域网中有四台主机
主机A想和主机B通信 主机A会先查询自己的ARP缓存表里有没有B的联系方式,有的话,就将mac-b 地址封装到数据包外面,发送出去。没有的话,A会向全网络发送一个ARP广播包,大声询问:我的IP地址是192.168.0.2,硬件地址是mac-a,我想知道IP地址是192.168.0.3的硬件地址是多少?此时,局域网内所有主机都收到了,B收到后会单独私密回应:我是192.168.0.3,我的硬件地址是mac-b,其他主机不会理A的此时A知道了B的信息,同时也会动态的更新自身的缓存表 0x3 ARP协议的缺陷 ARP协议是建立在信任局域网内所有节点的基础上的,他的效率很高。但是不安全。它是无状态的协议。他不会检查自己是否发过请求包,也不知道自己是否发过请求包。他也不管是否合法的应答,只要收到目标mac地址是自己的ARP reply或者ARP广播包(包括ARP reply和ARP request),都会接受并缓存。 0x4 ARP攻击原理
计算机网络安全实验arp欺骗
《计算机网络安全》实验报告实验名称: arp欺骗 提交报告时间:年月日
一、实验目的 程序实现ARP欺骗,对ARP欺骗进行进一步的认识并提出防范措施。 二、系统环境 主机1 windows系统 主机2 windows系统
主机3 linux操作系统 三、网络环境 同一网段下的网络 四、实验步骤与实验结果 将主机A、C、E为一组,B、D、F为一组。实验角色说明如下: 实验主机实验角色 主机A、B 目标主机一/Windows 主机C、D 黑客主机/Linux 主机E、F 目标主机二/Windows 首先使用“快照X”恢复Windows/Linux系统环境。 一.ARP欺骗攻击 实验需求: (1)本实验使用交换网络结构(参见附录B),组一、二和三间通过交换模块连接(主机A、C、E通过交换模块连接,主机B、D、F也通过交换模块连接)。因此,正常情况下,主机C无法以嗅探方式监听到主机A与主机E间通信数据,同样主机D也无法监听到主机B与主机F 间的通信数据。 (2)主机C要监听主机A和主机E间的通信数据;主机D要监听主机B与主机F间的通信数据。 分析:
黑客主机通过对目标主机进行ARP欺骗攻击,获取目标主机间的通信数据。 1.正常通信 图6-1-1 目标主机正常通信示意图 (1)目标主机二单击工具栏“UDP工具”按钮,启动UDP连接工具,创建2513/udp服务端。 主机1发送数据 (2)目标主机一启动UDP连接工具,将“目标机器”IP地址指定为目标主机二的地址,目标端口与服务器一致。在“数据”文本框中输入任意内容,单击“发送”按钮,向服务端发数据。服务端确定接收到数据。
ARP病毒的攻击与防范论文
XXXXXXXX 专科毕业设计(论文) 题目ARP病毒的攻击与防范 学生姓名 专业班级 学号 系别 指导教师(职称)
ARP病毒的攻击与防范 摘要 ARP攻击是指黑客利用ARP协议缺陷的基本原理,通过在区域内一台终端或服务器上发布欺骗ARP广播包以达到进行盗取用户帐号、篡改网站内容、嵌入恶意代码、发布不良信息、监听传输数据等非法活动的目的。 ARP欺骗原理在过去常被运用到简单的拒绝服务攻击中。然而,随着大量缺乏管理且使用者流动性较大的网吧与其他公共上网环境的普及,互联网上开始出现许多由ARP基本攻击与侦听、网页篡改等黑客技术相互结合的攻击方式。这种ARP攻击之所以能在各类公共上网设施内迅速蔓延是因为在拥有上千台机器的公众上网环境或对外服务的IDC托管机房中,同一网段中往往有着来自不同单位或不同人群使用的各类终端与服务器,由于其中各类系统的安全责任点归属复杂、使用人员流动性大,造成环境内安全管理漏洞较大、安全盲点较多,从而使新一代以ARP欺骗为基础的网页挂码或重定向攻击得以滋生。 而且,ARP攻击相对与通常攻击方式可能造成的更大的破坏在于:一般来说IP 地址的冲突可以通过多种方法和手段来避免,而ARP协议工作在更底层协议上,隐蔽性更高。系统并不会判断ARP缓存的正确与否,无法像IP地址冲突那样给出提示。很多黑客工具可以随时发送ARP欺骗数据包和ARP恢复数据包,这对于公众上网环境来说,就可以在任何权限的终端计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机甚至服务器或网络设备的网络连接、侦探通讯数据、篡改数据包以加入病毒代码或不良信息进行传播。黑客还可以最大化的利用ARP欺骗原理,将其与其他攻击方法组合后运用于多种攻击,如,侦听、拒绝服务、挂载病毒等。从而达到多种攻击目的,如:窃取信息、病毒传播、破坏网络路由,暴力广告等等。 本文通过现象分析逐步推测出ARP的攻击原理。随后通过对ARP数据帧格式的解析,证明了ARP协议漏洞是可以被用作ARP欺骗。在探讨ARP攻击的防御措施时,文章从MAC地址集中管理、ARP数据包探测以及系统安全加固三方面进行论述。对于公众上网环境中存在可被ARP攻击的漏洞进行分析,并对整体防御构架进一步探索。 关键词ARP攻击/ARP协议/安全防护
ARP地址欺骗实验报告
计算机科学与技术系 实验报告 专业名称网络工程 课程名称 TCP/IP协议 项目名称 ARP地址欺骗 班级 13网络工程2班 学号 1304032025 姓名王梦梦(E) 同组人员张奔、肖治才、张嫚嫚、杨中成、杨维维 实验日期 2015/12.7
一、实验目的与要求: (简述本次实验要求达到的目的,涉及到的相关知识点,实验的具体要求及实验环境,实验环境中标明源主机、目的主机的IP地址及MAC地址) 1、实验目的 理解ARP协议的原理,掌握ARP地址欺骗的方法。 2、实验环境(标明拓扑结构、源主机、目的主机的IP地址及MAC地址) 发给A的包:数据链路层:源主机MAC:D 目的主机MAC:A ARP报头格式:源主机IP:C 目的主机IP:A 源主机MAC:D 目的主机MAC:000000-000000 发给C的包:数据链路层:源主机MAC:D 目的主机MAC:C ARP报头格式:源主机IP:A 目的主机IP:C 源主机MAC:D 目的主机MAC:000000-000000 二、实验内容 (根据本次实验项目的具体任务和要求,完成相关内容,可包括:实验原理、实验流程概述、实验具体步骤、关键技术分析、实验过程。) 1、实验原理 ARP协议是用来已知IP地址求MAC地址。在每台主机中都有一张ARP地址缓存表,当有ARP请求时,它不但会应答,还会将请求报文中ARP层的源IP和源MAC与本地缓存进行对比,若不一致,则更新。 2、实验流程概述 1)编辑ARP报文中的相关字段值 2)持续发送报文 3)各主机检查本地地ARP地址缓存表,观察D发包前后ARP缓存表的变化。 3、实验具体步骤 各主机打开工具区的“拓扑验证工具”,选择相应的网络结构,配置网卡后,进行拓扑验证,如果通过拓扑验证,关闭工具继续进行实验,如果没有通过,请检查网络连接。 本练习将主机A、C和D作为一组,主机B、E和F作为一组。现仅以主机A、C、D所在组为例,其它组的操作参考主机A、C、D所在组的操作。 1. 主机A和主机C使用“arp -a”命令察看并记录ARP高速缓存。 2. 主机A、C启动协议分析器开始捕获数据并设置过滤条件(提取ARP协议和ICMP协议)。 3. 主机A ping 主机C。观察主机A、C上是捕获到的ICMP报文,记录MAC 地址。 4. 主机D启动协议编辑器向主机A编辑ARP请求报文(暂时不发送)。其中: MAC层: