GFARP攻击.doc

西安邮电大学 通信与信息工程学院 网络攻防实验报告 专业班级： 学生姓名： 学号(班内序号): 2014 年 4 月 29 日 实验 ARP攻击 1.场景描述 ARP攻击源向服务器发送带有虚假MAC地址信息的ARP包给服务器（靶机），导致服务器学习到错误的网路信息。 备注：登录控制台开启靶机windows和linux，在linux终端运行工ettercap，对windows靶机进行攻击（linux终端运行：ettercap -G）。 2.实验目的 1).掌握ARP协议的基本概念及其缺陷。 2).认识到ARP欺骗的危害。 3).掌握ARP欺骗的两种工作原理。 4).掌握ARP欺骗时表现出的基本特征。 5、掌握ARP欺骗的防范策略。 6、学会在现实环境中解决ARP攻击。 3.需求分析 ARP欺骗是一类地址欺骗类病毒，属于木马病毒，自身不具备主动传播的特性，不会自我复制。但是由于其发作的时候会不断向全网发送伪造的ARP数据包，导致网络无法正常运行，严重的甚至可能带来整个网络的瘫痪。此外，黑客还会通过这种攻击手段窃取用户密码，如盗取QQ密码、盗取各种网络游戏密码和账号、盗窃网上银行账号，给用户造成了很大的不便和巨大的经济损失。因此，它的危害比一些蠕虫病毒厉害。 电脑感染ARP病毒后的表现为：网速时快时慢，极其不稳定，局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常；网上银行、游戏及QQ账号的频繁丢失。随着加密技术的不断提高，ARP病毒在盗取用户帐号、密码时遇到了很大的难度。于是又出现了一类新的ARP病毒，该类ARP病毒保留了ARP病毒的基本功能，即向全网发送伪造的ARP欺骗广播，将自身伪装成网关。在此基础上，对用户发出的HTTP请求访问进行修改，在其中插入恶意网址链接，用户在不知情的情况下点击这些链接时，木马病毒就会利用系统漏洞种植到用户电脑中，从而使用户电脑感染病毒。 4.技术分析 一.ARP欺骗的现象 在局域网内，攻击源主机不断发送ARP欺骗报文，即以假冒的网卡物理地址向同一子网的其它主机发送ARP报文，甚至假冒该子网网关物理地址蒙骗其它主机，诱使其它主机经由该病毒主机上网。真网关向假网关的切换，会导致网内用户断网。当攻击源主机断电或离线，网内其它主机自动重新搜索真网关，这个过程又会导致用户断一次网。所以某子网内，只要存在一台或多台这样的攻击源主机，就会使其它主机上网断断续续，严重时将致使整个网络陷于瘫痪。上述现象即是一种典型ARP欺骗，除了影响网络运行效率，攻击者也会趁机窃取网内用户的帐号和密码。因为发送的是ARP报文，具有一定的隐秘性，如果侵占系统资源不是很大，又无防病毒软件监控，一般用户不易察觉。 二.ARP欺骗的原理 局域网内某主机运行ARP欺骗程序时，会诱骗局域网内所有主机和路由器，使上网流量必须经由该病毒主机。原来通过路由器上网的用户现在转由病毒主机，这个切换会致使用户断线。切换到病毒主机上网后，如果用户已经登录了传奇服务器，病毒主机会不断制造断线的假象，用户就得重新登录，病毒主机就可以趁机实施盗号行为。ARP欺骗木马程序发作会发送大量数据包，从而导致局域网通讯拥塞，受自身处理能力的限制，用户会感觉网速越来越慢。ARP欺骗木马程序停止运行，用户会恢复从路由器上网，该切换则会导致用户再次断网。 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。 第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。 ARP欺骗的特征： (1).网速时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常。 (2).局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常。 三.ARP欺骗的防范策略 ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。 1).清空ARP缓存 点击“开始”按钮-选择“运行”-输入“arp -d”-点击“确定”按钮，然后重新尝试上网，如能恢复正常，则说明此次掉线可能是受ARP欺骗所致。 2).个人主机ARP绑定 通过执行“arp -s 4 00-03-6b-7f-ed-02”，临时绑定主机IP与MAC地址。或者，通过建