实验_ARP地址欺骗实验答案.docVIP

ARP地址欺骗 1、实验目的 1、掌握常见ARP欺骗类型和手段 2、掌握ARP协议工作原理和格式 3、掌握防范ARP地址欺骗的方法和措施 4、掌握Sniffer Pro软件的使用 2、实验环境 硬件：交换机1 台、路由器1台、计算机数台 软件：Sinfffer pro 3、实验原理 1)、ARP协议简介 ARP(Address Resolve Protocol)地址请求解析协议，用于寻找和IP 地址相对应的MAC地址。在RFC 826中定义了ARP协议的数据格式和类型。ARP协议属于在网络层的下部，可看作为网络层和数据链路层的接口，主要用于IPv4以太网。 ARP消息类型有2 种： ARP request ：ARP 请求 ARP response ： ARP应答 ARP协议格式 数据封装过程 用于以太网的ARP请求或应答分组格式 以太网帧的格式 ARP 报文中各字段的意义 硬件类型：以太网接口类型为1 协议类型：IP协议类型为080016 操作：ARP请求为1，ARP应答为2 硬件地址长度：MAC地址长度为6B 协议地址长度：IP地址长度为4B 源MAC地址：发送方的MAC地址 源IP地址：发送方的IP地址 目的MAC 地址：ARP 请求中该字段没有意义；ARP 响应中为接收方的MAC地址 目的IP 地址：ARP 请求中为请求解析的IP 地址；ARP 响应中为接收方的IP地址 ARP 协议的改进 高速缓存技术 高速缓存区中保存最近获得的ARP表项 高速缓冲区中ARP表项新鲜性的保持：计时器 实验表明高速缓冲区的使用可以大大提高ARP 的效率 其他改进技术 目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关系存入自己的高速缓冲区 ARP请求是广播发送的，网络中的所有主机接收到ARP请求后都可以将源主机的IP 地址与物理地址映射关系存入自己的高速缓冲区 主机启动时主动广播自己的IP地址与物理地址的映射关系 4、实验步骤 1）掌握常用的ARP常用命令 ARP命令： 功能：用于查看、添加和删除高速缓存区中的ARP表项 高速缓冲区中的ARP表项 动态表项：随时间推移自动添加和删除 静态表项：一直保留，直到人为删除或重新启动计算机 Windows 中ARP表项的潜在生命周期：10分钟 新表项加入时定时器开始计时 表项添加后两分钟内没有被再次使用：删除 表项被再次使用：增加2 分钟的生命周期 表项始终在使用：最长生命周期为10 分钟 Arp –a // 查看计算机的ARP缓存 Arp –s 172.29.16.134 01-12-23-34-45-56 //将IP 地址172.29.16.134 和MAC 地址01-12-23-34-45-56静态绑定 Arp –d 172.29.16.134//删除IP地址172.29.16.134 的静态绑定 Arp缓存中的IP地址和MAC地址的映射表是有生存期的，每过一段时间就会过期，这时则要重新获取MAC地址。另外，当计算机重新启动时，ARP缓存表也会被清空。 2）利用Sniffer Pro捕获ARP数据包并进行分析 （1）启动Sniffer Pro，选择要监听的网卡。（在实验室环境选择实际的网卡，不要选择虚拟网卡）。 选择要监听的网卡图示 （2）登录该网卡 （3）点击开始，开始监听数据 （4）对照ARP格式，分析各字段的意思。 3）利用Sinffer Pro发送伪造的ARP数据包。 选择发送当前数据帧的按钮，如图所示。 在这里我们要修改发送的数据帧。比如说，要想对某台主机172.168.16.134(转换成十六进制为ac 1d 10 86)欺骗, 将其MAC地址欺骗为00-11-22-33-44-55。也就是说，欺骗之后，网络上的计算机都认为IP地址为172.168.16.134 的主机MAC地址为00-11-22-33-44-55。所以，当网络的主机要和172.168.16.134进行通信时，便发生了故障。 该欺骗的原理，就是冒充172.168.16.134 主机发出一个ARP 请求，那么网络上接收到该请求的计算机都会更新本机的ARP表，从而获得一个错误的消息。 要发送的帧如下图。 大家在修改该帧的字段时，要对照ARP协议的报文格式来进行。 注意：如果所攻击IP为网关（路由器）的IP地址，则该操作对网络来说会产生严重的后果，造成网络内所有的计算机都不能连上Internet，请勿在实验室以外的地方使用，否则后果自负。 这是针对网关的一种ARP欺骗，数据包是以广播的方式发送。 点击发送之后，再查看网络内各主机的ARP缓