欺骗攻击及防御技术实验-局域网ARP攻击精要.docVIP

?课程编写 类别 内容 实验课题名称 局域网ARP攻击 实验目的与要求 了解arp的工作原理，能够使用arp攻击器对局域网主机进行arp攻击 实验环境 VPC1(虚拟PC） 操作系统类型：windows 2003，网络接口：本地连接 VPC1?连接要求 PC?网络接口，本地连接与实验网络直连 软件描述 1、学生机要求安装java环境2、windows 2003系统 实验环境描述 1、?学生机与实验室网络直连; 2、?VPC1与实验室网络直连; 3、?学生机与VPC1物理链路连通； 预备知识 ? 我们知道，当我们在浏览器里面输入网址时，dns服务器会自动把它解析为ip地址，浏览器实际上查找的是ip地址而不是网址。那么ip地址是如何转换为第二层物理地址（即mac地址）的呢？在局域网中，这是通过arp协议来完成的。arp协议对网络安全具有重要的意义。通过伪造ip地址和mac地址实现arp欺骗，能够在网络中产生大量的arp通信量使网络阻塞。所以网管们应深入理解arp协议。 arp协议是“address resolution protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的mac地址的。在以太网中，一个主机和另一个主机进行直接通信，必须要知道目标主机的mac地址。但这个目标mac地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标ip地址转换成目标mac地址的过程。arp协议的基本功能就是通过目标设备的ip地址，查询目标设备的mac地址，以保证通信的顺利进行。 ? rarp：反向地址转换协议（reverse address resolution protocol）（rarp）允许局域网的物理机器从网关服务器的arp?表或者缓存上请求其?ip?地址。网络管理员在局域网网关路由器里创建一个表以映射物理地址（mac）和与其对应的?ip?地址。当设置一台新的机器时，其?rarp?客户机程序需要向路由器上的?rarp?服务器请求相应的?ip?地址。假设在路由表中已经设置了一个记录，rarp?服务器将会返回?ip?地址给机器，此机器就会存储起来以便日后使用。 ? 我们以主机a（192.168.1.5）向主机b（192.168.1.1）发送数据为例。当发送数据时，主机a会在自己的arp缓存表中寻找是否有目标ip地址。如果找到了，也就知道了目标mac地址，直接把目标mac地址写入帧里面发送就可以了；如果在arp缓存表中没有找到相对应的ip地址，主机a就会在网络上发送一个广播，目标mac地址是“ff.ff.ff.ff.ff.ff”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的mac地址是什么？”网络上其他主机并不响应arp询问，只有主机b接收到这个帧时，才向主机a做出这样的回应：“192.168.1.1的mac地址是00-aa-00-62-c6-09”。这样，主机a就知道了主机b的mac地址，它就可以向主机b发送信息了。同时它还更新了自己的arp缓存表，下次再向主机b发送信息时，直接从arp缓存表里查找就可以了。arp缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少arp缓存表的长度，加快查询速度。 ? arp攻击就是通过伪造ip地址和mac地址实现arp欺骗，能够在网络中产生大量的arp通信量使网络阻塞，攻击者只要持续不断的发出伪造的arp响应包就能更改目标主机arp缓存中的ip-mac条目，造成网络中断或中间人攻击。 ? arp攻击主要是存在于局域网网络中，局域网中若有一个人感染arp木马，则感染该arp木马的系统将会试图通过“arp欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。 从影响网络连接通畅的方式来看，arp欺骗分为二种，一种是对路由器arp表的欺骗；另一种是对内网pc的网关欺骗。 ? 第一种arp欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网mac地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的mac地址，造成正常pc无法收到信息。 ? 二种arp欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的pc向假网关发数据，而不是通过正常的路由器途径上网。在pc看来，就是上不了网了，“网络掉线了”。 ? 实验内容 了解arp的工作原理，能够使用arp攻击器对局域网主机进行arp攻击 实验步骤 ???学生登录实验场景的操作 1、?学生单击 “网络拓扑”进入实验场景，单击windows2003中的“打开控制台”按钮，进入目标主机。如图所示： 2、学生密